Configurazione di una propagazione affidabile delle identità con Studio SageMaker - AWS IAM Identity Center
PrerequisitiPassaggio 1: abilitare la propagazione delle identità affidabili in un dominio Studio nuovo o esistente SageMaker Passaggio 2: configura il ruolo di esecuzione del dominio e la politica di attendibilità dei ruoli predefinitiFase 3: verifica le autorizzazioni richieste di Amazon S3 Access Grant per il ruolo di esecuzione del dominio Passaggio 4: Assegna gruppi e utenti al dominio Fase 5: configurare Amazon S3 Access GrantsFase 6: Invia un lavoro di SageMaker formazione e visualizza i dettagli della sessione in background dell'utentePassaggio 7: Visualizza CloudTrail i log per verificare la propagazione dell'identità affidabile in CloudTrailConsiderazioni sul runtime

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di una propagazione affidabile delle identità con Studio SageMaker

La procedura seguente illustra come configurare SageMaker Studio per la propagazione affidabile delle identità e le sessioni in background degli utenti.

Prerequisiti

Prima di iniziare con questo tutorial, dovrai completare le seguenti attività:

  1. Abilita IAM Identity Center. È richiesta un'istanza dell'organizzazione. Per ulteriori informazioni, consulta Prerequisiti e considerazioni.

  2. Effettua il provisioning di utenti e gruppi dalla tua fonte di identità a IAM Identity Center.

  3. Verifica che le sessioni utente in background siano abilitate nella console IAM Identity Center. Per impostazione predefinita, le sessioni utente in background sono abilitate e la durata della sessione è impostata su 7 giorni. È possibile modificare questa durata.

Per configurare la propagazione delle identità attendibili da SageMaker Studio, l'amministratore di SageMaker Studio deve eseguire le seguenti operazioni.

Passaggio 1: abilitare la propagazione delle identità affidabili in un dominio Studio nuovo o esistente SageMaker

SageMaker Studio utilizza i domini per organizzare i profili utente, le applicazioni e le risorse associate. Per abilitare la propagazione affidabile delle identità, è necessario creare un dominio SageMaker Studio o modificare un dominio esistente come descritto nella procedura seguente.

  1. Apri la console SageMaker AI, vai a Domini ed esegui una delle seguenti operazioni.

    • Crea un nuovo dominio SageMaker Studio utilizzando Setup for organizations.

      Scegli Configura per le organizzazioni, quindi procedi come segue:

      • Scegli AWS Identity Center come metodo di autenticazione.

      • Seleziona la casella di controllo Abilita la propagazione dell'identità affidabile per tutti gli utenti di questo dominio.

    • Modifica un dominio SageMaker Studio esistente.

      • Seleziona un dominio esistente che utilizza IAM Identity Center per l'autenticazione.

        Importante

        La propagazione affidabile delle identità è supportata solo nei domini SageMaker Studio che utilizzano IAM Identity Center per l'autenticazione. Se il dominio utilizza IAM per l'autenticazione, non è possibile modificare il metodo di autenticazione e quindi non è possibile abilitare la propagazione delle identità affidabili.

      • Modifica le impostazioni del dominio. Modifica le impostazioni di autenticazione e autorizzazioni per abilitare la propagazione delle identità affidabili.

  2. Passare alla Fase 2: Configurare il ruolo di esecuzione del dominio predefinito. Questo ruolo è necessario per gli utenti di un dominio SageMaker Studio per accedere ad altri AWS servizi come Amazon S3.

Passaggio 2: configura il ruolo di esecuzione del dominio e la politica di attendibilità dei ruoli predefiniti

Un ruolo di esecuzione del dominio è un ruolo IAM che un dominio SageMaker Studio assume per conto di tutti gli utenti del dominio. Le autorizzazioni assegnate a questo ruolo determinano le azioni che SageMaker Studio può eseguire.

  1. Per creare o selezionare un ruolo di esecuzione del dominio, effettuate una delle seguenti operazioni:

    • Crea o seleziona un ruolo utilizzando Configurazione per le organizzazioni.

      • Apri la console SageMaker AI e segui le istruzioni riportate nella fase 2: Configurazione dei ruoli e delle attività di machine learning per creare un nuovo ruolo di esecuzione del dominio o selezionare un ruolo esistente.

      • Completa il resto dei passaggi di configurazione per creare il tuo dominio SageMaker Studio.

    • Crea manualmente un ruolo di esecuzione.

  2. Aggiorna la policy di fiducia allegata al ruolo di esecuzione del dominio in modo che includa le due azioni seguenti: sts:AssumeRolee sts:SetContext. Per informazioni su come trovare il ruolo di esecuzione per il dominio SageMaker Studio, consulta Get domain execution role.

    Una politica di fiducia specifica l'identità che può assumere un ruolo. Questa politica è necessaria per consentire al servizio SageMaker Studio di assumere il ruolo di esecuzione del dominio. Aggiungi queste due azioni in modo che appaiano come segue nella tua politica.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

Fase 3: verifica le autorizzazioni richieste di Amazon S3 Access Grant per il ruolo di esecuzione del dominio

Per utilizzare Amazon S3 Access Grants, devi avere una politica di autorizzazioni allegata (come policy in linea o come policy gestita dal cliente) al ruolo di esecuzione del dominio SageMaker Studio che contenga le seguenti autorizzazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
                ]
            "Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
        }
    ]
}

Se non disponi di una policy che contenga queste autorizzazioni, segui le istruzioni in Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'utente.AWS Identity and Access Management

Passaggio 4: Assegna gruppi e utenti al dominio

Assegna gruppi e utenti al dominio SageMaker Studio seguendo la procedura descritta in Aggiungere gruppi e utenti.

Fase 5: configurare Amazon S3 Access Grants

Per configurare Amazon S3 Access Grants, segui i passaggi descritti in Configurazione di Amazon S3 Access Grants per la propagazione di identità affidabili tramite IAM Identity Center. Utilizza le step-by-step istruzioni per completare le seguenti attività:

  1. Crea un'istanza Amazon S3 Access Grants.

  2. Registra una posizione in quell'istanza.

  3. Crea sovvenzioni per consentire a utenti o gruppi specifici di IAM Identity Center di accedere a posizioni o sottoinsiemi di Amazon S3 designati (ad esempio, prefissi specifici) all'interno di tali sedi.

Fase 6: Invia un lavoro di SageMaker formazione e visualizza i dettagli della sessione in background dell'utente

In SageMaker Studio, avvia un nuovo notebook Jupyter e invia un lavoro di formazione. Mentre il processo è in esecuzione, completa i seguenti passaggi per visualizzare le informazioni sulla sessione e verificare che il contesto della sessione in background dell'utente sia attivo.

  1. Apri la console Centro identità IAM.

  2. Scegliere Users (Utenti).

  3. Nella pagina Utenti, scegli il nome utente dell'utente di cui desideri gestire le sessioni. Verrai indirizzato a una pagina con le informazioni dell'utente.

  4. Nella pagina dell'utente, scegli la scheda Sessioni attive. Il numero tra parentesi accanto a Sessioni attive indica il numero di sessioni attive per questo utente.

  5. Per cercare le sessioni in base all'Amazon Resource Name (ARN) del processo che utilizza la sessione, nell'elenco Tipo di sessione, scegli Sessioni utente in background, quindi inserisci l'ARN del lavoro nella casella di ricerca.

Di seguito è riportato un esempio di come un processo di formazione che utilizza una sessione utente in background viene visualizzato nella scheda Sessioni attive per un utente.

Passaggio 7: Visualizza CloudTrail i log per verificare la propagazione dell'identità affidabile in CloudTrail

Quando la propagazione delle identità attendibili è abilitata, le azioni vengono visualizzate nei registri CloudTrail degli eventi sotto l'elemento. onBehalfOf userIdRiflette l'ID dell'utente di IAM Identity Center che ha avviato il processo di formazione. Il seguente CloudTrail evento cattura il processo di propagazione dell'identità affidabile.


                            "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROA123456789EXAMPLE:SageMaker",
    "arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
    "accountId": "111122223333",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROA123456789EXAMPLE",
            "arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
            "accountId": "111122223333",
            "userName": "SageMaker-ExecutionRole-20250728T125817"
        },
        "attributes": {
            "creationDate": "2025-07-29T17:17:10Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
        "identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
    }
},

Considerazioni sul runtime

Se un amministratore imposta processi MaxRuntimeInSecondsdi formazione o elaborazione di lunga durata inferiori alla durata della sessione utente in background, SageMaker Studio esegue il lavoro per il periodo minimo della sessione utente in background MaxRuntimeInSeconds o per la durata minima della sessione utente in background.

Per ulteriori informazioni in merito MaxRuntimeInSeconds, consulta la guida per il CreateTrainingJob StoppingConditionparametro nell'Amazon SageMaker API Reference.