本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Studio 的受信任身分傳播
為 Amazon SageMaker Studio 設定信任的身分傳播需要您的 Amazon SageMaker AI 網域設定 IAM Identity Center 身分驗證方法。本節會引導您完成為 Studio 使用者啟用和設定受信任身分傳播所需的先決條件和步驟。
先決條件
設定 SageMaker AI 的受信任身分傳播之前,請使用下列指示設定 IAM Identity Center。
注意
確保您的 IAM Identity Center 和網域位於相同的區域。
在 Amazon SageMaker AI 網域中啟用信任的身分傳播
重要
您只能為已 AWS IAM Identity Center 設定身分驗證方法的網域啟用受信任身分傳播。您的 IAM Identity Center 和 Amazon SageMaker AI 網域必須位於相同的 中 AWS 區域。
使用下列其中一個選項,了解如何為新的或現有的網域啟用受信任的身分傳播。
對於使用 SageMaker AI 主控台的新網域:
-
導覽至網域。
-
建立自訂網域。網域必須設定AWS IAM Identity Center身分驗證方法。
-
在信任的身分傳播區段中,選擇為此網域上的所有使用者啟用信任的身分傳播。
-
完成自訂建立程序。
對於使用 SageMaker AI 主控台的現有網域:
-
導覽至網域。
-
選取您現有的網域。網域必須設定AWS IAM Identity Center身分驗證方法。
-
在網域設定索引標籤中,選擇身分驗證和許可區段中的編輯。
-
選擇啟用此網域上所有使用者的受信任身分傳播。
-
完成網域組態。
對於使用 的現有網域 AWS CLI:
aws sagemaker update-domain \ --region $REGION \ --domain-id $DOMAIN_ID \ --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
-
DOMAIN_ID
是 Amazon SageMaker AI 網域 ID。如需詳細資訊,請參閱檢視網域。 -
REGION
是 Amazon SageMaker AI 網域 AWS 區域 的 。您可以在任何 AWS 主控台頁面的右上角找到此項目。
設定 SageMaker AI 執行角色
若要為您的 Studio 使用者啟用信任的身分傳播,所有信任的身分傳播角色都需要設定下列內容許可。更新所有角色的信任政策,以包含 sts:AssumeRole
和 sts:SetContext
動作。當您更新角色信任政策時,請使用下列政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }