Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) ist in IAM Identity Center integriert und unterstützt [Benutzersitzungen im Hintergrund](user-background-sessions.md) und die Weitergabe vertrauenswürdiger Identitäten. Benutzerhintergrundsitzungen ermöglichen es einem Benutzer, einen Job mit langer Laufzeit in SageMaker Studio zu initiieren, ohne dass dieser Benutzer angemeldet bleiben muss, während der Job ausgeführt wird. Der Job wird sofort und im Hintergrund ausgeführt, wobei die Berechtigungen des Benutzers verwendet werden, der den Job initiiert hat. Der Job kann auch dann weiter ausgeführt werden, wenn der Benutzer seinen Computer ausschaltet, seine IAM Identity Center-Anmeldesitzung abläuft oder sich der Benutzer vom AWS Access Portal abmeldet. Die Standardsitzungsdauer für Benutzerhintergrundsitzungen beträgt 7 Tage, Sie können jedoch eine maximale Dauer von 90 Tagen angeben. Die Weitergabe vertrauenswürdiger Identitäten ermöglicht einen differenzierten Zugriff auf AWS Ressourcen wie Amazon S3 S3-Buckets auf der Grundlage der Identität oder Gruppenmitgliedschaft des Benutzers.
Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für SageMaker Studio mit Zugriff auf Daten, die in einem Amazon S3 S3-Bucket gespeichert sind. Benutzerhintergrundsitzungen sind für IAM Identity Center aktiviert, sodass der SageMaker Studio-Trainingsjob im Hintergrund ausgeführt werden kann. Die Zugriffskontrolle für die Trainingsdaten wird von Amazon S3 bereitgestelltAccess Grants.
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten für SageMaker Studio mit einem SageMaker Studio-Trainingsjob, der in einer Benutzerhintergrundsitzung ausgeführt wird, und Zugriff auf die von Amazon S3 bereitgestellten Trainingsdaten in Amazon S3Access Grants.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS verwaltete Anwendung**
Die folgende AWS verwaltete Anwendung mit Clientzugriff unterstützt die Weitergabe vertrauenswürdiger Identitäten:
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten und Hintergrundsitzungen für Benutzer zu aktivieren:**
+ [Richten Sie SageMaker Studio als Anwendung für den Client ein.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Richten Sie Amazon S3](tip-tutorial-s3.md) einAccess Grants, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in Amazon S3 zu ermöglichen.
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit SageMaker Studio
Das folgende Verfahren führt Sie durch die Einrichtung von SageMaker Studio für die Verbreitung vertrauenswürdiger Identitäten und Benutzerhintergrundsitzungen.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie die folgenden Aufgaben erledigen:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). Eine Organisationsinstanz ist erforderlich. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
1. [Vergewissern Sie sich, dass Benutzerhintergrundsitzungen in der IAM Identity Center-Konsole aktiviert sind](user-background-sessions.md). Standardmäßig sind Benutzerhintergrundsitzungen aktiviert und die Sitzungsdauer ist auf 7 Tage festgelegt. Sie können diese Dauer ändern.
Um die Verbreitung vertrauenswürdiger Identitäten von SageMaker Studio aus einzurichten, muss der SageMaker Studio-Administrator die folgenden Schritte ausführen.
## Schritt 1: Aktivieren Sie die Verbreitung vertrauenswürdiger Identitäten in einer neuen oder vorhandenen SageMaker Studio-Domäne
SageMaker Studio verwendet Domänen, um Benutzerprofile, Anwendungen und die zugehörigen Ressourcen zu organisieren. Um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren, müssen Sie eine SageMaker Studio-Domäne erstellen oder eine vorhandene Domäne ändern, wie im folgenden Verfahren beschrieben.
1. Öffnen Sie die SageMaker AI-Konsole, navigieren Sie zu **Domains** und führen Sie einen der folgenden Schritte aus.
+ **Erstellen Sie mithilfe von [Setup für Organisationen](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) eine neue SageMaker Studio-Domäne.**
Wählen Sie **Für Organisationen einrichten aus**, und gehen Sie dann wie folgt vor:
+ Wählen Sie **AWS Identity Center** als Authentifizierungsmethode.
+ **Aktivieren Sie das Kontrollkästchen Weitergabe vertrauenswürdiger Identitäten für alle Benutzer in dieser Domain** aktivieren.
+ **Ändern Sie eine bestehende SageMaker Studio-Domäne.**
+ Wählen Sie eine vorhandene Domäne aus, die IAM Identity Center für die Authentifizierung verwendet.
**Wichtig**
Die Weitergabe vertrauenswürdiger Identitäten wird nur in SageMaker Studio-Domänen unterstützt, die IAM Identity Center zur Authentifizierung verwenden. Wenn die Domäne IAM für die Authentifizierung verwendet, können Sie die Authentifizierungsmethode nicht ändern und daher die Weitergabe vertrauenswürdiger Identitäten nicht aktivieren.
+ [Bearbeiten Sie die Domäneneinstellungen.](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Bearbeiten Sie die **Authentifizierungs- und Berechtigungseinstellungen**, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren.
1. Fahren Sie mit [Schritt 2 fort: Konfigurieren Sie die standardmäßige Ausführungsrolle für die Domäne](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Diese Rolle ist erforderlich, damit Benutzer einer SageMaker Studio-Domain auf andere AWS Dienste wie Amazon S3 zugreifen können.
## Schritt 2: Konfigurieren Sie die standardmäßige Domänenausführungsrolle und die Rollenvertrauensrichtlinie
Eine *Domänenausführungsrolle* ist eine [IAM-Rolle](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles), die eine SageMaker Studio-Domäne im Namen aller Benutzer in der Domäne übernimmt. Die Berechtigungen, die Sie dieser Rolle zuweisen, bestimmen, welche Aktionen SageMaker Studio ausführen kann.
1. Gehen Sie wie folgt vor, um eine Domain-Ausführungsrolle zu erstellen oder auszuwählen:
+ **Erstellen Sie mithilfe von [Setup für Organisationen eine Rolle, oder wählen Sie sie aus](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Öffnen Sie die SageMaker AI-Konsole und folgen Sie den Anweisungen in **Schritt 2: Rollen und ML-Aktivitäten konfigurieren**, um eine neue Rolle für die Domain-Ausführung zu erstellen, oder wählen Sie eine vorhandene Rolle aus.
+ Schließen Sie die restlichen Einrichtungsschritte ab, um Ihre SageMaker Studio-Domain zu erstellen.
+ **Erstellen Sie manuell eine Ausführungsrolle.**
+ Öffnen Sie die IAM-Konsole und [erstellen Sie die Ausführungsrolle selbst](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Aktualisieren Sie die Vertrauensrichtlinie](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html), die der Domänenausführungsrolle zugeordnet ist, sodass sie die folgenden beiden Aktionen umfasst: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)und [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Informationen dazu, wie Sie die Ausführungsrolle für Ihre SageMaker Studio-Domäne finden, finden [Sie unter Domänenausführungsrolle abrufen](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Eine *Vertrauensrichtlinie* spezifiziert die Identität, die eine Rolle übernehmen kann. Diese Richtlinie ist erforderlich, damit der SageMaker Studio-Dienst die Rolle der Domänenausführung übernehmen kann. Fügen Sie diese beiden Aktionen hinzu, sodass sie in Ihrer Richtlinie wie folgt angezeigt werden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Schritt 3: Überprüfen Sie die erforderlichen Amazon S3 Access Grant-Berechtigungen für die Domain-Ausführungsrolle
Um Amazon S3 Access Grants verwenden zu können, müssen Sie Ihrer SageMaker Studio-Domain-Ausführungsrolle eine Berechtigungsrichtlinie (entweder als Inline-Richtlinie oder als vom Kunden verwaltete Richtlinie) angehängt haben, die die folgenden Berechtigungen enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Wenn Sie keine Richtlinie haben, die diese Berechtigungen enthält, folgen Sie den Anweisungen unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *AWS Identity and Access Management Benutzerhandbuch*.
## Schritt 4: Weisen Sie der Domain Gruppen und Benutzer zu
Weisen Sie der SageMaker Studio-Domäne Gruppen und Benutzer zu, indem Sie die Schritte unter [Gruppen und Benutzer hinzufügen befolgen](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Schritt 5: Amazon S3 Access Grants einrichten
Um Amazon S3 Access Grants einzurichten, folgen Sie den Schritten [unter Konfiguration von Amazon S3 Access Grants für die Weitergabe vertrauenswürdiger Identitäten über das IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Folgen Sie den step-by-step Anweisungen, um die folgenden Aufgaben zu erledigen:
1. Erstellen Sie eine Amazon S3 Access Grants-Instance.
1. Registrieren Sie einen Standort in dieser Instance.
1. Erstellen Sie Zuschüsse, um bestimmten Benutzern oder Gruppen von IAM Identity Center den Zugriff auf bestimmte Amazon S3 S3-Standorte oder Untergruppen (z. B. bestimmte Präfixe) innerhalb dieser Standorte zu ermöglichen.
## Schritt 6: Reichen Sie einen SageMaker Schulungsjob ein und sehen Sie sich die Details der Hintergrundsitzung der Benutzer an
Starten Sie in SageMaker Studio ein neues Jupyter-Notizbuch und reichen Sie einen Schulungsjob ein. Führen Sie während der Ausführung des Jobs die folgenden Schritte aus, um die Sitzungsinformationen anzuzeigen und zu überprüfen, ob der Sitzungskontext für den Benutzer im Hintergrund aktiv ist.
1. Öffnen Sie die IAM-Identity-Center-Konsole.
1. Wählen Sie **Users** (Benutzer) aus.
1. Wählen Sie auf der Seite **Benutzer** den Benutzernamen des Benutzers aus, dessen Sitzungen Sie verwalten möchten. Dadurch gelangen Sie zu einer Seite mit den Benutzerinformationen.
1. Wählen Sie auf der Seite des Benutzers die Registerkarte **Aktive Sitzungen** aus. Die Zahl in Klammern neben **Aktive Sitzungen** gibt die Anzahl der aktiven Sitzungen für diesen Benutzer an.
1. Um anhand des Amazon-Ressourcennamens (ARN) des Jobs, der die Sitzung verwendet, nach Sitzungen zu suchen, wählen Sie in der Liste **Sitzungstyp** die Option **User background sessions** aus und geben Sie dann den Job-ARN in das Suchfeld ein.
Im Folgenden finden Sie ein Beispiel dafür, wie ein Schulungsjob, der eine Benutzer-Hintergrundsitzung verwendet, auf der Registerkarte **Aktive Sitzungen** für einen Benutzer angezeigt wird.
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Schritt 7: Sehen Sie sich die CloudTrail Protokolle an, um die Verbreitung vertrauenswürdiger Identitäten in zu überprüfen CloudTrail
Wenn die Verbreitung vertrauenswürdiger Identitäten aktiviert ist, werden Aktionen in den CloudTrail Ereignisprotokollen unter dem `onBehalfOf` Element angezeigt. Das `userId` gibt die ID des IAM Identity Center-Benutzers wieder, der den Schulungsjob initiiert hat. Das folgende CloudTrail Ereignis erfasst den Prozess der Weitergabe vertrauenswürdiger Identitäten.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Überlegungen zur Laufzeit
Wenn ein Administrator **MaxRuntimeInSeconds**für lang andauernde Trainings- oder Verarbeitungsaufträge festlegt, die kürzer als die Dauer der Benutzerhintergrundsitzung sind, führt SageMaker Studio den Job mindestens für die Dauer der Benutzerhintergrundsitzung **MaxRuntimeInSeconds **oder für die Dauer der Benutzerhintergrundsitzung aus.
Weitere Informationen zu **MaxRuntimeInSeconds**finden Sie in der Anleitung für den `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)Parameter in der *Amazon SageMaker API-Referenz*.