本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

設定 Studio 的受信任身分傳播

為 Amazon SageMaker Studio 設定受信任身分傳播需要您的 Amazon SageMaker AI 網域設定 IAM Identity Center 身分驗證方法。本節將引導您完成為 Studio 使用者啟用和設定受信任身分傳播所需的先決條件和步驟。

先決條件

在設定 SageMaker AI 的受信任身分傳播之前，請使用下列指示設定 IAM Identity Center。

為您的 Amazon SageMaker AI 網域啟用受信任的身分傳播

使用下列其中一個選項，了解如何為新的或現有的網域啟用受信任身分傳播。

New domain - console

使用 SageMaker AI 主控台啟用新網域的受信任身分傳播

1. 開啟 Amazon SageMaker AI 主控台。

2. 導覽至網域。

3. 建立自訂網域。網域必須設定 AWS IAM Identity Center 驗證方法。

4. 在受信任身分傳播區段中，選擇針對此網域上的所有使用者啟用受信任身分傳播。

5. 完成自訂建立程序。

Existing domain - console

使用 SageMaker AI 主控台啟用現有網域的受信任身分傳播

注意

若要讓受信任的身分傳播在為現有網域啟用之後正常運作，使用者將需要重新啟動其現有的 IAM Identity Center 工作階段。若要這樣做，請執行下列其中一項操作：

• 使用者將需要登出並重新登入其現有的 IAM Identity Center 工作階段

• 管理員可以結束其人力資源使用者的作用中工作階段。

1. 開啟 Amazon SageMaker AI 主控台。

2. 導覽至網域。

3. 選取您現有的網域。網域必須設定 AWS IAM Identity Center 驗證方法。

4. 在網域設定索引標籤中，選擇驗證和許可區段中的編輯。

5. 選擇針對此網域上的所有使用者受信任身分傳播。

6. 完成網域組態。

Existing domain -AWS CLI

使用 啟用現有網域的受信任身分傳播 AWS CLI

注意

若要讓受信任的身分傳播在為現有網域啟用之後正常運作，使用者將需要重新啟動其現有的 IAM Identity Center 工作階段。若要這樣做，請執行下列其中一項操作：

• 使用者將需要登出並重新登入其現有的 IAM Identity Center 工作階段

• 管理員可以結束其人力資源使用者的作用中工作階段。

aws sagemaker update-domain \
    --region $REGION \
    --domain-id $DOMAIN_ID \
    --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"

• DOMAIN_ID 是 Amazon SageMaker AI 網域 ID。如需詳細資訊，請參閱檢視網域。

• REGION 是 Amazon SageMaker AI 網域AWS 區域的 。您可以在任何AWS主控台頁面的右上角找到此項目。

設定 SageMaker AI 執行角色

若要針對 Studio 使用者啟用受信任身分傳播，所有受信任身分傳播角色都需要設定下列內容許可。更新所有角色的信任政策，以包含 sts:AssumeRole 和 sts:SetContext 動作。當您更新角色信任政策時，請使用下列政策。

JSON

{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}