本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Studio 设置可信身份传播
为 Amazon SageMaker Studio 设置可信身份传播需要您的 Amazon A SageMaker I 域配置 IAM 身份中心身份验证方法。本节将指导您完成为 Studio 用户启用和配置可信身份传播所需的先决条件和步骤。
先决条件
在为 SageMaker AI 设置可信身份传播之前,请按照以下说明设置您的 IAM 身份中心。
注意
确保您的 IAM 身份中心和域位于同一区域。
在您的 Amazon A SageMaker I 域中启用可信身份传播
重要
您只能为配置了身份 AWS IAM Identity Center 验证方法的域启用可信身份传播。您的 IAM 身份中心和 SageMaker Amazon AI 域名必须相同 AWS 区域。
使用以下选项之一来了解如何为新域或现有域启用可信身份传播。
要使用 SageMaker AI 控制台创建新域,请执行以下操作:
-
导航到域名。
-
创建自定义域名。该域必须配置AWS IAM Identity Center身份验证方法。
-
在 “可信身份传播” 部分,选择 “为该域上的所有用户启用可信身份传播”。
-
完成自定义创建过程。
对于使用 SageMaker AI 控制台的现有域:
-
导航到域名。
-
选择您现有的域名。该域必须配置AWS IAM Identity Center身份验证方法。
-
在 “域设置” 选项卡中,选择 “身份验证和权限” 部分的 “编辑”。
-
选择为该域上的所有用户启用可信身份传播。
-
完成域配置。
对于现有域,请使用 AWS CLI:
aws sagemaker update-domain \ --region $REGION \ --domain-id $DOMAIN_ID \ --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
-
DOMAIN_ID
是亚马逊 A SageMaker I 域名 ID。有关更多信息,请参阅查看域名。 -
REGION
是 AWS 区域 您的亚马逊 A SageMaker I 域名。你可以在任何 AWS 主机页面的右上角找到它。
配置你的 SageMaker AI 执行角色
要为您的 Studio 用户启用可信身份传播,所有可信身份传播角色都需要设置以下上下文权限。更新所有角色的信任策略以包括sts:AssumeRole
和sts:SetContext
操作。更新角色信任策略时,请使用以下策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }