可信身份传播架构和兼容性 - 亚马逊 SageMaker AI
兼容的 SageMaker AI 功能兼容的 AWS 服务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可信身份传播架构和兼容性

可信身份传播 AWS IAM Identity Center 与 Amazon SageMaker Studio 和其他关联 AWS 服务集成,可跨服务传播用户的身份上下文。下一页总结了可信身份传播架构以及与 SageMaker AI 的兼容性。有关可信身份传播工作原理的全面概述 AWS,请参阅可信身份传播概述

可信身份传播架构的关键组件包括:

  • 可信身份传播:一种在应用程序和服务之间传播用户身份上下文的方法

  • 身份上下文:有关用户的信息

  • 身份增强型 IAM 角色会话:身份增强型角色会话添加了身份上下文,该上下文将用户标识符传递给它所 AWS 调用的服务

  • 互联 AWS 服务:可以识别通过可信身份传播传播传播的身份上下文的其他 AWS 服务

可信身份传播允许互联 AWS 服务根据用户的身份做出访问决策。在 Studio 本身中,IAM 角色用作身份上下文的载体,而不是用于做出访问控制决策。身份上下文会传播到连接的 AWS 服务,在这些服务中,它既可以用于访问控制,也可以用于审计目的。有关更多信息,请参阅可信身份传播注意事项

当您使用 Studio 启用可信身份传播并通过 IAM 身份中心进行身份验证时,A SageMaker I:

  • 从 IAM 身份中心捕获用户的身份上下文

  • 创建包含用户身份上下文的身份增强型 IAM 角色会话

  • 当用户访问资源时,将身份增强型 IAM 角色会话传递给兼容的 AWS 服务

  • 使下游 AWS 服务能够根据用户身份做出访问决策和记录活动

兼容的 SageMaker AI 功能

可信身份传播可与以下 Studio 功能配合使用:

注意

  • 当 Studio 在启用可信身份传播的情况下启动时,除了执行角色权限外,它还会使用您的身份上下文。但是,在实例设置期间,以下流程将仅使用执行角色权限,而不使用身份上下文:生命周期配置 Bring-Your-Own-Image、用于用户日志转发的 CloudWatch 代理

  • 可信身份传播目前不支持@@ 远程访问

兼容的 AWS 服务

Amazon SageMaker Studio 的可信身份传播与兼容 AWS 服务集成,其中启用了可信身份传播。有关如何启用可信身份传播的示例的完整列表,请参阅用例。与可信身份传播兼容的服务包括以下内容。

当通过 SageMaker AI 启用可信身份传播时,启用了可信身份传播的彼此 AWS 服务就会相互连接。连接后,他们就会识别并使用用户的身份上下文进行访问控制和审计。

Studio 支持可信身份传播,其中支持 IAM 身份中心,支持采用 IAM 身份中心身份验证的 Studio。Studio 支持以下方面的可信身份传播 AWS 区域:

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2