Studio の信頼できる ID 伝達の設定 - Amazon SageMaker AI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Studio の信頼できる ID 伝達の設定

Amazon SageMaker Studio の信頼できる ID 伝達を設定するには、Amazon SageMaker AI ドメインに IAM Identity Center 認証方法を設定する必要があります。このセクションでは、Studio ユーザーの信頼できる ID の伝播を有効にして設定するために必要な前提条件と手順について説明します。

前提条件

SageMaker AI の信頼できる ID 伝達を設定する前に、以下の手順を使用して IAM アイデンティティセンターを設定します。

注記

IAM アイデンティティセンターとドメインが同じリージョンにあることを確認します。

Amazon SageMaker AI ドメインで信頼できる ID の伝播を有効にする

重要

信頼された ID の伝播は、認証方法が設定されたドメイン AWS IAM Identity Center に対してのみ有効にできます。IAM Identity Center と Amazon SageMaker AI ドメインは、同じ に存在する必要があります AWS リージョン。

次のいずれかのオプションを使用して、新規または既存のドメインに対して信頼できる ID の伝播を有効にする方法について説明します。

SageMaker AI コンソールを使用する新しいドメインの場合:

  1. Amazon SageMaker AI コンソールを開きます。

  2. ドメインに移動します。

  3. カスタムドメインを作成します。ドメインにはAWS IAM Identity Center認証方法が設定されている必要があります。

  4. 信頼された ID の伝播セクションで、このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にするを選択します。

  5. カスタム作成プロセスを完了します。

SageMaker AI コンソールを使用する既存のドメインの場合:

  1. Amazon SageMaker AI コンソールを開きます。

  2. ドメインに移動します。

  3. 既存のドメインを選択します。ドメインにはAWS IAM Identity Center認証方法が設定されている必要があります。

  4. ドメイン設定タブで、「認証とアクセス許可」セクションの「編集」を選択します。

  5. このドメインのすべてのユーザーに対して信頼された ID 伝達を有効にするには、 を選択します。

  6. ドメイン設定を完了します。

を使用する既存のドメインの場合 AWS CLI:

aws sagemaker update-domain \ --region $REGION \ --domain-id $DOMAIN_ID \ --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
  • DOMAIN_ID は Amazon SageMaker AI ドメイン ID です。詳細については、「ドメインの表示」を参照してください。

  • REGION は、Amazon SageMaker AI ドメイン AWS リージョン の です。これは、 AWS コンソールページの右上にあります。

SageMaker AI 実行ロールを設定する

Studio ユーザーの信頼できる ID 伝達を有効にするには、すべての信頼できる ID 伝達ロールに次のコンテキストアクセス許可を設定する必要があります。すべてのロールの信頼ポリシーを更新して、 sts:AssumeRole および sts:SetContextアクションを含めます。ロールの信頼ポリシーを更新するときは、次のポリシーを使用します

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }