翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Studio 向けの信頼された ID の伝播の設定
Amazon SageMaker Studio の信頼された ID の伝播を設定するには、Amazon SageMaker AI ドメインで IAM アイデンティティセンター認証方法が設定されている必要があります。このセクションでは、Studio ユーザー向けに信頼された ID の伝播を有効にして設定するために必要な前提条件と手順について説明します。
前提条件
SageMaker AI 向けに信頼された ID の伝播を設定する前に、以下の手順を使用して、IAM アイデンティティセンターを設定します。
IAM アイデンティティセンターとドメインが同じリージョンに配置されていることを確認します。
Amazon SageMaker AI ドメインの信頼できる ID 伝達を有効にする
新規または既存のドメインで信頼された ID の伝播を有効にする方法については、次のいずれかのオプションを参照してください。
- New domain - console
-
SageMaker AI コンソールを使用して新しいドメインの信頼できる ID 伝達を有効にする
-
Amazon SageMaker AI コンソールを開きます。
-
[ドメイン]に移動します。
-
カスタムドメインを作成します。ドメインには、AWS IAM アイデンティティセンター認証方法が設定済みである必要があります。
-
[信頼された ID の伝播] セクションで、[このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にする] をオンにします。
-
作成プロセスを完了します。
- Existing domain - console
-
SageMaker AI コンソールを使用して既存のドメインの信頼できる ID 伝達を有効にする
信頼された ID の伝播が既存のドメインで有効になった後に正常に機能するには、ユーザーは既存の IAM Identity Center セッションを再起動する必要があります。これを行うには、次のいずれかを実行します。
-
Amazon SageMaker AI コンソールを開きます。
-
[ドメイン]に移動します。
-
既存のドメインを選択します。ドメインには、AWS IAM アイデンティティセンター認証方法が設定済みである必要があります。
-
[ドメインの設定] タブで、[認証と許可] セクションの [編集] をクリックします。
-
[このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にする] をオンにします。
-
ドメインの設定を完了します。
- Existing domain - AWS CLI
-
を使用して既存のドメインの信頼できる ID 伝達を有効にする AWS CLI
信頼された ID の伝播が既存のドメインで有効になった後に正常に機能するには、ユーザーは既存の IAM Identity Center セッションを再起動する必要があります。これを行うには、次のいずれかを実行します。
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
SageMaker AI 実行ロールを設定する
Studio ユーザー向けに信頼された ID の伝播を有効にするには、すべての信頼された ID の伝播ロールに、次のコンテキストアクセス許可を設定する必要があります。すべてのロールの信頼ポリシーを更新し、sts:AssumeRole アクションと sts:SetContext アクションを追加します。ロール信頼ポリシーを更新する際は、以下のポリシーを使用します。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
