As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Propagação de identidade confiável com o Studio
A propagação de identidade confiável é um Centro de Identidade do AWS IAM recurso que os administradores de AWS serviços conectados podem usar para conceder e auditar o acesso aos dados do serviço. O acesso a esses dados é baseado em atributos do usuário, como associações de grupo. Configurar a propagação de identidade confiável requer colaboração entre os administradores dos AWS serviços conectados e o administrador do IAM Identity Center. Para ter mais informações, consulte [Prerequisites and considerations](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Os administradores do Amazon SageMaker Studio e do IAM Identity Center podem colaborar para conectar os serviços para uma propagação confiável de identidade. A propagação confiável de identidade atende às necessidades de autenticação corporativa em todos AWS os serviços, simplificando:
+ Uma auditoria aprimorada que monitora as ações de usuários específicos.
+ Gerenciamento de acesso para cargas de trabalho de ciência de dados e aprendizado de máquina por meio da integração com serviços compatíveis AWS
+ O atendimento de requisitos de conformidade em setores regulamentados.
O Studio oferece suporte à propagação confiável de identidades para fins de auditoria e controle de acesso com AWS serviços conectados. A propagação de identidade confiável no Studio não lida diretamente com decisões de autenticação ou autorização dentro do próprio Studio. Em vez disso, ele propaga informações de contexto de identidade para serviços compatíveis que podem usar essas informações para controle de acesso.
Quando você usa a propagação de identidade confiável com o Studio, sua identidade do IAM Identity Center se propaga para os AWS serviços conectados, criando permissões mais granulares e governança de segurança.
**Topics**
+ [Arquitetura e compatibilidade da propagação de identidade confiável](trustedidentitypropagation-compatibility.md)
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Monitoramento e auditoria com CloudTrail](trustedidentitypropagation-auditing.md)
+ [Sessões de usuários em segundo plano](trustedidentitypropagation-user-background-sessions.md)
+ [Como se conectar a outros AWS serviços com a propagação de identidade confiável ativada](trustedidentitypropagation-connect-other.md)
# Arquitetura e compatibilidade da propagação de identidade confiável
A propagação de identidade confiável se integra ao Centro de Identidade do AWS IAM Amazon SageMaker Studio e a outros AWS serviços conectados para propagar o contexto de identidade dos usuários em todos os serviços. A página a seguir resume a arquitetura confiável de propagação de identidade e a compatibilidade com SageMaker a IA. Para uma visão geral abrangente de como a propagação de identidade confiável funciona AWS, consulte Visão geral da [propagação de identidade confiável](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
Os principais componentes da arquitetura de propagação de identidade confiável incluem:
+ **Propagação de identidade confiável**: uma metodologia para propagar o contexto de identidade do usuário entre aplicações e serviços.
+ **Contexto de identidade**: informações sobre um usuário.
+ **Sessão de função do IAM aprimorada** com identidade: as sessões de função aprimorada com identidade têm um contexto de identidade adicional que carrega um identificador de usuário para o AWS serviço que ele chama
+ ** AWS Serviços conectados**: outros AWS serviços que podem reconhecer o contexto de identidade que é propagado por meio da propagação de identidade confiável
A propagação confiável de identidade permite que AWS os serviços conectados tomem decisões de acesso com base na identidade do usuário. No Studio em si, os perfis do IAM são usados como portadores do contexto de identidade, não para tomar decisões de controle de acesso. O contexto de identidade é propagado para AWS serviços conectados, onde pode ser usado para fins de controle de acesso e auditoria. Consulte as [considerações sobre propagação de identidade confiável](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations) para obter mais informações.
Quando você ativa a propagação de identidade confiável com o Studio e se autentica por meio do IAM Identity Center, SageMaker a IA:
+ Captura o contexto de identidade do usuário no Centro de Identidade do IAM.
