Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción general de la propagación de identidades de confianza
La propagación de identidades de confianza es una característica de IAM Identity Center que permite a los administradores de Servicios de AWS conceder permisos en función de los atributos de los usuarios, como las asociaciones de grupos. Con la propagación de identidades confiable, el contexto de identidad se agrega a una función de IAM para identificar al usuario que solicita acceso a AWS los recursos. Este contexto se propaga a otros. Servicios de AWS
El contexto de identidad comprende la información que se Servicios de AWS utiliza para tomar decisiones de autorización cuando reciben solicitudes de acceso. Esta información incluye los metadatos que identifican al solicitante (por ejemplo, un usuario del Centro de Identidad de IAM), el lugar Servicio de AWS al que se solicita el acceso (por ejemplo, Amazon Redshift) y el ámbito del acceso (por ejemplo, el acceso de solo lectura). El destinatario Servicio de AWS utiliza este contexto y cualquier permiso asignado al usuario para autorizar el acceso a sus recursos.
## Ventajas de la propagación de la identidad de confianza
La propagación fiable de la identidad permite Servicios de AWS a los administradores conceder permisos a los recursos, como los datos, utilizando las identidades corporativas de sus empleados. Además, pueden auditar quién accedió a qué datos consultando los registros de servicio o AWS CloudTrail. Si es administrador del IAM Identity Center, es posible que otros administradores de Servicio de AWS le pidan que habilite la propagación de identidades de confianza.
## Activación de la propagación de identidades de confianza
El proceso de habilitar la propagación de identidades de forma fiable consta de los dos pasos siguientes:
1. **Activa el Centro de Identidad de IAM y conecta tu fuente de identidades actual al Centro de Identidad de IAM**. Seguirás gestionando las identidades de tus empleados en tu fuente de identidades actual; al conectarlo al Centro de Identidad de IAM, se crea una referencia para tus empleados que todos los usuarios de tu Servicios de AWS caso práctico pueden compartir. También está disponible para que los propietarios de los datos lo utilicen en futuros casos de uso.
1. **Conéctelo Servicios de AWS en su caso de uso al Centro de identidad de IAM**: el administrador de cada uno Servicio de AWS de los casos de uso de propagación de identidad confiable sigue las instrucciones de la documentación de servicio correspondiente para conectar el servicio al Centro de identidad de IAM.
**nota**
Si su caso de uso involucra una *aplicación desarrollada por terceros* o *por un cliente*, habilite la propagación de identidades de confianza configurando una relación de confianza entre el proveedor de identidades que autentica a los usuarios de la aplicación e IAM Identity Center. Esto permite que su aplicación aproveche el flujo de propagación de identidades de confianza descrito anteriormente.
Para obtener más información, consulte [Uso de aplicaciones con un emisor de tokens de confianza](using-apps-with-trusted-token-issuer.md).
## Cómo funciona la propagación de identidades de confianza
En el diagrama a continuación se muestra el flujo de trabajo de alto nivel para la propagación de identidades de confianza:
![\[Flujo de trabajo de propagación de identidades de confianza simplificado.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Los usuarios se autentican con una aplicación orientada al cliente, por ejemplo, Quick.
1. La aplicación orientada al cliente solicita acceso para usar y consultar datos e incluye información sobre el usuario. Servicio de AWS
**nota**
Algunos casos de uso fiables de la propagación de identidades implican herramientas que interactúan con el Servicios de AWS uso de controladores de servicio. Puede averiguar si esto se aplica a su caso de uso en la [guía de casos de uso](trustedidentitypropagation-integrations.md).
1. Servicio de AWS Verifica la identidad del usuario con el Centro de Identidad de IAM y compara los atributos del usuario, como sus asociaciones grupales, con los necesarios para el acceso. Servicio de AWS Autoriza el acceso siempre que el usuario o su grupo tengan los permisos necesarios.
1. Servicios de AWS puede registrar el identificador de usuario AWS CloudTrail y en sus registros de servicio. Para conocer detalles, consulte la documentación del servicio.
La siguiente imagen proporciona una descripción general de los pasos descritos anteriormente en el flujo de trabajo de propagación de identidades de confianza:
![\[Flujo de trabajo de propagación de identidades de confianza simplificado.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Ventajas de la propagación de la identidad de confianza](#benefits-trusted-identity-propagation)
+ [Activación de la propagación de identidades de confianza](#enabling-tip)
+ [Cómo funciona la propagación de identidades de confianza](#how-tip-works)
+ [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md)
+ [Casos de uso de propagación de identidades de confianza](trustedidentitypropagation-integrations.md)
+ [Autorización de servicios](authorization-services.md)
# Requisitos y consideraciones previos
Antes de configurar la propagación de identidades de confianza, revise los siguientes requisitos previos y consideraciones.
**Topics**
+ [Requisitos previos](#trustedidentitypropagation-prerequisites)
+ [Consideraciones](#trustedidentitypropagation-considerations)
+ [Consideraciones para las aplicaciones administradas por el cliente](#trustedidentitypropagation-customer-apps)
## Requisitos previos
Para utilizar la propagación de identidades de confianza, asegúrese de que el entorno cumple los siguientes requisitos previos.
+ Habilite y aprovisione IAM Identity Center
+ Para utilizar una propagación de identidad fiable, debe habilitar el Centro de Identidad de IAM en el mismo Región de AWS lugar donde están habilitadas las AWS aplicaciones y los servicios a los que accederán sus usuarios. Para obtener información, consulte [Activar IAM Identity Center](enable-identity-center.md).
+ Se recomienda la instancia de organización IAM Identity Center: le recomendamos que utilice una [instancia de organización](organization-instances-identity-center.md) de IAM Identity Center que habilite en la cuenta de administración de AWS Organizations. Puede [delegar la administración](organization-instances-identity-center.md) de una instancia de organización de IAM Identity Center a una cuenta de miembro. Si elige una [instancia de cuenta](account-instances-identity-center.md) de IAM Identity Center, todos los Servicios de AWS a los que desee que accedan los usuarios con la propagación de identidades de confianza deben residir en la misma Cuenta de AWS donde habilita IAM Identity Center. Para obtener más información, consulte [Instancias de cuenta de IAM Identity Center](account-instances-identity-center.md).
+ Conecte su origen de identidad a IAM Identity Center y aprovisione usuarios y grupos en IAM Identity Center. Para obtener más información, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md).
+ Conecte las aplicaciones y los servicios AWS gestionados de su caso de uso de propagación de identidades de confianza al IAM Identity Center. Para utilizar una propagación de identidad fiable, las aplicaciones AWS gestionadas deben estar conectadas al Centro de identidades de IAM.
## Consideraciones
Tenga en cuenta las siguientes consideraciones cuando configure y utilice la propagación de identidades de confianza:
+ **Instancia de organización frente a instancia de cuenta de IAM Identity Center**
+ Una [instancia de organización](organization-instances-identity-center.md) de IAM Identity Center le proporcionará el mayor control y flexibilidad para ampliar sus casos de uso a varias Cuentas de AWS, usuarios y Servicios de AWS. Si no puede utilizar una instancia de organización, es posible que su caso de uso sea compatible con las instancias de cuentas de IAM Identity Center. Para obtener más información sobre qué Servicios de AWS en su caso de uso admiten instancias de cuenta de IAM Identity Center, consulte [AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center](awsapps-that-work-with-identity-center.md).
+ **No se requieren permisos de varias cuentas (conjuntos de permisos)**
+ La propagación de identidades de confianza no requiere que configure [permisos de varias cuentas](manage-your-accounts.md) (conjuntos de permisos). Puede habilitar IAM Identity Center y utilizarlo únicamente para la propagación de identidades de confianza.
## Consideraciones para las aplicaciones administradas por el cliente
Sus empleados pueden beneficiarse de una propagación de identidad fiable incluso si sus usuarios interactúan con aplicaciones orientadas al cliente que no están gestionadas, por ejemplo AWS, por sus aplicaciones desarrolladas a Tableau medida. Es posible que los usuarios de estas aplicaciones no estén aprovisionados en IAM Identity Center. Para permitir el reconocimiento y la autorización sin problemas del acceso de los usuarios a AWS los recursos, el Centro de identidad de IAM le permite configurar una relación de confianza entre el proveedor de identidad que autentica a sus usuarios y el Centro de identidad de IAM. Para obtener más información, consulte [Uso de aplicaciones con un emisor de tokens de confianza](using-apps-with-trusted-token-issuer.md).
Además, configurar la propagación de identidades de confianza para su aplicación requerirá lo siguiente:
+ La aplicación debe utilizar el marco OAuth 2.0 para la autenticación. La propagación de identidades de confianza no admite integraciones de SAML 2.0.
+ IAM Identity Center debe reconocer su aplicación. Siga las instrucciones específicas para su [caso de uso](trustedidentitypropagation-integrations.md).
# Casos de uso de propagación de identidades de confianza
Como administrador de IAM Identity Center, es posible que se le pida que ayude a configurar la propagación de identidades de confianza desde las aplicaciones orientadas a usuarios hasta los Servicios de AWS. Para respaldar esta solicitud, deberá tener la siguiente información:
+ ¿Con qué aplicación orientada al cliente interactuarán sus usuarios?
+ ¿Cuáles Servicios de AWS se utilizan para consultar los datos y autorizar el acceso a los datos?
+ ¿ Servicio de AWS Quién autoriza el acceso a los datos?
Su rol a la hora de habilitar **los casos de uso de la propagación de identidades de confianza que no impliquen aplicaciones de terceros o aplicaciones desarrolladas a medida** consiste en:
1. [Habilite el centro de identidad de IAM.](enable-identity-center.md)
1. [Conecte su origen de identidad existente a IAM Identity Center](tutorials.md).
Los pasos restantes de la configuración de la identidad confiable para estos casos de uso se llevan a cabo dentro de las aplicaciones conectadas Servicios de AWS y. Los administradores de las aplicaciones conectadas Servicios de AWS o conectadas deben consultar las guías de usuario correspondientes para obtener una guía completa sobre los servicios específicos.
Su rol a la hora de habilitar **los casos de uso de la propagación de identidades de confianza que implican aplicaciones de terceros o aplicaciones desarrolladas a medida** incluye los pasos necesarios de [Activar IAM Identity Center](enable-identity-center.md) y [conectar su origen de identidades](tutorials.md), así como:
1. Configurar la conexión de su proveedor de identidades (IdP) con la aplicación de terceros o desarrollada a medida.
1. Permitir que IAM Identity Center reconozca la aplicación de terceros o desarrollada a medida.
1. Configurar su IdP como emisor de tokens de confianza en IAM Identity Center Para obtener más información, consulte [Uso de aplicaciones con un emisor de tokens de confianza](using-apps-with-trusted-token-issuer.md).
Los administradores de las aplicaciones conectadas Servicios de AWS deben consultar las guías de usuario correspondientes para obtener una guía completa sobre los servicios específicos.
## Casos de uso de análisis, machine learning y almacén de lago de datos
Puede habilitar casos de uso de propagación de confianza con los siguientes servicios de análisis y machine learning:
+ **Amazon Redshift**: para obtener instrucciones, consulte [Propagación de identidades de confianza con Amazon Redshift](tip-usecase-redshift.md).
+ **Amazon EMR**: para obtener instrucciones, consulte [Propagación de identidades de confianza con Amazon EMR](tip-usecase-emr.md).
+ **Amazon Athena**: para obtener instrucciones, consulte [Propagación de identidades de confianza con Amazon Athena](tip-usecase-ate.md).
+ **SageMaker Studio**: para obtener orientación, consulte. [Propagación de identidad fiable con Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
## Casos de uso adicionales
Puede habilitar IAM Identity Center y la propagación de identidades de confianza con los siguientes Servicios de AWS adicionales:
+ **Amazon Q Business**: para obtener instrucciones, consulte:
+ [Flujo de trabajo del administrador para las aplicaciones que utilizan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Configuración de una aplicación Amazon Q Business mediante IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Cómo configurar Amazon Q Business con la propagación de identidades de confianza de IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service**: para obtener información, consulta:
+ [IAM Identity Center Trusted Identity Propagation Support for Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Interfaz OpenSearch de usuario centralizada (paneles de control) con Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**: para obtener instrucciones, consulte:
+ [Aplicaciones web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Casos de uso de análisis, machine learning y almacén de lago de datos](#tip-data-analytic-usecases-overview)
+ [Casos de uso adicionales](#tip-additional-usecases)
+ [Propagación de identidades de confianza con Amazon Redshift](tip-usecase-redshift.md)
+ [Propagación de identidades de confianza con Amazon EMR](tip-usecase-emr.md)
+ [Propagación de identidades de confianza con Amazon Athena](tip-usecase-ate.md)
+ [Propagación de identidad fiable con Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagación de identidades de confianza con Amazon Redshift
Los pasos para permitir una propagación de identidad fiable dependen de si los usuarios interactúan con las aplicaciones AWS gestionadas o con las gestionadas por los clientes. El siguiente diagrama muestra una configuración de propagación de identidad confiable para aplicaciones orientadas al cliente, AWS administradas o externas, que consultan datos de Amazon Redshift con el control de acceso proporcionado por Amazon Redshift o por servicios de autorización, como Amazon S3. AWS AWS Lake Formation Access Grants
![\[Diagrama de propagación de identidades de confianza mediante Amazon Redshift, Quick, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Cuando la propagación de identidades de confianza a Amazon Redshift está habilitada, los administradores de Redshift pueden configurar Redshift para que [cree automáticamente funciones](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) para IAM Identity Center como proveedor de identidades, asignar las funciones de Redshift a los grupos de IAM Identity Center y utilizar el [control de acceso basado en funciones de Redshift para conceder el acceso.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Aplicaciones orientadas al cliente compatibles
**AWS aplicaciones administradas**
Las siguientes aplicaciones AWS gestionadas orientadas al cliente admiten la propagación de identidades de confianza en Amazon Redshift:
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Rápido](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**nota**
Si utiliza Amazon Redshift Spectrum para acceder a bases de datos o tablas externas en AWS Glue Data Catalog, considere la posibilidad de configurar [Lake Formation](tip-tutorial-lf.md) y [Access Grants de Amazon S3 ](tip-tutorial-s3.md) para proporcionar un control de acceso detallado.
**Aplicaciones administradas por el cliente**
Las siguientes aplicaciones orientadas al cliente administradas por el cliente admiten la propagación de identidades de confianza en Amazon Redshift:
+ **Tableau**, incluidos Tableau Desktop, Tableau Server y Tableau Prep
+ Para habilitar la propagación de identidades de confianza para los usuarios de Tableau, consulte [Integrate Tableau and Okta with Amazon Redshift using IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) en el *Blog de macrodatos de AWS *.
+ **Clientes de SQL** (DBeaver y DBVisualizer)
+ Para permitir la propagación de identidades de confianza para los usuarios de clientes de SQL (DBeaver y DBVisualizer), consulte [Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) en el *Blog de macrodatos de AWS *.
# Configuración de la propagación de identidades de confianza con el editor de consultas V2 de Amazon Redshift
El siguiente procedimiento explica cómo lograr una propagación de identidades de confianza desde el editor de consultas V2 de Amazon Redshift a Amazon Redshift.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
1. [Habilite el centro de identidad de IAM](enable-identity-center.md). Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
1. [Aprovisionar los usuarios y grupos de su origen de identidades en IAM Identity Center](tutorials.md).
La activación de la propagación de identidades de confianza incluye las tareas realizadas por un administrador de IAM Identity Center en la consola de IAM Identity Center y las tareas realizadas por un administrador de Amazon Redshift en la consola de Amazon Redshift.
## Tareas realizadas por el administrador de IAM Identity Center
El administrador de IAM Identity Center debía completar las siguientes tareas:
1. **Crear un [rol de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** en la cuenta en la que se encuentre el clúster de Amazon Redshift o la instancia sin servidor con la siguiente política de permisos. Para obtener más información, consulte [Creación de roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Los siguientes ejemplos de políticas incluyen los permisos necesarios para completar este tutorial. Para usar esta política, sustituya *italicized placeholder text* la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte [Creación de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Edición de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Política de permisos:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Política de confianza:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Cree un conjunto de permisos** en la cuenta de administración de AWS Organizations en la que esté activado IAM Identity Center. Lo usará en el siguiente paso para permitir que los usuarios federados accedan al editor de consultas V2 de Redshift.
1. En la consola de **IAM Identity Center**, en **Permisos multicuenta**, seleccione **Conjuntos de permisos**.
1. Elija **Crear conjunto de permisos**.
1. Elija **Conjunto de permisos personalizado** y, a continuación, elija **Siguiente.**
1. En **Políticas administradas por AWS **, seleccione **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. En **Política insertada**, agregue la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Seleccione **Siguiente** y, a continuación, proporcione un nombre para el nombre del conjunto de permisos. Por ejemplo, **Redshift-Query-Editor-V2**.
