受信任的身分傳播架構和相容性 - Amazon SageMaker AI
相容 SageMaker AI 功能相容 AWS 服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

受信任的身分傳播架構和相容性

受信任的身分傳播 AWS IAM Identity Center 與 Amazon SageMaker Studio 和其他連線 AWS 服務整合,以跨服務傳播使用者的身分內容。下頁摘要說明信任的身分傳播架構,以及與 SageMaker AI 的相容性。如需受信任身分傳播如何運作的完整概觀 AWS,請參閱受信任身分傳播概觀

受信任身分傳播架構的關鍵元件包括:

  • 信任的身分傳播:在應用程式和服務之間傳播使用者身分內容的方法

  • 身分內容:使用者的相關資訊

  • 身分增強型 IAM 角色工作階段:身分增強型角色工作階段具有新增的身分內容,可將使用者識別符帶到其呼叫 AWS 的服務

  • 連線 AWS 服務:其他可辨識透過受信任身分傳播傳播之身分內容的 AWS 服務

信任的身分傳播可讓連線 AWS 的服務根據使用者的身分做出存取決策。在 Studio 本身中,IAM 角色用作身分內容的電信業者,而不是用於做出存取控制決策。身分內容會傳播到已連線 AWS 的服務,可用於存取控制和稽核目的。如需詳細資訊,請參閱信任的身分傳播考量

當您使用 Studio 啟用受信任身分傳播並透過 IAM Identity Center 驗證時,SageMaker AI:

  • 從 IAM Identity Center 擷取使用者的身分內容

  • 建立包含使用者身分內容的身分增強 IAM 角色工作階段

  • 當使用者存取 資源時,將身分增強的 IAM 角色工作階段傳遞至相容的 AWS 服務

  • 讓下游 AWS 服務根據使用者身分進行存取決策和日誌活動

相容 SageMaker AI 功能

信任的身分傳播適用於下列 Studio 功能:

注意

  • 當 Studio 啟動並啟用受信任身分傳播時,除了您的執行角色許可之外,還會使用您的身分內容。不過,下列程序在執行個體設定期間只會使用執行角色許可,而不使用身分內容:生命週期組態、Bring-Your-Own-Image、CloudWatch 代理程式進行使用者日誌轉送

  • 受信任身分傳播目前不支援遠端存取

相容 AWS 服務

Amazon SageMaker Studio 的受信任身分傳播與啟用受信任身分傳播的相容 AWS 服務整合。如需如何啟用受信任身分傳播的範例,請參閱完整清單的使用案例。受信任的身分傳播相容服務包括下列項目。

使用 SageMaker AI 啟用受信任身分傳播時,會連接 AWS 具有受信任身分傳播的其他服務。連線後,他們會識別並使用使用者的身分內容進行存取控制和稽核。

Studio 支援受信任的身分傳播,其中支援 IAM Identity Center,並支援具有 IAM Identity Center 身分驗證的 Studio。Studio 支援下列信任的身分傳播 AWS 區域:

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2