翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Studio 向けの信頼された ID の伝播の設定
Amazon SageMaker Studio の信頼された ID の伝播を設定するには、Amazon SageMaker AI ドメインで IAM アイデンティティセンター認証方法が設定されている必要があります。このセクションでは、Studio ユーザー向けに信頼された ID の伝播を有効にして設定するために必要な前提条件と手順について説明します。
**Topics**
+ [前提条件](#trustedidentitypropagation-setup-prerequisites)
+ [Amazon SageMaker AI ドメインの信頼できる ID 伝達を有効にする](#trustedidentitypropagation-setup-enable)
+ [SageMaker AI 実行ロールを設定する](#trustedidentitypropagation-setup-permissions)
## 前提条件
SageMaker AI 向けに信頼された ID の伝播を設定する前に、以下の手順を使用して、IAM アイデンティティセンターを設定します。
**注記**
IAM アイデンティティセンターとドメインが同じリージョンに配置されていることを確認します。
+ [IAM アイデンティティセンターの信頼された ID の伝播の前提条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [IAM アイデンティティセンターの設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [アイデンティティセンターディレクトリにユーザーを追加する](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## Amazon SageMaker AI ドメインの信頼できる ID 伝達を有効にする
**重要**
信頼された ID の伝播を有効にできるのは、 AWS IAM アイデンティティセンター の認証方法が設定されたドメインに対してのみです。
IAM アイデンティティセンターと Amazon SageMaker AI ドメインは、同じ AWS リージョンに配置されている必要があります。
新規または既存のドメインで信頼された ID の伝播を有効にする方法については、次のいずれかのオプションを参照してください。
------
#### [ New domain - console ]
**SageMaker AI コンソールを使用して新しいドメインの信頼できる ID 伝達を有効にする**
1. [Amazon SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker)を開きます。
1. **[ドメイン]**に移動します。
1. [カスタムドメインを作成します](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html)。ドメインには、**AWS IAM アイデンティティセンター**認証方法が設定済みである必要があります。
1. **[信頼された ID の伝播]** セクションで、**[このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にする]** をオンにします。
1. 作成プロセスを完了します。
------
#### [ Existing domain - console ]
**SageMaker AI コンソールを使用して既存のドメインの信頼できる ID 伝達を有効にする**
**注記**
信頼された ID の伝播が既存のドメインで有効になった後に正常に機能するには、ユーザーは既存の IAM Identity Center セッションを再起動する必要があります。これを行うには、次のいずれかを実行します。
ユーザーはログアウトし、既存の IAM Identity Center セッションに再度ログインする必要があります。
管理者は、[ワークフォースユーザーのアクティブなセッションを終了できます](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html)。
1. [Amazon SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker)を開きます。
1. **[ドメイン]**に移動します。
1. 既存のドメインを選択します。ドメインには、**AWS IAM アイデンティティセンター**認証方法が設定済みである必要があります。
1. **[ドメインの設定]** タブで、**[認証と許可]** セクションの **[編集]** をクリックします。
1. **[このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にする]** をオンにします。
1. ドメインの設定を完了します。
------
#### [ Existing domain - AWS CLI ]
を使用して既存のドメインの信頼できる ID 伝達を有効にする AWS CLI
**注記**
信頼された ID の伝播が既存のドメインで有効になった後に正常に機能するには、ユーザーは既存の IAM Identity Center セッションを再起動する必要があります。これを行うには、次のいずれかを実行します。
ユーザーはログアウトし、既存の IAM Identity Center セッションに再度ログインする必要があります。
管理者は、[ワークフォースユーザーのアクティブなセッションを終了できます](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html)。
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID` は、Amazon SageMaker AI のドメイン ID です。詳細については、「[ドメインを表示する](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html)」を参照してください。
+ `REGION` は、Amazon SageMaker AI ドメイン AWS リージョン の です。これは、 AWS コンソールページの右上にあります。
------
## SageMaker AI 実行ロールを設定する
Studio ユーザー向けに信頼された ID の伝播を有効にするには、すべての信頼された ID の伝播ロールに、次のコンテキストアクセス許可を設定する必要があります。すべてのロールの信頼ポリシーを更新し、`sts:AssumeRole` アクションと `sts:SetContext` アクションを追加します。[ロール信頼ポリシーを更新する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)際は、以下のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------