Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Propagación de identidades de confianza con Studio
La propagación fiable de la identidad es una AWS IAM Identity Center función que los administradores de los AWS servicios conectados pueden utilizar para conceder y auditar el acceso a los datos del servicio. El acceso a estos datos se basa en los atributos del usuario, como las asociaciones de grupo. La configuración de una propagación de identidad fiable requiere la colaboración entre los administradores de los AWS servicios conectados y el administrador del Centro de Identidad de IAM. Para obtener más información, consulte [Requisitos previos y consideraciones](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Los administradores de Amazon SageMaker Studio e IAM Identity Center pueden colaborar para conectar los servicios y así poder propagar identidades de forma fiable. La propagación de identidades confiable aborda las necesidades de autenticación empresarial en todos AWS los servicios al simplificar:
+ Auditoría mejorada que rastrea las acciones de usuarios específicos
+ Gestión del acceso a las cargas de trabajo de ciencia de datos y aprendizaje automático mediante la integración con servicios compatibles AWS
+ Requisitos de conformidad en los sectores regulados
Studio admite la propagación fiable de la identidad con fines de auditoría y el control de acceso con AWS los servicios conectados. La propagación de identidades de confianza en Studio no administra directamente las decisiones de autenticación o autorización dentro del propio Studio. En su lugar, propaga la información del contexto de la identidad a servicios compatibles que pueden usar esta información para el control de acceso.
Cuando utilizas la propagación de identidades fiable con Studio, la identidad de tu centro de identidad de IAM se propaga a los AWS servicios conectados, lo que crea permisos y una gobernanza de seguridad más detallados.
**Topics**
+ [Compatibilidad y arquitectura de propagación de identidades de confianza](trustedidentitypropagation-compatibility.md)
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Supervisión y auditoría con CloudTrail](trustedidentitypropagation-auditing.md)
+ [Sesiones de usuario en segundo plano](trustedidentitypropagation-user-background-sessions.md)
+ [Cómo conectarse con otros AWS servicios que tengan habilitada la propagación de identidades confiable](trustedidentitypropagation-connect-other.md)
# Compatibilidad y arquitectura de propagación de identidades de confianza
La propagación de identidad confiable se integra AWS IAM Identity Center con Amazon SageMaker Studio y otros AWS servicios conectados para propagar el contexto de identidad de los usuarios en todos los servicios. En la siguiente página, se resume la arquitectura de propagación de identidades confiable y su compatibilidad con SageMaker la IA. Para obtener una descripción general completa de cómo funciona la propagación de identidades confiables AWS, consulte [Descripción general de la propagación de identidades confiables](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
Entre los componentes clave de la arquitectura de propagación de identidades de confianza se incluyen:
+ **Propagación de identidades de confianza**: metodología para propagar el contexto de identidad del usuario entre aplicaciones y servicios.
+ **Contexto de identidad**: información sobre un usuario.
+ Sesión de **rol de IAM con identidad mejorada: las sesiones** de rol con identidad mejorada tienen un contexto de identidad adicional que incluye un identificador de usuario al servicio al que llaman AWS
+ ** AWS Servicios conectados: otros AWS servicios** que pueden reconocer el contexto de identidad que se propaga mediante una propagación de identidad fiable
La propagación fiable de la identidad permite a AWS los servicios conectados tomar decisiones de acceso en función de la identidad del usuario. En el propio Studio, los roles de IAM se utilizan como portadores del contexto de identidad y no para tomar decisiones de control de acceso. El contexto de identidad se propaga a los AWS servicios conectados, donde se puede utilizar tanto con fines de control de acceso como de auditoría. Consulte las [trusted identity propagation considerations](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations) para obtener más información.
Cuando habilitas la propagación fiable de la identidad con Studio y te autenticas a través del IAM Identity Center, la IA: SageMaker
+ Captura el contexto de identidad del usuario del IAM Identity Center.
+ Crea una sesión de rol de IAM con identidad mejorada que incluye el contexto de identidad del usuario.
+ Transfiere la sesión de rol de IAM con identidad mejorada a AWS servicios compatibles cuando el usuario accede a los recursos
+ Permite que AWS los servicios intermedios tomen decisiones de acceso y registren las actividades en función de la identidad del usuario
## Funciones de SageMaker IA compatibles
La propagación de identidades de confianza funciona con las siguientes características de Studio:
+ Espacios privados de [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) (JupyterLab y editor de código, basado en Code-OSS, código de Visual Studio, código abierto)
**nota**
Cuando Studio se lanza con la propagación de identidades de confianza habilitada, utiliza el contexto de su identidad además de los permisos del rol de ejecución. Sin embargo, los siguientes procesos durante la configuración de la instancia solo utilizarán los permisos de la función de ejecución, sin el contexto de identidad: configuración del ciclo de vida Bring-Your-Own-Image, CloudWatch agente para el reenvío de registros de usuarios.
En la actualidad, la propagación de identidades de confianza no [admite el acceso remoto](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html).
Cuando utilizas las operaciones de asumir roles en los cuadernos de Studio, los roles asumidos no propagan un contexto de propagación de identidad fiable. Solo el rol de ejecución original mantiene el contexto de identidad.
+ [SageMakerCapacitación](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html)
+ [SageMakerProcesamiento](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html)
+ [SageMaker Alojamiento de IA en tiempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html)
+ [SageMakerCanalizaciones](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html)
+ [SageMakerinferencia en tiempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html)
+ [SageMakerInferencia asíncrona](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html)
+ [Administrado MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html)
## Servicios AWS compatibles
La propagación de identidades de confianza para Amazon SageMaker Studio se integra con AWS los servicios compatibles, en los que está habilitada la propagación de identidades de confianza. Consulte los [casos de uso](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html) para obtener una lista completa con ejemplos sobre cómo habilitar la propagación de identidades de confianza. Los servicios de propagación de identidades de confianza compatibles son los siguientes.
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)
+ [Amazon EMR en EC2](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [EMR sin servidor](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)
+ [API de datos de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Amazon S3 (mediante [Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html))
+ [AWS Glue Connections](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)
Cuando la propagación de identidad confiable está habilitada con la SageMaker IA, se conectan todos los demás AWS servicios con la propagación de identidad confiable habilitada. Una vez conectados, reconocen y utilizan el contexto de identidad del usuario para el control de acceso y la auditoría.
## Compatible Regiones de AWS
Studio admite la propagación de identidades de confianza cuando [se admite IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html) y la autenticación de Studio con IAM Identity Center. Studio admite la propagación de identidades fiables en los siguientes casos Regiones de AWS:
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2
# Configuración de la propagación de identidades de confianza para Studio
La configuración de la propagación de identidades de confianza para Amazon SageMaker Studio requiere que su dominio de Amazon SageMaker AI tenga configurado el método de autenticación del Centro de Identidad de IAM. En esta sección se explican los requisitos previos y los pasos necesarios para habilitar y configurar la propagación de identidades de confianza para los usuarios de Studio.
**Topics**
+ [Requisitos previos](#trustedidentitypropagation-setup-prerequisites)
+ [Habilite la propagación de identidad confiable para su dominio de Amazon SageMaker AI](#trustedidentitypropagation-setup-enable)
+ [Configura tu función de ejecución de SageMaker IA](#trustedidentitypropagation-setup-permissions)
## Requisitos previos
Antes de configurar la propagación de identidad fiable para la SageMaker IA, configure su centro de identidad de IAM siguiendo las instrucciones siguientes.
**nota**
Asegúrese de que su IAM Identity Center y su dominio estén en la misma región.
+ [Requisitos previos de propagación de identidades de confianza de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [Configuración de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [Adición de usuarios a su directorio de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## Habilite la propagación de identidad confiable para su dominio de Amazon SageMaker AI
**importante**
Solo puede habilitar la propagación de identidades de confianza para los dominios con el método de autenticación de AWS IAM Identity Center configurado.
El centro de identidad de IAM y el dominio de Amazon SageMaker AI deben estar en el mismo Región de AWS lugar.
Utilice una de las siguientes opciones para aprender a habilitar la propagación de identidades de confianza para un dominio nuevo o existente.
------
#### [ New domain - console ]
**Habilite la propagación de identidad confiable para un nuevo dominio mediante la consola de SageMaker IA**
1. Abre la [consola Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Vaya a **Dominios**.
1. [Cree un dominio personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html). El dominio debe tener configurado el método de autenticación de **AWS IAM Identity Center**.
1. En la sección **Propagación de identidad de confianza**, seleccione **Habilitar la propagación de identidades de confianza para todos los usuarios de este dominio**.
1. Complete el proceso de creación personalizado.
------
#### [ Existing domain - console ]
**Habilite la propagación de identidad confiable para un dominio existente mediante la consola de SageMaker IA**
**nota**
Para que la propagación de identidades de confianza funcione correctamente una vez habilitada para un dominio existente, los usuarios deberán reiniciar sus sesiones actuales del IAM Identity Center. Para hacerlo, haga lo siguiente:
Los usuarios deberán cerrar sesión y volver a iniciarla en sus sesiones actuales del IAM Identity Center
Los administradores pueden [finalizar las sesiones activas para los usuarios de sus empleados](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
1. Abre la [consola Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Vaya a **Dominios**.
1. Seleccione el dominio existente. El dominio debe tener configurado el método de autenticación de **AWS IAM Identity Center**.
1. En la pestaña **Configuración del dominio**, seleccione **Editar** en la sección **Autenticación y permisos**.
1. Seleccione **Habilitar la propagación de identidades de confianza para todos los usuarios de este dominio**.
1. Rellene la configuración del dominio.
------
#### [ Existing domain - AWS CLI ]
Habilite la propagación de identidad confiable para un dominio existente mediante el AWS CLI
**nota**
Para que la propagación de identidades de confianza funcione correctamente una vez habilitada para un dominio existente, los usuarios deberán reiniciar sus sesiones actuales del IAM Identity Center. Para hacerlo, haga lo siguiente:
Los usuarios deberán cerrar sesión y volver a iniciarla en sus sesiones actuales del IAM Identity Center
Los administradores pueden [finalizar las sesiones activas para los usuarios de sus empleados](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID`es el ID de dominio de Amazon SageMaker AI. Para obtener más información, consulte [Ver dominios](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html).
+ `REGION`es el Región de AWS de tu dominio de Amazon SageMaker AI. Puedes encontrarlo en la parte superior derecha de cualquier página de AWS consola.
------
## Configura tu función de ejecución de SageMaker IA
Para habilitar la propagación de identidades de confianza para sus usuarios de Studio, todos los roles de propagación de identidades de confianza deben definir los siguientes permisos de contexto. Actualice la política de confianza de todos los roles para incluir las acciones `sts:AssumeRole` y `sts:SetContext`. Use la siguiente política cuando [actualice la política de confianza de su rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
# Supervisión y auditoría con CloudTrail
Con la propagación de identidades fiable habilitada, AWS CloudTrail los registros incluyen la información de identidad del usuario específico que realizó una acción, y no solo la función de IAM. Esto proporciona capacidades de auditoría mejoradas para garantizar el cumplimiento y la seguridad.
Para ver la información de identidad en CloudTrail los registros:
+ Abra la [consola de CloudTrail ](https://console.aws.amazon.com/cloudtrail).
+ Elija **Historial de eventos** en el panel de navegación izquierdo
+ Elija eventos de SageMaker AI y servicios relacionados.
+ En **Registro de eventos**, busque la clave `onBehalfOf`. Contiene la clave `userId` y otra información de identificación del usuario que se puede asignar a un usuario específico de IAM Identity Center.
Consulte [los casos de CloudTrail uso del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html) para obtener más información.
# Sesiones de usuario en segundo plano
Las sesiones de usuario en segundo plano continúan incluso si el usuario ya no está activo. Estas sesiones permiten realizar trabajos de larga duración que pueden continuar incluso después de que el usuario haya cerrado su sesión. Esto se puede activar mediante la fiable propagación de identidades de la SageMaker IA. En la siguiente página se explican las opciones de configuración y los comportamientos de las sesiones de usuario en segundo plano.
**nota**
Las sesiones de usuario activas existentes no se ven afectadas cuando se habilita la propagación de identidades de confianza. La duración predeterminada solo se aplica a las sesiones de usuario nuevas o a las sesiones reiniciadas.
Las sesiones de usuario en segundo plano se aplican a cualquier flujo de trabajo de SageMaker IA de larga duración o a cualquier trabajo con estados persistentes. Esto incluye, pero no se limita a, cualquier recurso de SageMaker IA que mantenga el estado de ejecución o requiera una supervisión continua. Por ejemplo, los trabajos de SageMaker formación, procesamiento y ejecución de canalizaciones.
**Topics**
+ [Configuración de la sesión de usuario en segundo plano](#configure-user-background-sessions)
+ [Duración predeterminada de la sesión de usuario en segundo plano](#default-user-background-session-duration)
+ [Efecto de deshabilitar la propagación de identidades de confianza en Studio](#user-background-session-impact-disable-trustedidentitypropagation-studio)
+ [Efecto de deshabilitar las sesiones de usuario en segundo plano en la consola de IAM Identity Center](#user-background-session-impact-disable-trustedidentitypropagation-identity-center)
+ [Consideraciones sobre el tiempo de ejecución](#user-background-session-runtime-considerations)
## Configuración de la sesión de usuario en segundo plano
Una vez que se habilita la propagación de identidades de confianza para Amazon SageMaker Studio, los límites de duración predeterminados se pueden configurar mediante las [sesiones en segundo plano de los usuarios en el Centro de identidades de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html).
## Duración predeterminada de la sesión de usuario en segundo plano
De forma predeterminada, todas las sesiones de usuario en segundo plano tienen un límite de duración de 7 días. Los administradores pueden [modificar esta duración en la consola de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html). Esta configuración se aplica a la instancia de IAM Identity Center y afecta a todas las aplicaciones de IAM Identity Center y a los dominios de Studio dentro de dicha instancia.
Cuando la propagación de identidad confiable esté habilitada, los administradores de la consola de SageMaker IA encontrarán un banner con la siguiente información:
+ El límite de duración de las sesiones de usuario en segundo plano
+ Un enlace a la consola de IAM Identity Center, donde los administradores pueden cambiar esta configuración
+ La duración se puede establecer en cualquier valor, desde 15 minutos hasta 90 días
Cuando la sesión de usuario en segundo plano haya caducado aparecerá un mensaje de error. Puede utilizar el enlace a la consola de IAM Identity Center para actualizar la duración.
## Efecto de deshabilitar la propagación de identidades de confianza en Studio
Si un administrador desactiva la propagación de identidad fiable, después de haberla activado inicialmente, en la consola de SageMaker IA:
+ Los trabajos existentes seguirán ejecutándose sin interrupción cuando las sesiones de usuario en segundo plano están habilitadas.
+ Cuando las sesiones de usuario en segundo plano están inhabilitadas, todos los flujos de trabajo de SageMaker IA que se ejecuten durante mucho tiempo o los trabajos con estados persistentes pasarán a utilizar sesiones interactivas. Esto incluye, pero no se limita a, cualquier recurso de SageMaker IA que mantenga el estado de ejecución o requiera una supervisión continua. Por ejemplo, los trabajos de Amazon SageMaker Training and Processing.
+ Los usuarios pueden reiniciar los trabajos que hayan caducado desde los puntos de comprobación.
+ Los nuevos trabajos se ejecutan con credenciales de rol de IAM y no propagan el contexto de identidad.
## Efecto de deshabilitar las sesiones de usuario en segundo plano en la consola de IAM Identity Center
Cuando la sesión en segundo plano del usuario está **deshabilitada** para la instancia del IAM Identity Center, el trabajo de SageMaker IA utiliza las sesiones interactivas del usuario. Al utilizar sesiones interactivas, un trabajo de SageMaker IA fallará en 15 minutos si:
+ el usuario cierra sesión,
+ el administrador revoca la sesión interactiva.
Cuando la sesión del usuario en segundo plano está **habilitada** para la instancia del IAM Identity Center, el trabajo de SageMaker IA utiliza las sesiones en segundo plano del usuario. Al utilizar sesiones interactivas, un trabajo de SageMaker IA fallará en 15 minutos si:
+ la sesión de usuario en segundo plano caduca,
+ un administrador revoca manualmente la sesión de usuario en segundo plano.
A continuación, se proporciona un ejemplo de comportamiento con los trabajos de SageMaker formación. Cuando un administrador habilita la propagación de identidades de confianza pero desactiva las [sesiones de usuario en segundo plano](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) en la consola de IAM Identity Center:
+ Si un usuario permanece conectado, los trabajos de entrenamiento creados durante las sesiones en segundo plano estarán desactivados y recurrirán a la sesión interactiva.
+ Si el usuario cierra su sesión, la sesión caduca y los trabajos de entrenamiento que dependen de la sesión interactiva darán error.
+ Los usuarios pueden reiniciar su trabajo de entrenamiento desde el último punto de comprobación. La duración de la sesión se determina en función de lo establecido para la duración de la sesión interactiva en la consola de IAM Identity Center.
+ Si un usuario desactiva las sesiones en segundo plano **después** de iniciar un trabajo, el trabajo seguirá utilizando las sesiones en segundo plano existentes. En otras palabras, la SageMaker IA no creará nuevas sesiones en segundo plano.
El mismo comportamiento se aplica si las sesiones en segundo plano están habilitadas en el nivel de instancia del IAM Identity Center, pero se deshabilitan específicamente para la aplicación Studio mediante el [IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) Center. APIs
## Consideraciones sobre el tiempo de ejecución
Cuando un administrador establece tareas `MaxRuntimeInSeconds` de formación o procesamiento de larga duración que son inferiores a la duración de la sesión en segundo plano del usuario, SageMaker AI ejecuta la tarea durante el tiempo mínimo de la sesión en segundo plano del usuario. `MaxRuntimeInSeconds` Para obtener más información acerca de `MaxRuntimeInSeconds`, consulte [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition). Consulte las [sesiones de usuario en segundo plano en IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) para obtener más información sobre cómo configurar el tiempo de ejecución.
# Cómo conectarse con otros AWS servicios que tengan habilitada la propagación de identidades confiable
Cuando la propagación de identidad confiable está habilitada para su dominio de Amazon SageMaker AI, los usuarios del dominio pueden conectarse a otros AWS servicios confiables habilitados para la propagación de identidad. Cuando la propagación de identidades de confianza está habilitada, el contexto de su identidad se propaga automáticamente a los servicios compatibles, lo que permite un control de acceso detallado y una mejor auditoría de todos sus flujos de trabajo de machine learning. Esta integración elimina la necesidad de cambios complejos de funciones de IAM y proporciona una experiencia de identidad unificada en todos AWS los servicios. En las siguientes páginas se proporciona información sobre cómo conectar Amazon SageMaker Studio a otros AWS servicios cuando está habilitada la propagación de identidades de confianza.
**Topics**
+ [Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con la propagación de identidad confiable habilitada](trustedidentitypropagation-s3-access-grants.md)
+ [Conecte las JupyterLab libretas Studio a Amazon EMR con la propagación de identidad confiable habilitada](trustedidentitypropagation-emr-ec2.md)
+ [Conecte sus JupyterLab cuadernos Studio a EMR Serverless con la propagación de identidad confiable habilitada](trustedidentitypropagation-emr-serverless.md)
+ [Conecte JupyterLab los cuadernos de Studio a la API de Redshift Data con la propagación de identidad confiable habilitada](trustedidentitypropagation-redshift-data-apis.md)
+ [Conecte JupyterLab los cuadernos de Studio a Lake Formation y Athena con la propagación de identidad confiable habilitada](trustedidentitypropagation-lake-formation-athena.md)
# Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con la propagación de identidad confiable habilitada
Puede utilizar [Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para otorgar control de acceso detallado y basado en la identidad a las ubicaciones de Amazon S3 de forma flexible. Esto concede a los buckets de Amazon S3 acceso directo a los usuarios y grupos corporativos. En las siguientes páginas se proporciona información e instrucciones sobre cómo utilizar Amazon S3 Access Grants con una propagación de identidad fiable para SageMaker IA.
## Requisitos previos
Para conectar Studio con Lake Formation y Athena con la propagación de identidades de confianza habilitada, debe haber completado los siguientes requisitos previos:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ Siga las instrucciones de [Introducción a Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) para configurar Concesiones de acceso a Amazon S3 para su bucket. Para obtener más información, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/).
**nota**
Los Amazon S3 estándar APIs no funcionan automáticamente con las concesiones de acceso de Amazon S3. Debe usar Amazon S3 Access Grants de forma explícita APIs. Para obtener más información, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
**Topics**
+ [Requisitos previos](#s3-access-grants-prerequisites)
+ [Conecta Amazon S3 Access Grants con las JupyterLab libretas Studio](s3-access-grants-setup.md)
+ [Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con tareas de formación y procesamiento](trustedidentitypropagation-s3-access-grants-jobs.md)
# Conecta Amazon S3 Access Grants con las JupyterLab libretas Studio
Utilice la siguiente información para conceder subvenciones de acceso a Amazon S3 en las JupyterLab libretas Studio.
Después de configurar Concesiones de acceso a Amazon S3, [añada los siguientes permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) a su dominio o [rol de ejecución](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuario.
+ `us-east-1` es su Región de AWS.
+ `111122223333` es su ID de Cuenta de AWS .
+ `S3-ACCESS-GRANT-ROLE` es su rol de Concesiones de acceso a Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Asegúrese de que la política de confianza de su rol de Concesiones de acceso a Amazon S3 permita las acciones `sts:SetContext` y `sts:AssumeRole`. Use la siguiente política de ejemplo cuando [actualice la política de confianza de su rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Uso de Concesiones de acceso a Amazon S3 para llamar a Amazon S3
A continuación, se muestra un ejemplo de script de Python que muestra cómo se puede utilizar Concesiones de acceso a Amazon S3 para llamar a Amazon S3. Esto supone que ya ha configurado correctamente la propagación de identidades confiable con SageMaker IA.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Si utiliza una ruta a un bucket de Amazon S3 donde la concesión de acceso a Amazon S3 no está habilitada, se producirá un error en la llamada.
Para otros lenguajes de programación, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para obtener más información.
# Conecte las JupyterLab libretas Studio a Amazon S3 Access Grants con tareas de formación y procesamiento
Utilice la siguiente información para conceder subvenciones de acceso a Amazon S3 para acceder a los datos en los trabajos de SageMaker formación y procesamiento de Amazon.
Cuando un usuario con la propagación de identidad fiable habilitada lanza un trabajo de SageMaker formación o procesamiento que necesita acceder a los datos de Amazon S3:
+ SageMaker AI solicita Amazon S3 Access Grants para obtener credenciales temporales basadas en la identidad del usuario
+ Si se ejecutan correctamente, estas credenciales temporales acceden a los datos de Amazon S3.
+ Si no lo consigue, SageMaker AI vuelve a utilizar las credenciales del rol de IAM
**nota**
Para garantizar que todos los permisos se concedan mediante Concesiones de acceso a Amazon S3, tendrá que eliminar el permiso de acceso a Amazon S3 relacionado con su rol de ejecución y asociarlo a su [Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondiente.
**Topics**
+ [Consideraciones](#s3-access-grants-jobs-considerations)
+ [Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3](#s3-access-grants-jobs-setup)
## Consideraciones
Las subvenciones de acceso de Amazon S3 no se pueden utilizar con el [modo Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) tanto para el SageMaker entrenamiento como para el procesamiento de las entradas de Amazon S3.
Cuando la propagación de identidad confiable está habilitada, no puede iniciar un trabajo de SageMaker formación con la siguiente función
+ Depuración remota
+ Depurador
+ Profiler
Si la propagación de identidades de confianza está habilitada, no puede iniciar un trabajo de procesamiento con la siguiente característica:
+ DatasetDefinition
## Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3
Después de configurar Concesiones de acceso a Amazon S3, [añada los siguientes permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) a su dominio o [rol de ejecución](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuario.
+ `us-east-1` es su Región de AWS.
+ `111122223333` es su ID de Cuenta de AWS .
+ `S3-ACCESS-GRANT-ROLE` es su rol de Concesiones de acceso a Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# Conecte las JupyterLab libretas Studio a Amazon EMR con la propagación de identidad confiable habilitada
La conexión de las JupyterLab libretas Amazon SageMaker Studio a los clústeres de Amazon EMR le permite aprovechar la potencia informática distribuida de Amazon EMR para cargas de trabajo de análisis y procesamiento de datos a gran escala. Con la propagación de identidades de confianza habilitada, el contexto de identidad se propaga a Amazon EMR, lo que permite un control de acceso detallado y registros de auditoría integrales. En la página siguiente se proporcionan instrucciones sobre cómo conectar su cuaderno de Studio a los clústeres de Amazon EMR. Una vez configurado, puede utilizar la opción `Connect to Cluster` en su cuaderno de Studio.
