为 Studio 设置可信身份传播

为 Amazon SageMaker Studio 设置可信身份传播需要您的 Amazon A SageMaker I 域配置 IAM 身份中心身份验证方法。本节将指导您完成为 Studio 用户启用和配置可信身份传播所需的先决条件和步骤。

先决条件

在为 SageMaker AI 设置可信身份传播之前，请按照以下说明设置您的 IAM 身份中心。

注意

确保您的 IAM 身份中心和域位于同一区域。

• IAM 身份中心可信身份传播先决条件

• 设置 IAM 身份中心

• 将用户添加到您的身份中心目录

在您的 Amazon A SageMaker I 域中启用可信身份传播

重要

您只能为配置了身份 AWS IAM Identity Center 验证方法的域启用可信身份传播。您的 IAM 身份中心和 SageMaker Amazon AI 域名必须相同 AWS 区域。

使用以下选项之一来了解如何为新域或现有域启用可信身份传播。

要使用 SageMaker AI 控制台创建新域，请执行以下操作：

1. 打开亚马逊 A SageMaker I 控制台。

2. 导航到域名。

3. 创建自定义域名。该域必须配置AWS IAM Identity Center身份验证方法。

4. 在 “可信身份传播” 部分，选择 “为该域上的所有用户启用可信身份传播”。

5. 完成自定义创建过程。

对于使用 SageMaker AI 控制台的现有域：

1. 打开亚马逊 A SageMaker I 控制台。

2. 导航到域名。

3. 选择您现有的域名。该域必须配置AWS IAM Identity Center身份验证方法。

4. 在 “域设置” 选项卡中，选择 “身份验证和权限” 部分的 “编辑”。

5. 选择为该域上的所有用户启用可信身份传播。

6. 完成域配置。

对于现有域，请使用 AWS CLI：

aws sagemaker update-domain \
    --region $REGION \
    --domain-id $DOMAIN_ID \
    --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"

• DOMAIN_ID是亚马逊 A SageMaker I 域名 ID。有关更多信息，请参阅查看域名。

• REGION是 AWS 区域 您的亚马逊 A SageMaker I 域名。你可以在任何 AWS 主机页面的右上角找到它。

配置你的 SageMaker AI 执行角色

要为您的 Studio 用户启用可信身份传播，所有可信身份传播角色都需要设置以下上下文权限。更新所有角色的信任策略以包括sts:AssumeRole和sts:SetContext操作。更新角色信任策略时，请使用以下策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}