Menyiapkan propagasi identitas tepercaya dengan Studio SageMaker - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan propagasi identitas tepercaya dengan Studio SageMaker

Prosedur berikut memandu Anda melalui pengaturan SageMaker Studio untuk propagasi identitas tepercaya dan sesi latar belakang pengguna.

Prasyarat

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus menyelesaikan tugas-tugas berikut:

  1. Aktifkan Pusat Identitas IAM. Sebuah contoh organisasi diperlukan. Untuk informasi selengkapnya, lihat Prasyarat dan pertimbangan.

  2. Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM.

  3. Konfirmasikan bahwa sesi latar belakang pengguna diaktifkan di konsol Pusat Identitas IAM. Secara default, sesi latar belakang pengguna diaktifkan dan durasi sesi diatur ke 7 hari. Anda dapat mengubah durasi ini.

Untuk menyiapkan propagasi identitas tepercaya dari SageMaker Studio, administrator SageMaker Studio harus melakukan langkah-langkah berikut.

Langkah 1: Aktifkan propagasi identitas tepercaya di domain SageMaker Studio baru atau yang sudah ada

SageMaker Studio menggunakan domain untuk mengatur profil pengguna, aplikasi, dan sumber daya terkait. Untuk mengaktifkan propagasi identitas tepercaya, Anda harus membuat domain SageMaker Studio atau memodifikasi domain yang ada seperti yang dijelaskan dalam prosedur berikut.

  1. Buka konsol SageMaker AI, navigasikan ke Domain, dan lakukan salah satu hal berikut.

    • Buat domain SageMaker Studio baru dengan menggunakan Pengaturan untuk organisasi.

      Pilih Siapkan untuk organisasi, lalu lakukan hal berikut:

      • Pilih Pusat AWS Identitas sebagai metode otentikasi.

      • Pilih kotak centang Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini.

    • Ubah domain SageMaker Studio yang ada.

      • Pilih domain yang sudah ada yang menggunakan IAM Identity Center untuk autentikasi.

        penting

        Propagasi identitas tepercaya hanya didukung di domain SageMaker Studio yang menggunakan IAM Identity Center untuk autentikasi. Jika domain menggunakan IAM untuk otentikasi, Anda tidak dapat mengubah metode otentikasi, dan oleh karena itu Anda tidak dapat mengaktifkan propagasi identitas tepercaya.

      • Edit pengaturan domain. Edit pengaturan Autentikasi dan izin untuk mengaktifkan propagasi identitas tepercaya.

  2. Lanjutkan ke Langkah 2: Konfigurasikan peran eksekusi domain default. Peran ini diperlukan bagi pengguna domain SageMaker Studio untuk mengakses AWS layanan lain seperti Amazon S3.

Langkah 2: Konfigurasikan peran eksekusi domain default dan kebijakan kepercayaan peran

Peran eksekusi domain adalah peran IAM yang diasumsikan oleh domain SageMaker Studio atas nama semua pengguna dalam domain. Izin yang Anda tetapkan untuk peran ini menentukan tindakan yang dapat dilakukan SageMaker Studio.

  1. Untuk membuat atau memilih peran eksekusi domain, lakukan salah satu hal berikut:

    • Buat atau pilih peran dengan menggunakan Pengaturan untuk organisasi.

      • Buka konsol SageMaker AI dan ikuti panduan konsol di Langkah 2: Konfigurasikan peran dan aktivitas ML untuk membuat peran eksekusi domain baru atau memilih peran yang sudah ada.

      • Selesaikan langkah-langkah penyiapan lainnya untuk membuat domain SageMaker Studio Anda.

    • Buat peran eksekusi secara manual.

  2. Perbarui kebijakan kepercayaan yang dilampirkan ke peran eksekusi domain sehingga mencakup dua tindakan berikut: sts:AssumeRoledan sts:SetContext. Untuk informasi tentang cara menemukan peran eksekusi untuk domain SageMaker Studio Anda, lihat Mendapatkan peran eksekusi domain.

    Kebijakan kepercayaan menentukan identitas yang dapat mengambil peran. Kebijakan ini diperlukan untuk mengizinkan layanan SageMaker Studio mengambil peran eksekusi domain. Tambahkan kedua tindakan ini sehingga muncul sebagai berikut dalam kebijakan Anda.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }

Langkah 3: Verifikasi izin Amazon S3 Access Grant yang diperlukan untuk peran eksekusi domain

Untuk menggunakan Amazon S3 Access Grants, Anda harus memiliki kebijakan izin yang dilampirkan (baik sebagai kebijakan inline atau kebijakan terkelola pelanggan) ke peran eksekusi domain SageMaker Studio Anda yang berisi izin berikut.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:GetAccessGrantsInstanceForPrefix" ] "Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default" } ] }

Jika Anda tidak memiliki kebijakan yang berisi izin ini, ikuti petunjuk di Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna.AWS Identity and Access Management

Langkah 4: Tetapkan grup dan pengguna ke domain

Tetapkan grup dan pengguna ke domain SageMaker Studio dengan mengikuti langkah-langkah di Tambahkan grup dan pengguna.

Langkah 5: Siapkan Hibah Akses Amazon S3

Untuk menyiapkan Hibah Akses Amazon S3, ikuti langkah-langkah dalam Mengonfigurasi Hibah Akses Amazon S3 untuk propagasi identitas tepercaya melalui Pusat Identitas IAM. Gunakan step-by-step instruksi untuk menyelesaikan tugas-tugas berikut:

  1. Buat instance Amazon S3 Access Grants.

  2. Daftarkan lokasi dalam contoh itu.

  3. Buat hibah untuk memungkinkan pengguna atau grup Pusat Identitas IAM tertentu mengakses lokasi atau subset Amazon S3 yang ditentukan (misalnya, awalan tertentu) di dalam lokasi tersebut.

Langkah 6: Kirim pekerjaan SageMaker pelatihan dan lihat detail sesi latar belakang pengguna

Di SageMaker Studio, luncurkan notebook Jupyter baru dan kirimkan pekerjaan pelatihan. Saat pekerjaan sedang berjalan, selesaikan langkah-langkah berikut untuk melihat informasi sesi dan untuk memverifikasi bahwa konteks sesi latar belakang pengguna aktif.

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Pengguna.

  3. Pada halaman Pengguna, pilih nama pengguna pengguna yang sesinya ingin Anda kelola. Ini membawa Anda ke halaman dengan informasi pengguna.

  4. Pada halaman pengguna, pilih tab Sesi aktif. Angka dalam tanda kurung di samping sesi Aktif menunjukkan jumlah sesi aktif untuk pengguna ini.

  5. Untuk mencari sesi berdasarkan Nama Sumber Daya Amazon (ARN) dari pekerjaan yang menggunakan sesi, dalam daftar Jenis sesi, pilih Sesi latar belakang pengguna, lalu masukkan ARN pekerjaan di kotak pencarian.

Berikut ini adalah contoh bagaimana pekerjaan pelatihan yang menggunakan sesi latar belakang pengguna muncul di tab sesi ctive untuk pengguna.

Langkah 7: Lihat CloudTrail log untuk memverifikasi propagasi identitas tepercaya CloudTrail

Saat propagasi identitas tepercaya diaktifkan, tindakan muncul di log CloudTrail peristiwa di bawah onBehalfOf elemen. Ini userId mencerminkan ID pengguna Pusat Identitas IAM yang memulai pekerjaan pelatihan. CloudTrail Peristiwa berikut menangkap proses propagasi identitas tepercaya.

"userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:SageMaker", "arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker", "accountId": "111122223333", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817", "accountId": "111122223333", "userName": "SageMaker-ExecutionRole-20250728T125817" }, "attributes": { "creationDate": "2025-07-29T17:17:10Z", "mfaAuthenticated": "false" } }, "onBehalfOf": { "userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10", "identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890" } },

Pertimbangan runtime

Jika administrator menetapkan pelatihan yang berjalan MaxRuntimeInSecondslama atau memproses pekerjaan yang lebih rendah dari durasi sesi latar belakang pengguna, SageMaker Studio menjalankan pekerjaan untuk minimum salah satu MaxRuntimeInSeconds atau durasi sesi latar belakang pengguna.

Untuk informasi selengkapnya MaxRuntimeInSeconds, lihat panduan untuk CreateTrainingJob StoppingConditionparameter di Referensi Amazon SageMaker API.