As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Arquitetura e compatibilidade da propagação de identidade confiável
A propagação de identidade confiável se integra ao AWS IAM Identity Center Amazon SageMaker Studio e a outros AWS serviços conectados para propagar o contexto de identidade dos usuários em todos os serviços. A página a seguir resume a arquitetura confiável de propagação de identidade e a compatibilidade com SageMaker a IA. Para uma visão geral abrangente de como a propagação de identidade confiável funciona AWS, consulte Visão geral da propagação de identidade confiável.
Os principais componentes da arquitetura de propagação de identidade confiável incluem:
-
Propagação de identidade confiável: uma metodologia para propagar o contexto de identidade do usuário entre aplicações e serviços.
-
Contexto de identidade: informações sobre um usuário.
-
Sessão de função IAM aprimorada com identidade: as sessões de função aprimorada com identidade têm um contexto de identidade adicional que carrega um identificador de usuário para o AWS serviço que ele chama
-
AWS Serviços conectados: outros AWS serviços que podem reconhecer o contexto de identidade que é propagado por meio da propagação de identidade confiável
A propagação confiável de identidade permite que AWS os serviços conectados tomem decisões de acesso com base na identidade do usuário. No Studio em si, os perfis do IAM são usados como portadores do contexto de identidade, não para tomar decisões de controle de acesso. O contexto de identidade é propagado para AWS serviços conectados, onde pode ser usado para fins de controle de acesso e auditoria. Consulte as considerações sobre propagação de identidade confiável para obter mais informações.
Quando você ativa a propagação de identidade confiável com o Studio e se autentica por meio do IAM Identity Center, SageMaker a IA:
-
Captura o contexto de identidade do usuário no Centro de Identidade do IAM.
-
Cria uma sessão de perfil do IAM aprimorada com identidade que inclui o contexto de identidade do usuário
-
Transmite a sessão de função IAM com identidade aprimorada para AWS serviços compatíveis quando o usuário acessa os recursos
-
Permite que AWS os serviços posteriores tomem decisões de acesso e registrem atividades com base na identidade do usuário
Recursos de SageMaker IA compatíveis
A propagação de identidade confiável funciona com os seguintes recursos do Studio:
-
Espaços privados do Amazon SageMaker Studio (JupyterLab e editor de código, baseado em Code-OSS, Visual Studio Code - Open Source)
nota
-
Quando o Studio é iniciado com a propagação de identidade confiável habilitada, ele usa seu contexto de identidade, bem como as permissões de perfil de execução. No entanto, os seguintes processos durante a configuração da instância usarão somente as permissões da função de execução, sem o contexto de identidade: Configuração do ciclo de vida Bring-Your-Own-Image, CloudWatch agente para encaminhamento de registros do usuário.
-
No momento, não é possível usar acesso remoto com a propagação de identidade confiável.
-
Quando você usa operações de assumir função nos notebooks do Studio, as funções assumidas não propagam um contexto confiável de propagação de identidade. Somente a função de execução original mantém o contexto de identidade.
AWS Serviços compatíveis
A propagação de identidade confiável para o Amazon SageMaker Studio se integra a AWS serviços compatíveis, nos quais a propagação de identidade confiável está habilitada. Consulte os casos de uso para obter uma lista abrangente com exemplos de como habilitar a propagação de identidade confiável. Os serviços compatíveis de propagação de identidade confiável incluem os seguintes:
-
Amazon S3 (por meio do recurso Concessão de Acesso do Amazon S3)
Quando a propagação de identidade confiável é habilitada com SageMaker IA, todos os outros AWS serviços com propagação de identidade confiável ativada são conectados. Uma vez conectados, eles reconhecem e usam o contexto de identidade do usuário para controle de acesso e auditoria.
O Studio permite usar a propagação de identidade confiável onde é possível usar o Centro de Identidade do IAM e o Studio com a autenticação do Centro de Identidade do IAM. O Studio oferece suporte à propagação de identidade confiável no seguinte: Regiões da AWS
-
af-south-1
-
ap-east-1
-
ap-northeast-1
-
ap-northeast-2
-
ap-northeast-3
-
ap-south-1
-
ap-southeast-1
-
ap-southeast-2
-
ap-southeast-3
-
ca-central-1
-
eu-central-1
-
eu-central-2
-
eu-north-1
-
eu-south-1
-
eu-west-1
-
eu-west-2
-
eu-west-3
-
il-central-1
-
me-south-1
-
sa-east-1
-
us-east-1
-
us-east-2
-
us-west-1
-
us-west-2
