为 Studio 设置可信身份传播 - 亚马逊 SageMaker AI

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Studio 设置可信身份传播

为 Amazon SageMaker Studio 设置可信身份传播需要您的 Amazon A SageMaker I 域配置 IAM 身份中心身份验证方法。本节将指导您完成为 Studio 用户启用和配置可信身份传播所需的先决条件和步骤。

先决条件

在为 SageMaker AI 设置可信身份传播之前,请按照以下说明设置您的 IAM 身份中心。

注意

确保您的 IAM 身份中心和域位于同一区域。

在您的 Amazon A SageMaker I 域中启用可信身份传播

重要

您只能为配置了身份 AWS IAM Identity Center 验证方法的域启用可信身份传播。您的 IAM 身份中心和 SageMaker Amazon AI 域名必须相同 AWS 区域。

使用以下选项之一来了解如何为新域或现有域启用可信身份传播。

要使用 SageMaker AI 控制台创建新域,请执行以下操作:

  1. 打开亚马逊 A SageMaker I 控制台

  2. 导航到域名

  3. 创建自定义域名。该域必须配置AWS IAM Identity Center身份验证方法。

  4. 在 “可信身份传播” 部分,选择 “为该域上的所有用户启用可信身份传播”。

  5. 完成自定义创建过程。

对于使用 SageMaker AI 控制台的现有域:

  1. 打开亚马逊 A SageMaker I 控制台

  2. 导航到域名

  3. 选择您现有的域名。该域必须配置AWS IAM Identity Center身份验证方法。

  4. 在 “域设置” 选项卡中,选择 身份验证和权限” 部分的 “编辑”。

  5. 选择为该域上的所有用户启用可信身份传播

  6. 完成域配置。

对于现有域,请使用 AWS CLI:

aws sagemaker update-domain \ --region $REGION \ --domain-id $DOMAIN_ID \ --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
  • DOMAIN_ID是亚马逊 A SageMaker I 域名 ID。有关更多信息,请参阅查看域名

  • REGION是 AWS 区域 您的亚马逊 A SageMaker I 域名。你可以在任何 AWS 主机页面的右上角找到它。

配置你的 SageMaker AI 执行角色

要为您的 Studio 用户启用可信身份传播,所有可信身份传播角色都需要设置以下上下文权限。更新所有角色的信任策略以包括sts:AssumeRolests:SetContext操作。更新角色信任策略时,请使用以下策略

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }