設定 Studio 的受信任身分傳播 - Amazon SageMaker AI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Studio 的受信任身分傳播

為 Amazon SageMaker Studio 設定信任的身分傳播需要您的 Amazon SageMaker AI 網域設定 IAM Identity Center 身分驗證方法。本節會引導您完成為 Studio 使用者啟用和設定受信任身分傳播所需的先決條件和步驟。

先決條件

設定 SageMaker AI 的受信任身分傳播之前,請使用下列指示設定 IAM Identity Center。

注意

確保您的 IAM Identity Center 和網域位於相同的區域。

在 Amazon SageMaker AI 網域中啟用信任的身分傳播

重要

您只能為已 AWS IAM Identity Center 設定身分驗證方法的網域啟用受信任身分傳播。您的 IAM Identity Center 和 Amazon SageMaker AI 網域必須位於相同的 中 AWS 區域。

使用下列其中一個選項,了解如何為新的或現有的網域啟用受信任的身分傳播。

對於使用 SageMaker AI 主控台的新網域:

  1. 開啟 Amazon SageMaker AI 主控台

  2. 導覽至網域

  3. 建立自訂網域。網域必須設定AWS IAM Identity Center身分驗證方法。

  4. 信任的身分傳播區段中,選擇為此網域上的所有使用者啟用信任的身分傳播

  5. 完成自訂建立程序。

對於使用 SageMaker AI 主控台的現有網域:

  1. 開啟 Amazon SageMaker AI 主控台

  2. 導覽至網域

  3. 選取您現有的網域。網域必須設定AWS IAM Identity Center身分驗證方法。

  4. 網域設定索引標籤中,選擇身分驗證和許可區段中的編輯

  5. 選擇啟用此網域上所有使用者的受信任身分傳播

  6. 完成網域組態。

對於使用 的現有網域 AWS CLI:

aws sagemaker update-domain \ --region $REGION \ --domain-id $DOMAIN_ID \ --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
  • DOMAIN_ID 是 Amazon SageMaker AI 網域 ID。如需詳細資訊,請參閱檢視網域

  • REGION 是 Amazon SageMaker AI 網域 AWS 區域 的 。您可以在任何 AWS 主控台頁面的右上角找到此項目。

設定 SageMaker AI 執行角色

若要為您的 Studio 使用者啟用信任的身分傳播,所有信任的身分傳播角色都需要設定下列內容許可。更新所有角色的信任政策,以包含 sts:AssumeRolests:SetContext動作。當您更新角色信任政策時,請使用下列政策

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }