Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo conectarse con otros AWS servicios que tengan habilitada la propagación de identidades confiable
Cuando la propagación de identidad confiable está habilitada para su dominio de Amazon SageMaker AI, los usuarios del dominio pueden conectarse a otros AWS servicios confiables habilitados para la propagación de identidad. Cuando la propagación de identidades de confianza está habilitada, el contexto de su identidad se propaga automáticamente a los servicios compatibles, lo que permite un control de acceso detallado y una mejor auditoría de todos sus flujos de trabajo de machine learning. Esta integración elimina la necesidad de cambios complejos de funciones de IAM y proporciona una experiencia de identidad unificada en todos AWS los servicios. En las siguientes páginas se proporciona información sobre cómo conectar Amazon SageMaker Studio a otros AWS servicios cuando está habilitada la propagación de identidades de confianza.
**Topics**
+ [Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con la propagación de identidad confiable habilitada](trustedidentitypropagation-s3-access-grants.md)
+ [Conecte las JupyterLab libretas Studio a Amazon EMR con la propagación de identidad confiable habilitada](trustedidentitypropagation-emr-ec2.md)
+ [Conecte sus JupyterLab cuadernos Studio a EMR Serverless con la propagación de identidad confiable habilitada](trustedidentitypropagation-emr-serverless.md)
+ [Conecte JupyterLab los cuadernos de Studio a la API de Redshift Data con la propagación de identidad confiable habilitada](trustedidentitypropagation-redshift-data-apis.md)
+ [Conecte JupyterLab los cuadernos de Studio a Lake Formation y Athena con la propagación de identidad confiable habilitada](trustedidentitypropagation-lake-formation-athena.md)
# Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con la propagación de identidad confiable habilitada
Puede utilizar [Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para otorgar control de acceso detallado y basado en la identidad a las ubicaciones de Amazon S3 de forma flexible. Esto concede a los buckets de Amazon S3 acceso directo a los usuarios y grupos corporativos. En las siguientes páginas se proporciona información e instrucciones sobre cómo utilizar Amazon S3 Access Grants con una propagación de identidad fiable para SageMaker IA.
## Requisitos previos
Para conectar Studio con Lake Formation y Athena con la propagación de identidades de confianza habilitada, debe haber completado los siguientes requisitos previos:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ Siga las instrucciones de [Introducción a Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) para configurar Concesiones de acceso a Amazon S3 para su bucket. Para obtener más información, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/).
**nota**
Los Amazon S3 estándar APIs no funcionan automáticamente con las concesiones de acceso de Amazon S3. Debe usar Amazon S3 Access Grants de forma explícita APIs. Para obtener más información, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
**Topics**
+ [Requisitos previos](#s3-access-grants-prerequisites)
+ [Conecta Amazon S3 Access Grants con las JupyterLab libretas Studio](s3-access-grants-setup.md)
+ [Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con tareas de formación y procesamiento](trustedidentitypropagation-s3-access-grants-jobs.md)
# Conecta Amazon S3 Access Grants con las JupyterLab libretas Studio
Utilice la siguiente información para conceder subvenciones de acceso a Amazon S3 en las JupyterLab libretas Studio.
Después de configurar Concesiones de acceso a Amazon S3, [añada los siguientes permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) a su dominio o [rol de ejecución](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuario.
+ `us-east-1` es su Región de AWS.
+ `111122223333` es su ID de Cuenta de AWS .
+ `S3-ACCESS-GRANT-ROLE` es su rol de Concesiones de acceso a Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Asegúrese de que la política de confianza de su rol de Concesiones de acceso a Amazon S3 permita las acciones `sts:SetContext` y `sts:AssumeRole`. Use la siguiente política de ejemplo cuando [actualice la política de confianza de su rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Uso de Concesiones de acceso a Amazon S3 para llamar a Amazon S3
A continuación, se muestra un ejemplo de script de Python que muestra cómo se puede utilizar Concesiones de acceso a Amazon S3 para llamar a Amazon S3. Esto supone que ya ha configurado correctamente la propagación de identidades confiable con SageMaker IA.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Si utiliza una ruta a un bucket de Amazon S3 donde la concesión de acceso a Amazon S3 no está habilitada, se producirá un error en la llamada.
Para otros lenguajes de programación, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para obtener más información.
# Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con tareas de formación y procesamiento
Utilice la siguiente información para conceder subvenciones de acceso a Amazon S3 para acceder a los datos en los trabajos de SageMaker formación y procesamiento de Amazon.
Cuando un usuario con la propagación de identidad fiable habilitada lanza un trabajo de SageMaker formación o procesamiento que necesita acceder a los datos de Amazon S3:
+ SageMaker AI solicita Amazon S3 Access Grants para obtener credenciales temporales basadas en la identidad del usuario
+ Si se ejecutan correctamente, estas credenciales temporales acceden a los datos de Amazon S3.
+ Si no lo consigue, SageMaker AI vuelve a utilizar las credenciales del rol de IAM
**nota**
Para garantizar que todos los permisos se concedan mediante Concesiones de acceso a Amazon S3, tendrá que eliminar el permiso de acceso a Amazon S3 relacionado con su rol de ejecución y asociarlo a su [Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondiente.
**Topics**
+ [Consideraciones](#s3-access-grants-jobs-considerations)
+ [Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3](#s3-access-grants-jobs-setup)
## Consideraciones
Las subvenciones de acceso de Amazon S3 no se pueden utilizar con el [modo Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) tanto para el SageMaker entrenamiento como para el procesamiento de las entradas de Amazon S3.
Cuando la propagación de identidad confiable está habilitada, no puede iniciar un trabajo de SageMaker formación con la siguiente función
+ Depuración remota
+ Depurador
+ Profiler
Si la propagación de identidades de confianza está habilitada, no puede iniciar un trabajo de procesamiento con la siguiente característica:
+ DatasetDefinition
## Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3
Después de configurar Concesiones de acceso a Amazon S3, [añada los siguientes permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) a su dominio o [rol de ejecución](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuario.
+ `us-east-1` es su Región de AWS.
+ `111122223333` es su ID de Cuenta de AWS .
+ `S3-ACCESS-GRANT-ROLE` es su rol de Concesiones de acceso a Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# Conecte las JupyterLab libretas Studio a Amazon EMR con la propagación de identidad confiable habilitada
La conexión de las JupyterLab libretas Amazon SageMaker Studio a los clústeres de Amazon EMR le permite aprovechar la potencia informática distribuida de Amazon EMR para cargas de trabajo de análisis y procesamiento de datos a gran escala. Con la propagación de identidades de confianza habilitada, el contexto de identidad se propaga a Amazon EMR, lo que permite un control de acceso detallado y registros de auditoría integrales. En la página siguiente se proporcionan instrucciones sobre cómo conectar su cuaderno de Studio a los clústeres de Amazon EMR. Una vez configurado, puede utilizar la opción `Connect to Cluster` en su cuaderno de Studio.
Para conectar Studio con Amazon EMR con la propagación de identidades de confianza habilitada, debe haber completado la siguiente configuración:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Introducción a la AWS IAM Identity Center integración para Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Habilitación de las comunicaciones entre los clústeres de Studio y Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Conexión a un clúster de Amazon EMR**
Para obtener una lista completa de opciones sobre cómo conectar su JupyterLab portátil a Amazon EMR, consulte [Conectarse a un clúster de Amazon EMR.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)
# Conecte sus JupyterLab cuadernos Studio a EMR Serverless con la propagación de identidad confiable habilitada
Amazon EMR sin servidor ofrece una opción sin servidor para ejecutar aplicaciones de Apache Spark y Apache Hive sin administrar clústeres. Cuando se integra con la propagación de identidades de confianza, EMR sin servidor escala automáticamente los recursos de computación y, al mismo tiempo, mantiene su contexto de identidad para el control de acceso y la auditoría. Este enfoque elimina la sobrecarga operativa de la administración de clústeres y, al mismo tiempo, preserva las ventajas para la seguridad del control de acceso basado en la identidad. En la siguiente sección se proporciona información sobre cómo conectar su Studio habilitado para la propagación de identidades de confianza con EMR sin servidor.
Para conectar Studio con Amazon EMR sin servidor con la propagación de identidades de confianza habilitada, debe haber completado la siguiente configuración:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Propagación de identidades de confianza con EMR sin servidor](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Habilitación de las comunicaciones entre Studio y EMR sin servidor](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**Conexión a la aplicación de EMR sin servidor**
Para obtener una lista completa de opciones sobre cómo conectar su JupyterLab portátil a EMR Serverless, consulte [Conectarse a una aplicación EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.
# Conecte JupyterLab los cuadernos de Studio a la API de Redshift Data con la propagación de identidad confiable habilitada
La API de datos de Amazon Redshift le permite interactuar con sus clústeres de Amazon Redshift mediante programación sin administrar las conexiones persistentes. Cuando se combina con una propagación de identidades de confianza, la API de datos de Redshift proporciona un acceso seguro y basado en la identidad a su almacén de datos, lo que le permite ejecutar consultas SQL y obtener resultados, al tiempo que mantiene un registro de auditoría completo de las actividades de los usuarios. Esta integración es particularmente valiosa para los flujos de trabajo de ciencia de datos que requieren acceso a datos estructurados almacenados en Redshift. La siguiente página incluye información e instrucciones sobre cómo conectar la propagación de identidades de confianza con Amazon SageMaker Studio a la API de datos de Redshift.
Para conectar Studio con la API de datos de Redshift con la propagación de identidades de confianza habilitada, debe haber completado la siguiente configuración:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Uso de la API de datos de Redshift con propagación de identidades de confianza](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Asegúrese de que su rol de ejecución tenga los permisos pertinentes para la API de datos de Redshift. Para obtener más información, consulte la sección sobre cómo [autorizar el acceso](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+ [Simplifique la administración del acceso con Amazon Redshift y AWS Lake Formation para los usuarios de un proveedor de identidad externo](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# Conecte JupyterLab los cuadernos de Studio a Lake Formation y Athena con la propagación de identidad confiable habilitada
AWS Lake Formation y Amazon Athena trabajan juntos para ofrecer una solución integral de lago de datos con funciones detalladas de control de acceso y consultas sin servidor. Lake Formation centraliza la gestión de permisos para su lago de datos, mientras que Athena ofrece servicios de consulta interactiva. Cuando se integra con la propagación de identidades de confianza, esta combinación permite a los científicos de datos acceder solo a los datos que pueden ver. Además, tienen todas las consultas y el acceso a los datos registradas automáticamente con fines de cumplimiento y auditoría. En la siguiente página se proporciona información e instrucciones sobre cómo conectar la propagación de identidades de confianza con Amazon SageMaker Studio a Lake Formation y Athena.
Para conectar Studio con Lake Formation y Athena con la propagación de identidades de confianza habilitada, debe haber completado los siguientes requisitos previos:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Creación de un rol en Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Conexión de Lake Formation con IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Creación de recursos de Lake Formation:
+ [Base de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [Tablas](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Creación de un grupo de trabajo de Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ Elección de **AthenaSQL** como motor.
+ Elección de **IAM Identity Center** como método de autenticación.
+ Creación de un rol de servicio nuevo.
+ Asegúrese de que los usuarios de IAM Identity Center tengan acceso a la ubicación de los resultados de la consulta mediante Concesiones de acceso a Amazon S3.
+ [Concesión de permisos de base de datos mediante el método de recurso con nombre](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)