+ Cria uma sessão de perfil do IAM aprimorada com identidade que inclui o contexto de identidade do usuário
+ Transmite a sessão de função IAM com identidade aprimorada para AWS serviços compatíveis quando o usuário acessa os recursos
+ Permite que AWS os serviços posteriores tomem decisões de acesso e registrem atividades com base na identidade do usuário
## Recursos de SageMaker IA compatíveis
A propagação de identidade confiável funciona com os seguintes recursos do Studio:
+ Espaços privados do [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) (JupyterLab e editor de código, baseado em Code-OSS, Visual Studio Code - Open Source)
**nota**
Quando o Studio é iniciado com a propagação de identidade confiável habilitada, ele usa seu contexto de identidade, bem como as permissões de perfil de execução. No entanto, os seguintes processos durante a configuração da instância usarão somente as permissões da função de execução, sem o contexto de identidade: Configuração do ciclo de vida Bring-Your-Own-Image, CloudWatch agente para encaminhamento de registros do usuário.
No momento, não é possível usar [acesso remoto](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html) com a propagação de identidade confiável.
Quando você usa operações de assumir função nos notebooks do Studio, as funções assumidas não propagam um contexto confiável de propagação de identidade. Somente a função de execução original mantém o contexto de identidade.
+ [SageMakerTreinamento](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html)
+ [SageMakerProcessamento](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html)
+ [SageMaker Hospedagem AI em tempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html)
+ [SageMakerOleodutos](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html)
+ [SageMakerinferência em tempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html)
+ [SageMakerInferência assíncrona](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html)
+ [Gerenciados MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html)
## AWS Serviços compatíveis
A propagação de identidade confiável para o Amazon SageMaker Studio se integra a AWS serviços compatíveis, nos quais a propagação de identidade confiável está habilitada. Consulte os [casos de uso](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html) para obter uma lista abrangente com exemplos de como habilitar a propagação de identidade confiável. Os serviços compatíveis de propagação de identidade confiável incluem os seguintes:
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)
+ [Amazon EMR no EC2](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [EMR Sem Servidor](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)
+ [API de dados do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Amazon S3 (por meio do recurso [Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html))
+ [Conexões do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)
Quando a propagação de identidade confiável é habilitada com SageMaker IA, todos os outros AWS serviços com propagação de identidade confiável ativada são conectados. Uma vez conectados, eles reconhecem e usam o contexto de identidade do usuário para controle de acesso e auditoria.
## Suportado Regiões da AWS
O Studio permite usar a propagação de identidade confiável onde é possível usar o [Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html) e o Studio com a autenticação do Centro de Identidade do IAM. O Studio oferece suporte à propagação de identidade confiável no seguinte: Regiões da AWS
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2
# Configurar a propagação de identidade confiável para o Studio
Configurar a propagação de identidade confiável para o Amazon SageMaker Studio exige que seu domínio do Amazon SageMaker AI tenha configurado o método de autenticação do IAM Identity Center. Esta seção orienta você a respeito das etapas e dos pré-requisitos necessários para habilitar e configurar a propagação de identidade confiável para seus usuários do Studio.
**Topics**
+ [Pré-requisitos](#trustedidentitypropagation-setup-prerequisites)
+ [Habilite a propagação de identidade confiável para seu domínio Amazon SageMaker AI](#trustedidentitypropagation-setup-enable)
+ [Configure sua função de execução de SageMaker IA](#trustedidentitypropagation-setup-permissions)
## Pré-requisitos
Antes de configurar a propagação de identidade confiável para SageMaker IA, configure seu IAM Identity Center usando as instruções a seguir.
**nota**
A Central de Identidade do IAM e seu domínio devem estar na mesma região.
+ [Pré-requisitos da propagação de identidade confiável do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [Configurar o Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [Adicionar usuários ao diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## Habilite a propagação de identidade confiável para seu domínio Amazon SageMaker AI
**Importante**
Você só pode habilitar a propagação de identidade confiável para domínios com o método de autenticação Centro de Identidade do AWS IAM configurado.
Seu IAM Identity Center e o domínio Amazon SageMaker AI devem estar no mesmo Região da AWS.
Use uma das opções a seguir para saber como habilitar a propagação de identidade confiável para um domínio novo ou existente.
------
#### [ New domain - console ]
**Habilite a propagação de identidade confiável para um novo domínio usando o console de SageMaker IA**
1. Abra o [console do Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Navegue até **Domínios**.
1. [Crie um domínio personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html). O domínio deve ter o método de autenticação **Centro de Identidade do AWS IAM**configurado.
1. Na seção **Propagação de identidade confiável**, escolha **Habilitar a propagação de identidade confiável para todos os usuários desse domínio**.
1. Conclua o processo de criação personalizado.
------
#### [ Existing domain - console ]
**Habilite a propagação de identidade confiável para um domínio existente usando o console de SageMaker IA**
**nota**
Para que a propagação de identidade confiável funcione adequadamente após ser habilitada para um domínio existente, os usuários precisarão reiniciar suas sessões atuais do IAM Identity Center. Para fazer isso, você também pode:
Os usuários precisarão se desconectar e fazer login novamente em suas sessões existentes do IAM Identity Center
Os administradores podem [encerrar sessões ativas para seus usuários da força de trabalho](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
1. Abra o [console do Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Navegue até **Domínios**.
1. Selecione o domínio existente. O domínio deve ter o método de autenticação **Centro de Identidade do AWS IAM**configurado.
1. Na guia **Configurações do domínio**, escolha **Editar** na seção **Autenticação e permissões**.
1. Escolha **Habilitar a propagação de identidade confiável para todos os usuários desse domínio**.
1. Preencha a configuração do domínio.
------
#### [ Existing domain - AWS CLI ]
Habilite a propagação de identidade confiável para um domínio existente usando o AWS CLI
**nota**
Para que a propagação de identidade confiável funcione adequadamente após ser habilitada para um domínio existente, os usuários precisarão reiniciar suas sessões atuais do IAM Identity Center. Para fazer isso, você também pode:
Os usuários precisarão se desconectar e fazer login novamente em suas sessões existentes do IAM Identity Center
Os administradores podem [encerrar sessões ativas para seus usuários da força de trabalho](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID`é o ID de domínio da Amazon SageMaker AI. Consulte [Exibir domínios](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html) para ter mais informações.
+ `REGION`é o Região da AWS do seu domínio Amazon SageMaker AI. Você pode encontrar isso no canto superior direito de qualquer página AWS do console.
------
## Configure sua função de execução de SageMaker IA
Para habilitar a propagação de identidade confiável para seus usuários do Studio, todas os perfis de propagação de identidade confiável precisam definir as permissões de contexto a seguir. Atualize a política de confiança para todos os perfis a fim de incluir as ações `sts:AssumeRole` e `sts:SetContext`. Use a política a seguir ao [atualizar sua política de confiança de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
# Monitoramento e auditoria com CloudTrail
Com a propagação de identidade confiável ativada, AWS CloudTrail os registros incluem as informações de identidade do usuário específico que realizou uma ação, em vez de apenas a função do IAM. Isso fornece recursos aprimorados de auditoria para melhorar a conformidade e segurança.
Para ver as informações de identidade nos CloudTrail registros:
+ Abra o [console do CloudTrail ](https://console.aws.amazon.com/cloudtrail).
+ Selecione **Histórico de eventos** no painel de navegação à esquerda.
+ Escolha eventos de SageMaker IA e serviços relacionados.
+ Em **Registro de eventos**, localize a chave `onBehalfOf`. Ele contém a chave `userId` e outras informações de identificação do usuário que podem ser correlacionadas a um usuário específico do Centro de Identidade do IAM.
Consulte os [casos de CloudTrail uso do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html) para obter mais informações.
# Sessões de usuários em segundo plano
As sessões de usuários em segundo plano continuam mesmo quando os usuários não estão mais ativos. Isso permite trabalhos de longa duração que podem continuar mesmo depois de o usuário se desconectar. Isso pode ser ativado por meio da propagação de identidade confiável da SageMaker IA. A página a seguir explica as opções de configuração e os comportamentos das sessões de usuários em segundo plano.
**nota**
As sessões de usuário ativas existentes não são afetadas quando a propagação de identidade confiável é habilitada. A duração padrão se aplica somente a sessões de novos usuários ou a sessões reiniciadas.
As sessões em segundo plano do usuário se aplicam a qualquer fluxo de trabalho de SageMaker IA de longa duração ou a trabalhos com estados persistentes. Isso inclui, mas não está limitado a, quaisquer recursos de SageMaker IA que mantenham o status de execução ou exijam monitoramento contínuo. Por exemplo, trabalhos de execução de SageMaker treinamento, processamento e pipelines.
**Topics**
+ [Configurar uma sessão de usuário em segundo plano](#configure-user-background-sessions)
+ [Duração padrão das sessões de usuários em segundo plano](#default-user-background-session-duration)
+ [Impacto da desabilitação da propagação de identidade confiável no Studio](#user-background-session-impact-disable-trustedidentitypropagation-studio)
+ [Impacto da desabilitação das sessões de usuários em segundo plano no console do Centro de Identidade do IAM](#user-background-session-impact-disable-trustedidentitypropagation-identity-center)
+ [Considerações sobre runtime](#user-background-session-runtime-considerations)
## Configurar uma sessão de usuário em segundo plano
Depois que a propagação de identidade confiável para o Amazon SageMaker Studio estiver habilitada, os limites de duração padrão poderão ser configurados por meio das [sessões em segundo plano do usuário no IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html).
## Duração padrão das sessões de usuários em segundo plano
Por padrão, todas as sessões de usuários em segundo plano têm um limite de duração de sete dias. Os administradores podem [modificar essa duração no console do Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html). Essa configuração se aplica no nível de instância do Centro de Identidade do IAM, afetando todas as aplicações do Centro de Identidade do IAM e domínios do Studio compatíveis nessa instância.
Quando a propagação de identidade confiável estiver ativada, os administradores no console de SageMaker IA encontrarão um banner com as seguintes informações:
+ O limite de duração das sessões de usuários em segundo plano.
+ Um link para o console do Centro de Identidade do IAM, onde os administradores podem alterar essa configuração.
+ A duração pode ser definida para qualquer valor, de 15 minutos a 90 dias.
Uma mensagem será exibida quando uma sessão de usuário em segundo plano expirar. Você pode usar o link para o console do Centro de Identidade do IAM para atualizar a duração.
## Impacto da desabilitação da propagação de identidade confiável no Studio
Se um administrador desabilitar a propagação de identidade confiável, depois de ativá-la inicialmente, no console do SageMaker AI:
+ Os trabalhos existentes continuarão sendo executados sem interrupção quando as sessões de usuários em segundo plano forem habilitadas.
+ Quando as sessões em segundo plano do usuário são desativadas, qualquer fluxo de trabalho de SageMaker IA de longa duração ou trabalho com estados persistentes passará a usar sessões interativas. Isso inclui, mas não está limitado a, quaisquer recursos de SageMaker IA que mantenham o status de execução ou exijam monitoramento contínuo. Por exemplo, trabalhos de SageMaker treinamento e processamento da Amazon.
+ Os usuários poderão reiniciar trabalhos expirados usando os pontos de verificação.
+ Os novos trabalhos serão executados com credenciais de perfil do IAM e não propagarão o contexto de identidade.
## Impacto da desabilitação das sessões de usuários em segundo plano no console do Centro de Identidade do IAM
Quando a sessão em segundo plano do usuário é **desativada** para a instância do IAM Identity Center, o trabalho de SageMaker IA usa sessões interativas com o usuário. Ao usar sessões interativas, um trabalho de SageMaker IA falhará em 15 minutos quando:
+ O usuário se desconectar.
+ A sessão interativa for revogada pelo administrador.
Quando a sessão em segundo plano do usuário está **habilitada** para a instância do IAM Identity Center, o trabalho de SageMaker IA usa sessões em segundo plano do usuário. Ao usar sessões interativas, um trabalho de SageMaker IA falhará em 15 minutos quando:
+ A sessão de usuário em segundo plano expirar.
+ A sessão de usuário em segundo plano for revogada manualmente por um administrador.
Veja a seguir um exemplo de comportamento com trabalhos SageMaker de treinamento. Quando um administrador habilita a propagação de identidade confiável, mas desabilita as [sessões de usuários em segundo plano](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) no console do Centro de Identidade do IAM:
+ Se um usuário permanecer conectado, suas tarefas de treinamento criadas enquanto as sessões em segundo plano estão desabilitadas retornarão para a sessão interativa.
+ Se o usuário se desconectar, a sessão expirará e as tarefas de treinamento, dependendo da sessão interativa, falharão.
+ Os usuários podem reiniciar a tarefa de treinamento usando o último ponto de verificação. A duração da sessão é determinada pelo que está definido para a duração da sessão interativa no console do Centro de Identidade do IAM.
+ Se um usuário desabilitar as sessões em segundo plano **depois** de iniciar um trabalho, o trabalho continuará usando as sessões em segundo plano existentes. Em outras palavras, a SageMaker IA não criará nenhuma nova sessão em segundo plano.
O mesmo comportamento se aplica se as sessões em segundo plano estiverem habilitadas no nível da instância do IAM Identity Center, mas desativadas especificamente para o aplicativo Studio usando o [IAM Identity Center APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html).
## Considerações sobre runtime
Quando um administrador define trabalhos `MaxRuntimeInSeconds` de treinamento ou processamento de longa duração inferiores à duração da sessão em segundo plano do usuário, a SageMaker IA executa o trabalho pelo mínimo de uma `MaxRuntimeInSeconds` ou outra duração da sessão em segundo plano do usuário. Para saber mais sobre o `MaxRuntimeInSeconds`, consulte [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition). Consulte [User background sessions](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) no “Guia do usuário do Centro de Identidade do IAM” para ter informações sobre como definir o tempo de execução.
# Como se conectar a outros AWS serviços com a propagação de identidade confiável ativada
Quando a propagação de identidade confiável está habilitada para seu domínio Amazon SageMaker AI, os usuários do domínio podem se conectar a outros serviços confiáveis habilitados AWS para propagação de identidade. Quando a propagação de identidade confiável é habilitada, seu contexto de identidade é propagado automaticamente para serviços compatíveis, permitindo um controle de acesso refinado e uma auditoria aprimorada em seus fluxos de trabalho de machine learning. Essa integração elimina a necessidade de troca complexa de funções do IAM e fornece uma experiência de identidade unificada em todos AWS os serviços. As páginas a seguir fornecem informações sobre como conectar o Amazon SageMaker Studio a outros AWS serviços quando a propagação de identidade confiável está habilitada.
**Topics**
+ [Conecte os JupyterLab notebooks do Connect Studio aos Amazon S3 Access Grants com a propagação de identidade confiável habilitada](trustedidentitypropagation-s3-access-grants.md)
+ [Conecte os JupyterLab notebooks Connect Studio ao Amazon EMR com a propagação de identidade confiável ativada](trustedidentitypropagation-emr-ec2.md)
+ [Conecte seus JupyterLab notebooks Studio ao EMR Serverless com a propagação de identidade confiável ativada](trustedidentitypropagation-emr-serverless.md)
+ [Conecte os JupyterLab notebooks do Connect Studio à API Redshift Data com a propagação de identidade confiável ativada](trustedidentitypropagation-redshift-data-apis.md)
+ [Conecte os JupyterLab notebooks Connect Studio ao Lake Formation e ao Athena com a propagação de identidade confiável ativada](trustedidentitypropagation-lake-formation-athena.md)
# Conecte os JupyterLab notebooks do Connect Studio aos Amazon S3 Access Grants com a propagação de identidade confiável habilitada
É possível usar o recurso [Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para conceder flexivelmente um controle de acesso refinado baseado em identidade aos locais do Amazon S3. Esse recurso concede acesso aos buckets do Amazon S3 diretamente a seus usuários e grupos empresariais. As páginas a seguir fornecem informações e instruções sobre como usar o Amazon S3 Access Grants com propagação de identidade confiável para IA. SageMaker
## Pré-requisitos
Para conectar o Studio ao Lake Formation e ao Athena com a propagação de identidade confiável habilitada, atenda aos seguintes pré-requisitos:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ Siga as instruções em [Conceitos básicos da funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) para configurar o recurso Concessão de Acesso do Amazon S3 para seu bucket. Consulte [Scaling data access with Amazon S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/) para ter mais informações.
**nota**
O Amazon S3 padrão APIs não funciona automaticamente com os Amazon S3 Access Grants. Você deve usar explicitamente o Amazon S3 Access Grants. APIs Consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para ter mais informações.
**Topics**
+ [Pré-requisitos](#s3-access-grants-prerequisites)
+ [Conecte as concessões de acesso do Amazon S3 com notebooks Studio JupyterLab](s3-access-grants-setup.md)
+ [Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento](trustedidentitypropagation-s3-access-grants-jobs.md)
# Conecte as concessões de acesso do Amazon S3 com notebooks Studio JupyterLab
Use as informações a seguir para conceder concessões de acesso ao Amazon S3 em notebooks Studio JupyterLab .
Depois que o recurso Concessão de Acesso do Amazon S3 for configurado, [adicione as permissões a seguir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ao seu domínio ou [perfil de execução](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuário.
+ `us-east-1` é sua Região da AWS.
+ `111122223333` é o ID da Conta da AWS .
+ `S3-ACCESS-GRANT-ROLE` é o perfil do recurso Concessão de Acesso do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
A política de confiança do perfil do recurso Concessão de Acesso do Amazon S3 dever permitir as ações `sts:SetContext` e `sts:AssumeRole`. Veja a seguir um exemplo de política para quando você [atualiza sua política de confiança de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Usar o recurso Concessão de Acesso do Amazon S3 para chamar o Amazon S3
Veja a seguir um exemplo de script em Python que mostra como o recurso Concessão de Acesso do Amazon S3 pode ser usado para chamar o Amazon S3. Isso pressupõe que você já tenha configurado com êxito a propagação de identidade confiável com SageMaker IA.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Se você usar um caminho para um bucket do Amazon S3 onde o recurso Concessão de Acesso do Amazon S3 não esteja habilitado, a chamada falhará.
Para ter mais informações sobre outras linguagens de programação, consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
# Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento
Use as informações a seguir para conceder ao Amazon S3 Access Grants para acessar dados em trabalhos de SageMaker treinamento e processamento da Amazon.
Quando um usuário com propagação de identidade confiável habilitada inicia um trabalho de SageMaker treinamento ou processamento que precisa acessar os dados do Amazon S3:
+ SageMaker A IA chama o Amazon S3 Access Grants para obter credenciais temporárias com base na identidade do usuário
+ Se a operação for bem-sucedida, essas credenciais temporárias acessam os dados do Amazon S3.
+ Se não for bem-sucedida, a SageMaker IA volta a usar as credenciais da função do IAM
**nota**
Para garantir que todas as permissões sejam concedidas por meio do recurso Concessão de Acesso do Amazon S3, você precisará remover a permissão de acesso relacionada ao Amazon S3 do seu perfil de execução e anexá-la à sua [concessão de acesso do Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondente.
**Topics**
+ [Considerações](#s3-access-grants-jobs-considerations)
+ [Configurar o recurso Concessão de Acesso do Amazon S3 com tarefas de treinamento e processamento](#s3-access-grants-jobs-setup)
## Considerações
Os Amazon S3 Access Grants não podem ser usados com o [modo Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) para SageMaker treinamento e processamento de entradas do Amazon S3.
Quando a propagação de identidade confiável está habilitada, você não pode iniciar um SageMaker Training Job com o seguinte recurso
+ Depuração remota
+ Debugger
+ Profiler
Quando a propagação de identidade confiável está habilitada, não é possível iniciar uma tarefa de processamento com o seguinte recurso:
+ DatasetDefinition
## Configurar o recurso Concessão de Acesso do Amazon S3 com tarefas de treinamento e processamento
Depois que o recurso Concessão de Acesso do Amazon S3 for configurado, [adicione as permissões a seguir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ao seu domínio ou [perfil de execução](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuário.
+ `us-east-1` é sua Região da AWS.
+ `111122223333` é o ID da Conta da AWS .
+ `S3-ACCESS-GRANT-ROLE` é o perfil do recurso Concessão de Acesso do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# Conecte os JupyterLab notebooks Connect Studio ao Amazon EMR com a propagação de identidade confiável ativada
Conectar os JupyterLab notebooks Amazon SageMaker Studio aos clusters do Amazon EMR permite que você aproveite o poder de computação distribuída do Amazon EMR para cargas de trabalho analíticas e de processamento de dados em grande escala. Com a propagação de identidade confiável habilitada, seu contexto de identidade é propagado para o Amazon EMR, permitindo um controle de acesso refinado e trilhas de auditoria abrangentes. A página a seguir fornece instruções sobre como conectar seu caderno do Studio com clusters do Amazon EMR. Após a configuração, você pode usar a opção `Connect to Cluster` em seu caderno do Studio.
Para conectar o Studio ao Amazon EMR com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Introdução à Centro de Identidade do AWS IAM integração com o Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Habilitar comunicações entre o Studio e clusters do Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Conectar-se ao cluster do Amazon EMR**
Para obter uma lista completa de opções sobre como conectar seu JupyterLab notebook ao Amazon EMR, consulte [Conecte-se a um cluster do Amazon EMR.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)
# Conecte seus JupyterLab notebooks Studio ao EMR Serverless com a propagação de identidade confiável ativada
O Amazon EMR Sem Servidor oferece uma opção sem servidor para executar aplicações do Apache Spark e do Apache Hive sem gerenciar clusters. Quando integrado à propagação de identidade confiável, o EMR Sem Servidor escala automaticamente os recursos de computação e, ao mesmo tempo, mantém seu contexto de identidade para controle de acesso e auditoria. Essa abordagem elimina os custos operacionais indiretos do gerenciamento de clusters e preserva os benefícios de segurança do controle de acesso baseado em identidade. A seção a seguir fornece informações sobre como conectar o Studio habilitado para propagação de identidade confiável com o EMR Sem Servidor.
Para conectar o Studio ao Amazon EMR Sem Servidor com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Propagação de identidade confiável com o EMR Sem Servidor](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Habilitar comunicações entre o Studio e clusters do Amazon EMR Sem Servidor](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**Conectar-se à aplicação do EMR Sem Servidor**
Para obter uma lista completa de opções sobre como conectar seu JupyterLab notebook ao EMR Serverless, consulte [Conectar-se a um aplicativo EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.
# Conecte os JupyterLab notebooks do Connect Studio à API Redshift Data com a propagação de identidade confiável ativada
A API de dados do Amazon Redshift permite que você interaja programaticamente com seus clusters do Amazon Redshift sem gerenciar conexões persistentes. Quando combinada com a propagação de identidade confiável, a API de dados do Redshift oferece acesso seguro e baseado em identidade ao seu data warehouse, permitindo que você execute consultas SQL e recupere resultados enquanto mantém trilhas de auditoria completas das atividades do usuário. Essa integração é particularmente valiosa para fluxos de trabalho de ciência de dados que exigem acesso a dados estruturados armazenados no Redshift. A página a seguir inclui informações e instruções sobre como conectar a propagação de identidade confiável com o Amazon SageMaker Studio à API de dados do Redshift.
Para conectar o Studio à API de dados do Redshift com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Usar a API de dados com propagação de identidade confiável](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Seu perfil de execução deve permissões relevantes para a API de dados do Redshift. Para ter mais informações, consulte [Usar acesso de autenticação](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+ [Simplifique o gerenciamento de acesso com o Amazon Redshift e AWS Lake Formation para usuários em um provedor de identidade externo](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# Conecte os JupyterLab notebooks Connect Studio ao Lake Formation e ao Athena com a propagação de identidade confiável ativada
AWS Lake Formation e o Amazon Athena trabalham juntos para fornecer uma solução abrangente de data lake com controle de acesso refinado e recursos de consulta sem servidor. O Lake Formation centraliza o gerenciamento de permissões para seu data lake, enquanto o Athena fornece serviços de consulta interativos. Quando integrada à propagação de identidade confiável, essa combinação permite que os cientistas de dados acessem somente os dados que estão autorizados a ver, com todas as consultas e o acesso aos dados registrados em log automaticamente para fins de conformidade e auditoria. A página a seguir fornece informações e instruções sobre como conectar a propagação de identidade confiável com o Amazon SageMaker Studio ao Lake Formation e ao Athena
Para conectar o Studio ao Lake Formation e ao Athena com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Criar um perfil do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Conectar o Lake Formation com o Centro de Identidade do IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Criar recursos do Lake Formation:
+ [Banco de dados](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [Tabelas](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Criar um grupo de trabalho do Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ Escolha o **AthenaSQL** para o mecanismo.
+ Escolha **Centro de Identidade do IAM** como método de autenticação.
+ Crie um perfil de serviço.
+ Os usuários do Centro de Identidade do IAM devem ter acesso ao local do resultado da consulta usando o recurso Concessão de Acesso do Amazon S3.
+ [Conceder permissões de banco de dados usando o método de recurso nomeado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)