信頼された ID の伝播のアーキテクチャと互換性 - Amazon SageMaker AI
互換性のある SageMaker AI の機能互換性のある AWS サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼された ID の伝播のアーキテクチャと互換性

信頼できる ID 伝達は、 AWS IAM アイデンティティセンター Amazon SageMaker Studio やその他の接続 AWS されたサービスと統合され、サービス間でユーザーの ID コンテキストを伝達します。次のページでは、信頼された ID の伝播アーキテクチャと SageMaker AI との互換性をまとめています。信頼できる ID の伝播の仕組みの包括的な概要については AWS、「信頼できる ID の伝播の概要」を参照してください。

信頼された ID の伝播アーキテクチャの主なコンポーネントは次のとおりです。

  • 信頼された ID の伝播: アプリケーションとサービス間でユーザーのアイデンティティコンテキストを伝播する方法

  • アイデンティティコンテキスト: ユーザーに関する情報

  • Identity-enhanced IAM ロールセッション: Identity-enhanced ロールセッションには、呼び出す AWS サービスにユーザー識別子を渡す ID コンテキストが追加されました。

  • 接続された AWS サービス: 信頼できる ID 伝達を通じて伝達される ID コンテキストを認識できるその他の AWS サービス

信頼できる ID 伝達により、接続された AWS サービスはユーザーの ID に基づいてアクセスを決定できます。Studio 自体では、IAM ロールはアクセスコントロールの決定を行うのではなく、アイデンティティコンテキストの伝播手段として使用されます。ID コンテキストは接続された AWS サービスに伝達され、アクセスコントロールと監査の両方の目的で使用できます。詳細については、「信頼された ID の伝播に関する考慮事項」を参照してください。

Studio で信頼された ID の伝播を有効にし、IAM アイデンティティセンターを介して認証する場合、SageMaker AI は以下を実行します。

  • IAM アイデンティティセンターからユーザーのアイデンティティコンテキストをキャプチャします。

  • ユーザーのアイデンティティコンテキストを含むアイデンティティ拡張 IAM ロールセッションを作成します。

  • ユーザーがリソースにアクセスするときに、ID 拡張 IAM ロールセッションを互換性のある AWS サービスに渡します

  • ダウンストリーム AWS サービスがユーザー ID に基づいてアクセス決定を行い、アクティビティを記録できるようにします

互換性のある SageMaker AI の機能

信頼された ID の伝播は、以下の Studio 機能で機能します。

  • Amazon SageMaker Studio プライベートスペース (JupyterLab と Code Editor、Code-OSS ベース、Visual Studio Code - Open Source)

注記

  • 信頼された ID の伝播を有効にして Studio を起動すると、実行ロールのアクセス許可に加えて、アイデンティティコンテキストも使用されます。ただし、インスタンスのセットアップ中の以下のプロセスでは、実行ロールのアクセス許可のみが使用され、アイデンティティコンテキストは使用しません。ライフサイクル設定、Bring-Your-Own-Image (BYOI)、ユーザーログ転送用の CloudWatch エージェント。

  • リモートアクセスは、現時点では信頼された ID の伝播ではサポートされていません。

  • Studio ノートブック内でロールの継承オペレーションを使用する場合、引き受けたロールは信頼できる ID 伝達コンテキストを伝達しません。元の実行ロールのみが ID コンテキストを維持します。

互換性のある AWS サービス

Amazon SageMaker Studio の信頼された ID の伝播は、信頼された ID の伝播が有効になっており、互換性のある AWS サービスと統合されます。信頼された ID の伝播を有効にする方法の例を含む、包括的なリストについては、「ユースケース」を参照してください。信頼された ID の伝播と互換性があるサービスは、以下のとおりです。

SageMaker AI で信頼できる ID の伝播が有効になっている場合、信頼できる ID の伝播が有効になっている他の各 AWS サービスが接続されます。接続されると、これらのサービスはユーザーのアイデンティティコンテキストを認識し、アクセスコントロールと監査に使用します。

Studio は、IAM アイデンティティセンターがサポートされ、IAM アイデンティティセンター認証を使用する Studio がサポートされている場合に、信頼できる ID の伝播をサポートします。Studio は、以下において信頼できる ID の伝播をサポートしています AWS リージョン。

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us–east–1

  • us-east-2

  • us-west-1

  • us-west-2