Para conectar Studio con Amazon EMR con la propagación de identidades de confianza habilitada, debe haber completado la siguiente configuración:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Introducción a la AWS IAM Identity Center integración para Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Habilitación de las comunicaciones entre los clústeres de Studio y Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Conexión a un clúster de Amazon EMR**
Para obtener una lista completa de opciones sobre cómo conectar su JupyterLab portátil a Amazon EMR, consulte [Conectarse a un clúster de Amazon EMR.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)
# Conecte sus JupyterLab cuadernos Studio a EMR Serverless con la propagación de identidad confiable habilitada
Amazon EMR sin servidor ofrece una opción sin servidor para ejecutar aplicaciones de Apache Spark y Apache Hive sin administrar clústeres. Cuando se integra con la propagación de identidades de confianza, EMR sin servidor escala automáticamente los recursos de computación y, al mismo tiempo, mantiene su contexto de identidad para el control de acceso y la auditoría. Este enfoque elimina la sobrecarga operativa de la administración de clústeres y, al mismo tiempo, preserva las ventajas para la seguridad del control de acceso basado en la identidad. En la siguiente sección se proporciona información sobre cómo conectar su Studio habilitado para la propagación de identidades de confianza con EMR sin servidor.
Para conectar Studio con Amazon EMR sin servidor con la propagación de identidades de confianza habilitada, debe haber completado la siguiente configuración:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Propagación de identidades de confianza con EMR sin servidor](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Habilitación de las comunicaciones entre Studio y EMR sin servidor](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**Conexión a la aplicación de EMR sin servidor**
Para obtener una lista completa de opciones sobre cómo conectar su JupyterLab portátil a EMR Serverless, consulte [Conectarse a una aplicación EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.
# Conecte JupyterLab los cuadernos de Studio a la API de Redshift Data con la propagación de identidad confiable habilitada
La API de datos de Amazon Redshift le permite interactuar con sus clústeres de Amazon Redshift mediante programación sin administrar las conexiones persistentes. Cuando se combina con una propagación de identidades de confianza, la API de datos de Redshift proporciona un acceso seguro y basado en la identidad a su almacén de datos, lo que le permite ejecutar consultas SQL y obtener resultados, al tiempo que mantiene un registro de auditoría completo de las actividades de los usuarios. Esta integración es particularmente valiosa para los flujos de trabajo de ciencia de datos que requieren acceso a datos estructurados almacenados en Redshift. La siguiente página incluye información e instrucciones sobre cómo conectar la propagación de identidades de confianza con Amazon SageMaker Studio a la API de datos de Redshift.
Para conectar Studio con la API de datos de Redshift con la propagación de identidades de confianza habilitada, debe haber completado la siguiente configuración:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Uso de la API de datos de Redshift con propagación de identidades de confianza](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Asegúrese de que su rol de ejecución tenga los permisos pertinentes para la API de datos de Redshift. Para obtener más información, consulte la sección sobre cómo [autorizar el acceso](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+ [Simplifique la administración del acceso con Amazon Redshift y AWS Lake Formation para los usuarios de un proveedor de identidad externo](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# Conecte JupyterLab los cuadernos de Studio a Lake Formation y Athena con la propagación de identidad confiable habilitada
AWS Lake Formation y Amazon Athena trabajan juntos para ofrecer una solución integral de lago de datos con funciones detalladas de control de acceso y consultas sin servidor. Lake Formation centraliza la gestión de permisos para su lago de datos, mientras que Athena ofrece servicios de consulta interactiva. Cuando se integra con la propagación de identidades de confianza, esta combinación permite a los científicos de datos acceder solo a los datos que pueden ver. Además, tienen todas las consultas y el acceso a los datos registradas automáticamente con fines de cumplimiento y auditoría. En la siguiente página se proporciona información e instrucciones sobre cómo conectar la propagación de identidades de confianza con Amazon SageMaker Studio a Lake Formation y Athena.
Para conectar Studio con Lake Formation y Athena con la propagación de identidades de confianza habilitada, debe haber completado los siguientes requisitos previos:
+ [Configuración de la propagación de identidades de confianza para Studio](trustedidentitypropagation-setup.md)
+ [Creación de un rol en Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Conexión de Lake Formation con IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Creación de recursos de Lake Formation:
+ [Base de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [Tablas](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Creación de un grupo de trabajo de Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ Elección de **AthenaSQL** como motor.
+ Elección de **IAM Identity Center** como método de autenticación.
+ Creación de un rol de servicio nuevo.
+ Asegúrese de que los usuarios de IAM Identity Center tengan acceso a la ubicación de los resultados de la consulta mediante Concesiones de acceso a Amazon S3.
+ [Concesión de permisos de base de datos mediante el método de recurso con nombre](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)