信頼された ID の伝播のアーキテクチャと互換性 - Amazon SageMaker AI
互換性のある SageMaker AI の機能互換性のある AWS サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼された ID の伝播のアーキテクチャと互換性

信頼できる ID 伝達は、 AWS IAM Identity Center Amazon SageMaker Studio やその他の接続 AWS されたサービスと統合され、サービス間でユーザーの ID コンテキストを伝達します。次のページでは、信頼された ID の伝播アーキテクチャと SageMaker AI との互換性をまとめています。信頼できる ID の伝播の仕組みの包括的な概要については AWS、「信頼できる ID の伝播の概要」を参照してください。

信頼された ID の伝播アーキテクチャの主なコンポーネントは次のとおりです。

  • 信頼された ID の伝播: アプリケーションとサービス間でユーザーのアイデンティティコンテキストを伝播する方法

  • アイデンティティコンテキスト: ユーザーに関する情報

  • Identity-enhanced IAM ロールセッション: Identity-enhanced ロールセッションには、呼び出す AWS サービスにユーザー識別子を渡す ID コンテキストが追加されました。

  • 接続された AWS サービス: 信頼できる ID 伝達を通じて伝達される ID コンテキストを認識できるその他の AWS サービス

信頼できる ID 伝達により、接続された AWS サービスはユーザーの ID に基づいてアクセスを決定できます。Studio 自体では、IAM ロールはアクセスコントロールの決定を行うのではなく、アイデンティティコンテキストの伝播手段として使用されます。ID コンテキストは接続された AWS サービスに伝達され、アクセスコントロールと監査の両方の目的で使用できます。詳細については、「信頼された ID の伝播に関する考慮事項」を参照してください。

Studio で信頼された ID の伝播を有効にし、IAM アイデンティティセンターを介して認証する場合、SageMaker AI は以下を実行します。

  • IAM アイデンティティセンターからユーザーのアイデンティティコンテキストをキャプチャします。

  • ユーザーのアイデンティティコンテキストを含むアイデンティティ拡張 IAM ロールセッションを作成します。

  • ユーザーがリソースにアクセスするときに、ID 拡張 IAM ロールセッションを互換性のある AWS サービスに渡します

  • ダウンストリーム AWS サービスがユーザー ID に基づいてアクセス決定を行い、アクティビティを記録できるようにします

互換性のある SageMaker AI の機能

信頼された ID の伝播は、以下の Studio 機能で機能します。

  • Amazon SageMaker Studio プライベートスペース (JupyterLab と Code Editor、Code-OSS ベース、Visual Studio Code - Open Source)

注記

  • 信頼された ID の伝播を有効にして Studio を起動すると、実行ロールのアクセス許可に加えて、アイデンティティコンテキストも使用されます。ただし、インスタンスのセットアップ中の以下のプロセスでは、実行ロールのアクセス許可のみが使用され、アイデンティティコンテキストは使用しません。ライフサイクル設定、Bring-Your-Own-Image (BYOI)、ユーザーログ転送用の CloudWatch エージェント。

  • リモートアクセスは、現時点では信頼された ID の伝播ではサポートされていません。

  • Studio ノートブック内でロールの継承オペレーションを使用する場合、引き受けたロールは信頼できる ID 伝達コンテキストを伝達しません。元の実行ロールのみが ID コンテキストを維持します。

互換性のある AWS サービス

Amazon SageMaker Studio の信頼された ID の伝播は、信頼された ID の伝播が有効になっており、互換性のある AWS サービスと統合されます。信頼された ID の伝播を有効にする方法の例を含む、包括的なリストについては、「ユースケース」を参照してください。信頼された ID の伝播と互換性があるサービスは、以下のとおりです。

SageMaker AI で信頼できる ID の伝播が有効になっている場合、信頼できる ID の伝播が有効になっている他の各 AWS サービスが接続されます。接続されると、これらのサービスはユーザーのアイデンティティコンテキストを認識し、アクセスコントロールと監査に使用します。

Studio は、IAM アイデンティティセンターがサポートされ、IAM アイデンティティセンター認証を使用する Studio がサポートされている場合に、信頼できる ID の伝播をサポートします。Studio は、以下において信頼できる ID の伝播をサポートしています AWS リージョン。

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us–east–1

  • us-east-2

  • us-west-1

  • us-west-2