翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 信頼できる ID の伝播のユースケース
IAM アイデンティティセンター管理者は、ユーザー向けアプリケーションから AWS のサービスへの信頼できる ID の伝播の設定を支援するように求められる場合があります。このリクエストをサポートするには、次の情報が必要です。
+ ユーザーはどのクライアント向けアプリケーションとインターフェイスしますか?
+ データのクエリとデータへのアクセスの認可に使用されるの AWS のサービス はどれですか?
+ どの がデータへのアクセス AWS のサービス を許可しますか?
**サードパーティーアプリケーションやカスタム開発アプリケーションを含まない信頼できる ID の伝播のユースケース**を有効にする役割は次のとおりです。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。
1. [既存の ID ソースを IAM アイデンティティセンターに接続します](tutorials.md)。
これらのユースケースの信頼できる ID 設定の残りのステップは、接続された AWS のサービス およびアプリケーション内で実行されます。接続された AWS のサービス またはアプリケーションの管理者は、サービス固有の包括的なガイダンスについて、それぞれのユーザーガイドを参照してください。
**サードパーティーアプリケーションまたはカスタム開発アプリケーションを含む信頼できる ID の伝播のユースケース**を有効にするためのロールには、[IAM Identity Center を有効にする](enable-identity-center.md) の手順と ID の[ソースを接続する](tutorials.md) 手順のほかに、以下が含まれます。
1. ID プロバイダー (IdP) のサードパーティーまたはカスタム開発アプリケーションへの接続を設定します。
1. IAM アイデンティティセンターを有効にして、サードパーティーまたはカスタム開発アプリケーションを認識します。
1. IAM アイデンティティセンターで信頼できるトークン発行者として IdP を設定する。詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
接続されたアプリケーションの管理者は、サービス固有の包括的なガイダンスについては、それぞれのユーザーガイド AWS のサービス を参照してください。
## 分析、データレイクハウス、機械学習のユースケース
次の分析および機械学習サービスを使用して、信頼できる伝播のユースケースを有効にできます。
+ **Amazon Redshift** - ガイダンスについては、「[Amazon Redshift で信頼できる ID の伝播](tip-usecase-redshift.md)」を参照してください。
+ **Amazon EMR** - ガイダンスについては、「[Amazon EMR による信頼できる ID の伝播](tip-usecase-emr.md)」を参照してください。
+ **Amazon Athena** - ガイダンスについては、「[Amazon Athena による信頼できる ID の伝播](tip-usecase-ate.md)」を参照してください。
+ **SageMaker Studio** - ガイダンスについては、「[Amazon SageMaker Studio による信頼できる ID の伝播](trusted-identity-propagation-usecase-sagemaker-studio.md)」を参照してください。
## その他のユースケース
IAM アイデンティティセンターと信頼できる ID の伝播は、次の追加 AWS のサービスを使用して有効にできます。
+ **Amazon Q Business** - ガイダンスについては、以下を参照してください。
+ [IAM アイデンティティセンターを使用したアプリケーションの管理ワークフロー](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc)。
+ [IAM アイデンティティセンターを使用した Amazon Q Business アプリケーションの設定](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html)。
+ [IAM アイデンティティセンターの信頼できる ID の伝播を使用して Amazon Q Business を設定します](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/)。
+ **Amazon OpenSearch Service** - ガイダンスについては、以下を参照してください。
+ [IAM Identity Center Trusted Identity Propagation Support for Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)。
+ [Centralized OpenSearch user interface (Dashboards) with Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)。
+ **AWS Transfer Family** - ガイダンスについては、以下を参照してください。
+ [Transfer Family ウェブアプリ](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html)。
**Topics**
+ [分析、データレイクハウス、機械学習のユースケース](#tip-data-analytic-usecases-overview)
+ [その他のユースケース](#tip-additional-usecases)
+ [Amazon Redshift で信頼できる ID の伝播](tip-usecase-redshift.md)
+ [Amazon EMR による信頼できる ID の伝播](tip-usecase-emr.md)
+ [Amazon Athena による信頼できる ID の伝播](tip-usecase-ate.md)
+ [Amazon SageMaker Studio による信頼できる ID の伝播](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Amazon Redshift で信頼できる ID の伝播
信頼できる ID の伝播を有効にする手順は、ユーザーが AWS マネージドアプリケーションとやり取りするか、カスタマーマネージドアプリケーションとやり取りするかによって異なります。次の図は、Amazon Redshift AWS または や Amazon AWS Lake Formation Amazon S3 などの認可サービスによって提供されるアクセスコントロールを使用して Amazon Redshift データをクエリ AWS する、クライアント向けアプリケーションの信頼できる ID 伝達設定を示していますAccess Grants。
![\[Amazon Redshift、Quick、Lake Formation、IAM Identity Center を使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Amazon Redshift への信頼できる ID の伝播が有効になっている場合、Redshift 管理者は、ID プロバイダーとして IAM アイデンティティセンターの[ロールを自動的に作成](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html)し、Redshift ロールを IAM アイデンティティセンターのグループにマッピングし、[Redshift ロールベースのアクセスコントロールを使用してアクセスを許可する](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)ように Redshift を設定できます。
## サポートされているクライアント向けアプリケーション
**AWS マネージドアプリケーション**
以下の AWS マネージドクライアント向けアプリケーションは、Amazon Redshift への信頼できる ID の伝播をサポートしています。
+ [Amazon RedshiftQuery Editor V2](setting-up-tip-redshift.md)
+ [クイック](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**注記**
Amazon Redshift Spectrum を使用して AWS Glue Data Catalogの外部データベースまたはテーブルにアクセスする場合は、きめ細かなアクセスコントロールを提供するように [Lake Formation](tip-tutorial-lf.md) と [Amazon S3 Access Grants](tip-tutorial-s3.md) を設定することを検討してください。
**カスタマーマネージドアプリケーション**
次のカスタマーマネージドアプリケーションは、Amazon Redshift への信頼できる ID の伝播をサポートしています。
+ **Tableau** TableauDesktop、 Tableau Server、および Tableau Prep を含む
+ Tableau のユーザーに対して信頼できる ID の伝播を有効にするには、「*AWS ビッグデータブログ*」の「[IAM アイデンティティセンターを使用した Tableau および Okta と Amazon Redshift の統合](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/)」を参照してください。
+ **SQL クライアント** (DBeaver および DBVisualizer)
+ SQL クライアント (DBeaver および DBVisualizer) のユーザーに対して信頼できる ID の伝播を有効にするには、 「*AWS ビッグデータブログ*」の「[Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。
# Amazon Redshift Query Editor V2 で信頼できる ID の伝播を設定する
次の手順では、Amazon Redshift Query Editor V2 から Amazon Redshift への信頼できる ID の伝播を実現する方法について説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
信頼できる ID 伝播を有効にするには、IAM アイデンティティセンターコンソールで IAM アイデンティティセンターコンソール 管理者が実行するタスクと、Amazon Redshift コンソールで Amazon Redshift 管理者が実行するタスクが含まれます。
## IAM アイデンティティセンター管理者が実行するタスク
IAM アイデンティティセンター管理者が次のタスクを完了する必要があります。
1. Amazon Redshift クラスターまたは Serverless インスタンスが存在するアカウントに、次のアクセス許可ポリシーを使用して **[IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)を作成します**。詳細については、「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
1. 次のポリシーの例には、このチュートリアルを完了するために必要なアクセス許可が含まれています。このポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
**アクセス許可ポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**信頼ポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. IAM アイデンティティセンターが有効になっている AWS Organizations 管理アカウントに**許可セットを作成します**。次のステップでこれを使用して、フェデレーティッドユーザーが Redshift クエリエディタ V2 にアクセスできるようにします。
1. **IAM アイデンティティセンター**コンソールに移動し、** [マルチアカウント許可]** で、**[アクセス許可セット]** を選択します。
1. **[Create permission set]** (アクセス許可セットの作成) を選択します。
1. **[カスタムアクセス許可セット]** を選択し、**[次へ]** を選択します。
1. **[AWS 管理ポリシー]** で、**`AmazonRedshiftQueryEditorV2ReadSharing`** を選択します。
1. **[インラインポリシー]** で、次のポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. **[次へ]** を選択し、アクセス許可セット名の名前を指定します。例えば、**Redshift-Query-Editor-V2**。
1. **[リレー状態 – オプション]** で、`https://your-region.console.aws.amazon.com/sqlworkbench/home` の形式を使用して、デフォルトのリレー状態をクエリエディタ V2 URL に設定します。
1. 設定を確認し、[**作成**] を選択します。
1. IAM アイデンティティセンターダッシュボードに移動し、**[概要の設定]** セクションから AWS アクセスポータル URL をコピーします。
![\[ステップ i、IAM Identity Center コンソールから AWS アクセスポータル URL をコピーします。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. 新しいシークレットブラウザウィンドウを開き、URL を貼り付けます。
これにより、 AWS アクセスポータルに移動し、IAM Identity Center ユーザーでサインインしていることを確認できます。
![\[ステップ j、ポータルにアクセスするためにサインイン AWS します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
アクセス許可セットの詳細については、「[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md)」を参照してください。
1. **Redshift クエリエディタ V2 へのフェデレーティッドユーザーのアクセスを有効にします**。
1. AWS Organizations 管理アカウントで、**IAM Identity Center** コンソールを開きます。
1. ナビゲーションペインの [**マルチアカウント権限**] で、**AWS アカウント** を選択します。
1. AWS アカウント ページで、アクセスを割り当てる AWS アカウント を選択します。
1. 「**ユーザーまたはグループを割り当て**」を選択します。
1. **[ユーザーとグループの割り当て]** ページで、アクセス許可セットを作成するユーザーまたはグループを選択します。その後、**[Next]** を選択します。
1. **[アクセス許可セットの割り当て]** ページで、前のステップで作成したアクセス許可セットを選択します。その後、**[Next]** を選択します。
1. **[割り当てを確認と送信]** ページで選択内容を確認し、**[送信]** を選択します。
## Amazon Redshift 管理者が実行するタスク
Amazon Redshift への信頼できる ID の伝播を有効にするには、Amazon Redshift クラスター管理者または Amazon Redshift Serverless 管理者が Amazon Redshift コンソールで多数のタスクを実行する必要があります。詳細については、 *AWS ビッグデータブログ*の[「Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。
# Amazon EMR による信頼できる ID の伝播
次の図は、 AWS Lake Formation と Amazon S3 が提供するアクセスコントロールを備えた Amazon EC2 上の Amazon EMR を使用した Amazon EMR Studio の信頼できる ID 伝達設定を示していますAccess Grants。 Amazon S3
![\[Amazon EMR、Lake Formation、IAM Identity Center を使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**サポートされているクライアント向けアプリケーション**
+ Amazon EMR Studio
**信頼できる ID の伝播を有効にするには、次の手順に従います。**
+ Amazon EMR クラスターのクライアント向けアプリケーションとして [Amazon EMR Studio](setting-up-tip-emr.md) をセットアップします。
+ [Apache Spark を使用して Amazon EC2 で Amazon EMR クラスター](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html)をセットアップします。
+ *推奨*: [AWS Lake Formation](tip-tutorial-lf.md)と [Amazon S3 Access Grants](tip-tutorial-s3.md) は、S3 内の AWS Glue Data Catalog および基盤となるデータロケーションへのきめ細かなアクセスコントロールを提供します。
# Amazon EMR Studio で信頼できる ID の伝播を設定する
次の手順では、Apache Spark を実行している Amazon Athena ワークグループまたは Amazon EMR クラスターに対するクエリで、信頼できる ID の伝播用に Amazon EMR Studio を設定する方法について説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
Amazon EMR Studio からの信頼できる ID 伝播の設定を完了するには、EMR Studio 管理者が次のステップを実行する必要があります。
## ステップ 1. EMR Studio に必要な IAM ロールを作成する
このステップでは、Amazon EMR Studio 管理者は と IAM サービスロール、および EMR Studio の IAM ユーザーロールを作成します。
1. **[EMR Studio サービスロールを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** - EMR Studio はこの IAM ロールを引き受けて、ワークスペースとノートブックを安全に管理し、クラスターに接続し、データインタラクションを処理します。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動し、IAM ロールを作成します。
1. **AWS のサービス** を信頼されたエンティティとして選択し、**Amazon EMR** を選択します。次のポリシーをアタッチして、ロールのアクセス許可と信頼関係を定義します。
これのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
すべてのサービスロールのアクセス許可のリファレンスについては、「[EMR Studio サービスロールのアクセス許可](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)」を参照してください。
1. **[IAM アイデンティティセンター認証用の EMR Studio ユーザーロールを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio は、ユーザーが IAM アイデンティティセンターを通じてサインインしてワークスペース、EMR クラスター、ジョブ、git リポジトリを管理するときに、このロールを引き受けます。**このロールは、信頼できる ID の伝播ワークフローを開始するために使用されます**。
**注記**
EMR Studio ユーザーロールには、 AWS Glue Catalog. AWS Lake Formation permissions のテーブルの Amazon S3 ロケーションにアクセスするためのアクセス許可を含める必要はありません。登録されたレイクロケーションは、一時的なアクセス許可を受け取るために使用されます。
次のポリシー例は、EMR Studio のユーザーが Athena ワークグループを使用してクエリを実行できるようにするロールで使用できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
次の信頼ポリシーは、EMR Studio がロールを引き受けることを許可します。
**注記**
EMR Studio WorkSpaces と EMR Notebooks を利用するには、追加のアクセス許可が必要です。詳細については、「[EMR Studio ユーザーのアクセス許可ポリシーを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies)」を参照してください。
**詳細については、次のリンクを参照してください。**
+ [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [EMR Studio サービスロールのアクセス許可](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## ステップ 2. EMR Studio を作成および設定する
このステップでは、EMR Studio コンソールで Amazon EMR Studio を作成し、[ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成した IAM ロールを使用します。
1. EMR Studio コンソールに移動し、**[Studio の作成]** と **[カスタムセットアップ]** オプションを選択します。新しいバケットを作成するか、既存の S3 バケットを使用します。このチェックボックスをオンにすると、**独自の KMS キーを使用してワークスペースファイルを暗号化できます**。詳細については、「[AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)」を参照してください。
![\[ステップ 1 EMR コンソールに EMR Studio を作成する。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. **[Studio がリソースにアクセスできるようにするサービスロール]**で、メニューから [ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成したサービスロールを選択します。
1. **[認証]** の下にある **[IAM アイデンティティセンター]** を選択します。[ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成されたユーザーロールを選択します。
![\[ステップ 3 EMR コンソールで EMR Studio を作成し、認証方法として IAM アイデンティティセンターを選択します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. **[信頼できる ID の伝播]** チェックボックスをオンにします。[アプリケーションアクセス] セクションで **[割り当てられたユーザーとグループのみ]** を選択します。これにより、このスタジオへのアクセスを許可されたユーザーとグループのみに許可できます。
1. *(オプション)* - EMR クラスターでこの Studio を使用している場合は、VPC とサブネットを設定できます。
![\[ステップ 4 EMR コンソールで EMR Studio を作成し、ネットワークとセキュリティの設定を選択します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. すべての詳細を確認し、**[Studio を作成]**を選択します。
