本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 Studio 设置可信身份传播
为 Amazon SageMaker Studio 设置可信身份传播需要您的 Amazon A SageMaker I 域配置 IAM 身份中心身份验证方法。此部分将指导您完成为 Studio 用户启用和配置可信身份传播所需的先决条件和步骤。
**Topics**
+ [先决条件](#trustedidentitypropagation-setup-prerequisites)
+ [为您的 Amazon A SageMaker I 域启用可信身份传播](#trustedidentitypropagation-setup-enable)
+ [配置你的 SageMaker AI 执行角色](#trustedidentitypropagation-setup-permissions)
## 先决条件
在为 SageMaker AI 设置可信身份传播之前,请按照以下说明设置您的 IAM 身份中心。
**注意**
确保 IAM Identity Center 和域位于同一区域。
+ [IAM Identity Center 可信身份传播先决条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [设置 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [将用户添加到 IAM Identity Center 目录](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## 为您的 Amazon A SageMaker I 域启用可信身份传播
**重要**
您只能为已配置 AWS IAM Identity Center 身份验证方法的域启用可信身份传播。
您的 IAM 身份中心和 SageMaker Amazon AI 域名必须相同 AWS 区域。
通过下列选项之一来了解如何为新域或现有域启用可信身份传播。
------
#### [ New domain - console ]
**使用 SageMaker AI 控制台为新域启用可信身份传播**
1. 打开[亚马逊 A SageMaker I 控制台](https://console.aws.amazon.com/sagemaker)。
1. 导航到**域**。
1. [创建自定义域](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html)。该域必须已配置 **AWS IAM Identity Center** 身份验证方法。
1. 在**可信身份传播**部分,选择**为该域上的所有用户启用可信身份传播**。
1. 完成自定义创建过程。
------
#### [ Existing domain - console ]
**使用 SageMaker AI 控制台为现有域启用可信身份传播**
**注意**
为了在为现有域启用可信身份传播后正常运行,用户需要重新启动其现有的 IAM Identity Center 会话。要做到这一点,可以:
用户需要注销并重新登录其现有的 IAM 身份中心会话
管理员可以[结束员工用户的活动会话](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html)。
1. 打开[亚马逊 A SageMaker I 控制台](https://console.aws.amazon.com/sagemaker)。
1. 导航到**域**。
1. 选择现有域。该域必须已配置 **AWS IAM Identity Center** 身份验证方法。
1. 在**域设置**选项卡中,选择**身份验证和权限**部分中的**编辑**。
1. 选择**为该域上的所有用户启用可信身份传播**。
1. 完成域配置。
------
#### [ Existing domain - AWS CLI ]
使用为现有域启用可信身份传播 AWS CLI
**注意**
为了在为现有域启用可信身份传播后正常运行,用户需要重新启动其现有的 IAM Identity Center 会话。要做到这一点,可以:
用户需要注销并重新登录其现有的 IAM 身份中心会话
管理员可以[结束员工用户的活动会话](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html)。
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID`是亚马逊 A SageMaker I 域名 ID。有关更多信息,请参阅[查看域](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html)。
+ `REGION`是你 AWS 区域 的 Amazon A SageMaker I 域名。你可以在任何 AWS 主机页面的右上角找到它。
------
## 配置你的 SageMaker AI 执行角色
要为 Studio 用户启用可信身份传播,所有可信身份传播角色都需要设置以下上下文权限。更新所有角色的信任策略以包含 `sts:AssumeRole` 和 `sts:SetContext` 操作。[更新角色信任策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)时,请使用以下策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------