設定 Studio 的受信任身分傳播

為 Amazon SageMaker Studio 設定信任的身分傳播需要您的 Amazon SageMaker AI 網域設定 IAM Identity Center 身分驗證方法。本節會引導您完成為 Studio 使用者啟用和設定受信任身分傳播所需的先決條件和步驟。

先決條件

設定 SageMaker AI 的受信任身分傳播之前，請使用下列指示設定 IAM Identity Center。

注意

確保您的 IAM Identity Center 和網域位於相同的區域。

• IAM Identity Center 受信任身分傳播先決條件

• 設定 IAM Identity Center

• 將使用者新增至 Identity Center 目錄

在 Amazon SageMaker AI 網域中啟用信任的身分傳播

重要

您只能為已 AWS IAM Identity Center 設定身分驗證方法的網域啟用受信任身分傳播。您的 IAM Identity Center 和 Amazon SageMaker AI 網域必須位於相同的 中 AWS 區域。

使用下列其中一個選項，了解如何為新的或現有的網域啟用受信任的身分傳播。

對於使用 SageMaker AI 主控台的新網域：

1. 開啟 Amazon SageMaker AI 主控台。

2. 導覽至網域。

3. 建立自訂網域。網域必須設定AWS IAM Identity Center身分驗證方法。

4. 在信任的身分傳播區段中，選擇為此網域上的所有使用者啟用信任的身分傳播。

5. 完成自訂建立程序。

對於使用 SageMaker AI 主控台的現有網域：

1. 開啟 Amazon SageMaker AI 主控台。

2. 導覽至網域。

3. 選取您現有的網域。網域必須設定AWS IAM Identity Center身分驗證方法。

4. 在網域設定索引標籤中，選擇身分驗證和許可區段中的編輯。

5. 選擇啟用此網域上所有使用者的受信任身分傳播。

6. 完成網域組態。

對於使用 的現有網域 AWS CLI：

aws sagemaker update-domain \
    --region $REGION \
    --domain-id $DOMAIN_ID \
    --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"

• DOMAIN_ID 是 Amazon SageMaker AI 網域 ID。如需詳細資訊，請參閱檢視網域。

• REGION 是 Amazon SageMaker AI 網域 AWS 區域 的 。您可以在任何 AWS 主控台頁面的右上角找到此項目。

設定 SageMaker AI 執行角色

若要為您的 Studio 使用者啟用信任的身分傳播，所有信任的身分傳播角色都需要設定下列內容許可。更新所有角色的信任政策，以包含 sts:AssumeRole和 sts:SetContext動作。當您更新角色信任政策時，請使用下列政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}