1. Athena WorkGroup または EMR クラスターを設定したら、Studio の URL にサインインして次の操作を行います。
1. クエリエディタを使用して Athena クエリを実行します。
1. Jupyter ノートブックを使用してワークスペースで Spark ジョブを実行します。
# Amazon Athena による信頼できる ID の伝播
信頼できる ID の伝播を有効にする手順は、ユーザーが AWS マネージドアプリケーションとやり取りするか、カスタマーマネージドアプリケーションとやり取りするかによって異なります。次の図は、Amazon Athena を使用して、 と Amazon S3 が提供するアクセスコントロールを使用して Amazon S3 データをクエリ AWS AWS する、クライアント向けアプリケーションの信頼できる ID 伝達設定を示していますAmazon S3Access Grants。 AWS Lake Formation
**注記**
Amazon Athena での信頼できる ID の伝播には Trino を使用する必要があります。
ODBC および JDBC ドライバーを介して Amazon Athena に接続された Apache Spark および SQL クライアントはサポートされていません。
![\[Athena、Amazon EMR、Lake Formation、IAM アイデンティティセンターを使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、Athena での信頼できる ID の伝播をサポートしています。
+ Amazon EMR Studio
**信頼できる ID の伝播を有効にするには、次の手順に従います。**
+ [Amazon EMR Studio](setting-up-tip-emr.md)を Athena のクライアント向けアプリケーションとしてセットアップします。信頼できる ID の伝播が有効になっている場合、Athena クエリを実行するには、EMR Studio のクエリエディタが必要です。
+ [Athena ワークグループをセットアップします](setting-up-tip-ate.md)。
+ IAM アイデンティティセンターのユーザーまたはグループに基づいて、 AWS Glue テーブルのきめ細かなアクセスコントロールを有効にするように [を設定します AWS Lake Formation](tip-tutorial-lf.md)。
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
**注記**
Lake Formation と Amazon S3 Access Grantsはどちらも、Amazon S3 での Athena クエリ結果へのアクセスコントロール AWS Glue Data Catalog と Athena クエリ結果に必要です。 Amazon S3
**カスタマーマネージドアプリケーション**
*カスタム開発アプリケーションのユーザーに対して信頼できる ID 伝達を有効にするには、「 セキュリティブログ」の*[「」を参照して、信頼できる ID 伝達を使用して AWS のサービス プログラムで にアクセスします](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/)。 *AWS *
# Amazon Athena ワークグループによる信頼できる ID 伝播の設定
次の手順では、信頼できる ID の伝播用に Amazon Athena ワークグループを設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. この設定には、[Amazon EMR Studio](setting-up-tip-emr.md)、[AWS Lake Formation](tip-tutorial-lf.md)、および [Amazon S3 Access Grants](tip-tutorial-s3.md) が必要です。
## Athena による信頼できる ID の伝播の設定
Athena で信頼できる ID の伝播を設定するには、Athena 管理者が以下を行う必要があります。
1. [IAM アイデンティティセンターが有効な Athena ワークグループを使用する際の考慮事項と制限事項](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations)を確認します。
1. [IAM アイデンティティセンターが有効な Athena ワークグループを作成します](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)。
# Amazon SageMaker Studio による信頼できる ID の伝播
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) は IAM アイデンティティセンターと統合され、[ユーザーバックグラウンドセッション](user-background-sessions.md)と信頼できる ID の伝播をサポートします。ユーザーバックグラウンドセッションを使用すると、ユーザーは SageMaker Studio で長時間実行されるジョブを開始できます。ジョブの実行中にサインインしたままにする必要はありません。ジョブは、ジョブを開始したユーザーのアクセス許可を使用して、すぐにバックグラウンドで実行されます。ユーザーがコンピュータをオフにした場合、IAM Identity Center のサインインセッションの有効期限が切れた場合、またはユーザーが AWS アクセスポータルからサインアウトした場合でも、ジョブは引き続き実行できます。ユーザーバックグラウンドセッションのデフォルトのセッション期間は 7 日間ですが、最大期間として 90 日間を指定できます。信頼できる ID 伝播により、ユーザーの ID またはグループメンバーシップに基づいて Amazon S3 バケットなどの AWS リソースにきめ細かなアクセスを提供できます。
次の図は、Amazon S3 バケットに保存されているデータにアクセスできる SageMaker Studio の信頼できる ID の伝播設定を示しています。ユーザーバックグラウンドセッションは IAM アイデンティティセンター で有効になっており、SageMaker Studio トレーニングジョブをバックグラウンドで実行できます。トレーニングデータのアクセスコントロールは、Amazon S3 Access Grants によって提供されます。
![\[ユーザーバックグラウンドセッションで実行される SageMaker Studio トレーニングジョブと、Amazon S3 Access Grants が提供する Amazon S3 のトレーニングデータへのアクセスを含む、SageMaker Studio の信頼できる ID 伝播の図。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、信頼できる ID の伝播をサポートしています。
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**信頼できる ID の伝播とユーザーバックグラウンドセッションを有効にするには、次の手順に従います。**
+ [SageMaker Studio をクライアント向けアプリケーションとしてセットアップします。](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、Amazon S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
# Sagemaker Studio で信頼できる ID 伝播を設定する
次の手順では、信頼できる ID の伝播とユーザーバックグラウンドセッション用に SageMaker Studio を設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、まず以下のタスクを完了する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。組織インスタンスが必要です。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. IAM アイデンティティセンターコンソールで[ユーザーバックグラウンドセッションが有効になっていることを確認します](user-background-sessions.md)。デフォルトでは、ユーザー背景セッションは有効になっており、セッション期間は 7 日間に設定されています。この期間は、変更することができます。
SageMaker Studio から信頼できる ID の伝播を設定するには、SageMaker Studio 管理者が次のステップを実行する必要があります。
## ステップ 1: 新規または既存の SageMaker Studio ドメインで信頼できる ID の伝播を有効にする
SageMaker はドメインを使用して、ユーザープロファイル、アプリケーション、関連するリソースを整理します。信頼できる ID の伝播を有効にするには、次の手順で説明するように、SageMaker Studio ドメインを作成するか、既存のドメインを変更する必要があります。
1. SageMaker AI コンソールを開き、**[ドメイン]**に移動して、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用して、新しい SageMaker Studio ドメインを作成します。**
**[組織向けのセットアップ]**を選択し、次の操作を行います。
+ 認証方法として **AWS アイデンティティセンター** を選択します。
+ **[このドメインですべてのユーザーの信頼できる ID 伝播を有効にする]** チェックボックスをオンにします。
+ **既存の SageMaker Studio ドメインを変更します。**
+ 認証に IAM アイデンティティセンターを使用する既存のドメインを選択します。
**重要**
信頼できる ID の伝播は、認証に IAM アイデンティティセンターを使用する SageMaker Studio ドメインでのみサポートされます。ドメインが認証に IAM を使用している場合、認証方法を変更することはできないため、信頼できる ID の伝播を有効にすることはできません。
+ [ドメイン設定を編集します](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit)。**[認証とアクセス許可]** の設定を編集して、信頼できる ID の伝播を有効にします。
1. [ステップ 2: デフォルトのドメイン実行ロールを設定する](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role)に進みます。このロールは、SageMaker Studio ドメインのユーザーが Amazon S3 などの他の AWS サービスにアクセスするために必要です。
## ステップ 2: デフォルトのドメイン実行ロールとロール信頼ポリシーを設定する
*ドメイン実行ロール*は、SageMaker Studio ドメインがドメイン内のすべてのユーザーに代わって引き受ける [IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles)です。このロールに割り当てるアクセス許可によって、SageMaker Studio が実行できるアクションが決まります。
1. ドメイン実行ロールを作成または選択するには、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用してロールを作成または選択します。**
+ SageMaker AI コンソールを開き、**「ステップ 2: ロールと ML アクティビティを設定**して新しいドメイン実行ロールを作成するか、既存のロールを選択する」のコンソールガイダンスに従います。
+ 残りのセットアップステップを完了して、SageMaker Studio ドメインを作成します。
+ **実行ロールを手動で作成します。**
+ IAM コンソールを開き、[実行ロールを自分で作成します](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role)。
1. ドメイン実行ロールにアタッチされている[信頼ポリシーを更新](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)して、[https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) と [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html) の 2 つのアクションを含めます。SageMaker Studio ドメインの実行ロールを検索する方法については、「[ドメイン実行ロールを取得する](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain)」を参照してください。
*信頼ポリシー*は、ロールを引き受けることができる ID を指定します。このポリシーは、SageMaker Studio サービスがドメイン実行ロールを引き受けられるようにするために必要です。これら 2 つのアクションを追加して、ポリシーに次のように表示されるようにします。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## ステップ 3: ドメイン実行ロールに必要な Amazon S3 Access Grant アクセス許可を検証する
Amazon S3 Access Grants を使用するには、以下のアクセス許可を含むアクセス許可ポリシーを (インラインポリシーまたはカスタマー管理ポリシーとして) SageMaker Studio ドメイン実行ロールにアタッチする必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
これらのアクセス許可を含むポリシーがない場合は、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ID アクセス許可の追加と削除](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」の手順に従います。
## ステップ 4: グループとユーザーをドメインに割り当てる
「[グループとユーザーを追加する](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html)」の手順に従って、グループとユーザーを SageMaker Studio ドメインに割り当てます。
## ステップ 5: Amazon S3 Access Grants を設定する
Amazon S3 Access Grants を設定するには、[「IAM アイデンティティセンターを介した信頼できる ID 伝播のための Amazon S3 Access Grants の設定](tip-tutorial-s3.md#tip-tutorial-s3-configure)」のステップに従います。ステップバイステップの手順を使用して、以下のタスクを完了します。
1. Amazon S3 Access Grants インスタンスを作成します。
1. そのインスタンスにロケーションを登録します。
1. 特定の IAM アイデンティティセンターユーザーまたはグループが、指定された Amazon S3 ロケーションまたはそれらのロケーション内のサブセット (特定のプレフィックスなど) にアクセスできるようにする権限を作成します。
## ステップ 6: SageMaker トレーニングジョブを送信し、ユーザーバックグラウンドセッションの詳細を表示する
SageMaker Studio で、新しい Jupyter Notebook を起動し、トレーニングジョブを送信します。ジョブの実行中に、次の手順を実行してセッション情報を表示し、ユーザーのバックグラウンドセッションコンテキストがアクティブであることを確認します。
1. IAM Identity Center コンソール を開きます。
1. **ユーザー** を選択します。
1. **[ユーザー]** ページで、セッションを管理したいユーザーのユーザー名を選択します。これにより、ユーザーの情報が表示されるページに移動します。
1. ユーザーのページで、**[アクティブセッション]** タブを選択します。**[アクティブセッション]** の横の括弧内の数字は、このユーザーのアクティブセッション数を示します。
1. セッションを使用しているジョブの Amazon リソースネーム (ARN) でセッションを検索するには、**[セッションタイプ]** リストで **[ユーザーバックグラウンドセッション]** を選択し、検索ボックスにジョブ ARN を入力します。
以下は、ユーザーバックグラウンドセッションを使用しているトレーニングジョブがユーザーの **[アクティブセッション]** タブにどのように表示されるかの例です。
![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## ステップ 7: CloudTrail ログを表示して CloudTrail で信頼できる ID の伝播を検証する
信頼できる ID の伝播を有効にすると、 `onBehalfOf` 要素の下の CloudTrail イベントログにアクションが表示されます。には、トレーニングジョブを開始した IAM アイデンティティセンターユーザーの ID `userId` が反映されます。次の CloudTrail イベントは、信頼できる ID の伝播プロセスをキャプチャします。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## ランタイムの考慮事項
管理者が、ユーザーバックグラウンドセッション期間よりも短い長時間実行されるトレーニングジョブまたは処理ジョブに **MaxRuntimeInSeconds** を設定すると、SageMaker Studio は **MaxRuntimeInSeconds** またはユーザーバックグラウンドセッション期間の最小値でジョブを実行します。
**MaxRuntimeInSeconds** の詳細については、「*Amazon SageMaker API リファレンス*」の「`CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)」パラメータのガイダンスを参照してください。