SageMaker Studio를 사용하여 신뢰할 수 있는 자격 증명 전파 설정 - AWS IAM Identity Center
사전 조건1단계: 새 SageMaker Studio 도메인 또는 기존 SageMaker Studio 도메인에서 신뢰할 수 있는 자격 증명 전파 활성화 2단계: 기본 도메인 실행 역할 및 역할 신뢰 정책 구성3단계: 도메인 실행 역할에 필요한 Amazon S3 Access Grant 권한 확인 4단계: 도메인에 그룹 및 사용자 할당 5단계: Amazon S3 Access Grants 설정6단계: SageMaker 훈련 작업 제출 및 사용자 백그라운드 세션 세부 정보 보기7단계: CloudTrail 로그를 보고 CloudTrail에서 신뢰할 수 있는 자격 증명 전파 확인런타임 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SageMaker Studio를 사용하여 신뢰할 수 있는 자격 증명 전파 설정

다음 절차에서는 신뢰할 수 있는 자격 증명 전파 및 사용자 배경 세션을 위해 SageMaker Studio를 설정하는 방법을 안내합니다.

사전 조건

이 자습서를 시작하려면 먼저 다음 작업을 완료해야 합니다.

  1. IAM Identity Center를 활성화합니다. 조직 인스턴스가 필요합니다. 자세한 내용은 필수 조건 및 고려 사항 단원을 참조하십시오.

  2. ID 소스의 사용자 및 그룹을 IAM Identity Center로 프로비저닝합니다.

  3. IAM Identity Center 콘솔에서 사용자 백그라운드 세션이 활성화되어 있는지 확인합니다. 기본적으로 사용자 백그라운드 세션은 활성화되고 세션 기간은 7일로 설정됩니다. 이 기간을 변경할 수 있습니다.

SageMaker Studio에서 신뢰할 수 있는 자격 증명 전파를 설정하려면 SageMaker Studio 관리자가 다음 단계를 수행해야 합니다.

1단계: 새 SageMaker Studio 도메인 또는 기존 SageMaker Studio 도메인에서 신뢰할 수 있는 자격 증명 전파 활성화

SageMaker Studio는 도메인을 사용하여 사용자 프로필, 애플리케이션 및 관련 리소스를 구성합니다. 신뢰할 수 있는 자격 증명 전파를 활성화하려면 다음 절차에 설명된 대로 SageMaker Studio 도메인을 생성하거나 기존 도메인을 수정해야 합니다.

  1. SageMaker AI 콘솔을 열고 도메인으로 이동하여 다음 중 하나를 수행합니다.

    • 조직용 설정을 사용하여 새 SageMaker Studio 도메인을 생성합니다.

      조직에 대한 설정을 선택한 후 다음을 수행합니다.

      • 인증 방법으로 AWS Identity Center를 선택합니다.

      • 이 도메인의 모든 사용자에 대해 신뢰할 수 있는 자격 증명 전파 활성화 확인란을 선택합니다.

    • 기존 SageMaker Studio 도메인을 수정합니다.

      • 인증에 IAM Identity Center를 사용하는 기존 도메인을 선택합니다.

        중요

        신뢰할 수 있는 ID 전파는 인증에 IAM Identity Center를 사용하는 SageMaker Studio 도메인에서만 지원됩니다. 도메인이 인증에 IAM을 사용하는 경우 인증 방법을 변경할 수 없으므로 신뢰할 수 있는 자격 증명 전파를 활성화할 수 없습니다.

      • 도메인 설정을 편집합니다. 인증 및 권한 설정을 편집하여 신뢰할 수 있는 자격 증명 전파를 활성화합니다.

  2. 2단계: 기본 도메인 실행 역할 구성으로 이동합니다. 이 역할은 SageMaker Studio 도메인 사용자가 Amazon S3와 같은 다른 AWS 서비스에 액세스하는 데 필요합니다.

2단계: 기본 도메인 실행 역할 및 역할 신뢰 정책 구성

도메인 실행 역할은 SageMaker Studio 도메인이 도메인의 모든 사용자를 대신하여 수임하는 IAM 역할입니다. 이 역할에 할당하는 권한에 따라 SageMaker Studio가 수행할 수 있는 작업이 결정됩니다.

  1. 도메인 실행 역할을 생성하거나 선택하려면 다음 중 하나를 수행합니다.

    • 조직에 대한 설정을 사용하여 역할을 생성하거나 선택합니다.

      • SageMaker AI 콘솔을 열고 2단계: 역할 및 ML 활동 구성의 콘솔 지침에 따라 새 도메인 실행 역할을 생성하거나 기존 역할을 선택합니다.

      • 나머지 설정 단계를 완료하여 SageMaker Studio 도메인을 생성합니다.

    • 실행 역할을 수동으로 생성합니다.

  2. 도메인 실행 역할에 연결된 신뢰 정책을 업데이트하여 sts:AssumeRole 및 두 가지 작업을 포함합니다sts:SetContext. SageMaker Studio 도메인의 실행 역할을 찾는 방법에 대한 자세한 내용은 도메인 실행 역할 가져오기를 참조하세요.

    신뢰 정책은 역할을 수임할 수 있는 자격 증명을 지정합니다. 이 정책은 SageMaker Studio 서비스가 도메인 실행 역할을 수임하도록 허용하는 데 필요합니다. 정책에 다음과 같이 표시되도록이 두 작업을 추가합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

3단계: 도메인 실행 역할에 필요한 Amazon S3 Access Grant 권한 확인

Amazon S3 Access Grants를 사용하려면 SageMaker Studio 도메인 실행 역할에 다음 권한이 포함된 권한 정책(인라인 정책 또는 고객 관리형 정책)이 연결되어 있어야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
                ]
            "Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
        }
    ]
}

이러한 권한이 포함된 정책이 없는 경우 AWS Identity and Access Management 사용 설명서IAM 자격 증명 권한 추가 및 제거의 지침을 따르세요.

4단계: 도메인에 그룹 및 사용자 할당

그룹 및 사용자 추가의 단계에 따라 그룹 및 사용자를 SageMaker Studio 도메인에 할당합니다.

5단계: Amazon S3 Access Grants 설정

Amazon S3 Access Grants를 설정하려면 IAM Identity Center를 통한 신뢰할 수 있는 자격 증명 전파를 위해 Amazon S3 Access Grants 구성의 단계를 따르세요. 단계별 지침을 사용하여 다음 작업을 완료합니다step-by-step

  1. Amazon S3 Access Grants 인스턴스를 생성합니다.

  2. 해당 인스턴스에 위치를 등록합니다.

  3. 권한 부여를 생성하여 특정 IAM Identity Center 사용자 또는 그룹이 해당 위치 내의 지정된 Amazon S3 위치 또는 하위 집합(예: 특정 접두사)에 액세스할 수 있도록 허용합니다.

6단계: SageMaker 훈련 작업 제출 및 사용자 백그라운드 세션 세부 정보 보기

SageMaker Studio에서 새 Jupyter 노트북을 시작하고 훈련 작업을 제출합니다. 작업이 실행되는 동안 다음 단계를 완료하여 세션 정보를 보고 사용자 백그라운드 세션 컨텍스트가 활성 상태인지 확인합니다.

  1. IAM Identity Center 콘솔을 엽니다.

  2. 사용자를 선택하세요.

  3. 사용자 페이지에서 세션을 관리할 사용자의 ID를 선택합니다. 그러면 사용자 정보가 포함된 페이지로 이동합니다.

  4. 사용자 페이지에서 활성 세션 탭을 선택합니다. 활성 세션 옆의 괄호 안의 숫자는이 사용자의 활성 세션 수를 나타냅니다.

  5. 세션을 사용하는 작업의 Amazon 리소스 이름(ARN)으로 세션을 검색하려면 세션 유형 목록에서 사용자 배경 세션을 선택한 다음 검색 상자에 작업 ARN을 입력합니다.

다음은 사용자 백그라운드 세션을 사용하는 훈련 작업이 사용자의 Active 세션 탭에 표시되는 방법의 예입니다.

7단계: CloudTrail 로그를 보고 CloudTrail에서 신뢰할 수 있는 자격 증명 전파 확인

신뢰할 수 있는 자격 증명 전파가 활성화되면 onBehalfOf 요소 아래의 CloudTrail 이벤트 로그에 작업이 나타납니다. 는 훈련 작업을 시작한 IAM Identity Center 사용자의 ID를 userId 반영합니다. 다음 CloudTrail 이벤트는 신뢰할 수 있는 자격 증명 전파 프로세스를 캡처합니다.


                            "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROA123456789EXAMPLE:SageMaker",
    "arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
    "accountId": "111122223333",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROA123456789EXAMPLE",
            "arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
            "accountId": "111122223333",
            "userName": "SageMaker-ExecutionRole-20250728T125817"
        },
        "attributes": {
            "creationDate": "2025-07-29T17:17:10Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
        "identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
    }
},

런타임 고려 사항

관리자가 사용자 백그라운드 세션 기간보다 짧은 장기 실행 훈련 또는 처리 작업에 대해 MaxRuntimeInSeconds를 설정하는 경우 SageMaker Studio는 최소 MaxRuntimeInSeconds 또는 사용자 백그라운드 세션 기간 동안 작업을 실행합니다.

MaxRuntimeInSeconds에 대한 자세한 내용은 Amazon SageMaker API 참조의 CreateTrainingJob StoppingCondition 파라미터 지침을 참조하세요. Amazon SageMaker