1. En **Estado de relé (opcional)**, defina el estado de relé predeterminado en la URL del editor de consultas V2, con el formato: `https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Revise la configuración y seleccione **Crear**.
1. Diríjase al panel de control de IAM Identity Center y copie la URL del portal de acceso de AWS de la sección **Resumen de la configuración**.
![\[Paso i: Copie la URL del portal de AWS acceso desde la consola del IAM Identity Center.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Abra una nueva ventana del navegador de incógnito y pegue la URL.
Esto lo llevará a su portal de AWS acceso, asegurándose de que está iniciando sesión con un usuario del Centro de Identidad de IAM.
![\[Paso j: inicie sesión para AWS acceder al portal.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Para obtener más información sobre el conjunto de permisos, consulte [Administre Cuentas de AWS con conjuntos de permisos](permissionsetsconcept.md).
1. **Permita que los usuarios federados accedan al editor de consultas V2 de Redshift**.
1. En la cuenta AWS Organizations de administración, abra la consola de **IAM Identity Center**.
1. En el panel de navegación, en **Permisos para varias cuentas**, elija**Cuentas de AWS**.
1. En la Cuentas de AWS página, seleccione Cuenta de AWS aquella a la que desee asignar el acceso.
1. Seleccione **Asignar usuarios o grupos**.
1. En la página **Asignar usuarios y grupos**, seleccione los usuarios o grupos para los que desee crear permisos. A continuación, elija **Siguiente**.
1. En la página **Asignar conjuntos de permisos**, elija el conjunto de permisos que creó en el paso anterior. A continuación, elija **Siguiente**.
1. En la página **Revisar y enviar asignaciones**, revise la selección y elija **Enviar**.
## Tareas realizadas por un administrador de Amazon Redshift
Para habilitar la propagación de identidades de confianza en Amazon Redshift, es necesario que un administrador de clústeres de Amazon Redshift o un administrador de Amazon Redshift sin servidor realice una serie de tareas en la consola de Amazon Redshift. Para obtener más información, consulte [Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) en el *Blog de macrodatos de AWS *.
# Propagación de identidades de confianza con Amazon EMR
El siguiente diagrama muestra una configuración de propagación de identidad confiable para Amazon EMR Studio que utiliza Amazon EMR en Amazon EC2 con el control de acceso proporcionado por Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagación de identidades de confianza con Amazon EMR, Quick Suite, Lake Formation e IAM Identity Center.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplicaciones orientadas al cliente compatibles**
+ Amazon EMR Studio
**Para habilitar la propagación de identidades de confianza, siga estos pasos:**
+ [Configure Amazon EMR Studio](setting-up-tip-emr.md) como la aplicación orientada al cliente para el clúster de Amazon EMR.
+ Configure el [clúster de Amazon EMR en Amazon EC2 con Apache Spark](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html).
+ *Recomendado*: [AWS Lake Formation](tip-tutorial-lf.md)y [Amazon S3 Access Grants](tip-tutorial-s3.md) para proporcionar un control de acceso detallado a las ubicaciones de datos subyacentes AWS Glue Data Catalog y a las ubicaciones de datos subyacentes en S3.
# Configuración de la propagación de identidades de confianza con Amazon EMR Studio
El siguiente procedimiento explica cómo configurar Amazon EMR Studio para la propagación de identidades de confianza en consultas realizadas en grupos de trabajo de Amazon Athena o clústeres de Amazon EMR que ejecutan Apache Spark.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
1. [Habilite el centro de identidad de IAM](enable-identity-center.md). Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
1. [Aprovisionar los usuarios y grupos de su origen de identidades en IAM Identity Center](tutorials.md).
Para completar la configuración de la propagación de identidades de confianza desde Amazon EMR Studio, el administrador de EMR Studio debe realizar los siguientes pasos.
## Paso 1. Creación del rol de IAM requerido para EMR Studio
En este paso, el administrador de Amazon EMR Studio crea un rol de servicio de IAM y un rol de usuario de IAM para EMR Studio.
1. **[Cree un rol de servicio de EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)**: EMR Studio asume este rol de IAM para gestionar de forma segura los espacios de trabajo y los blocs de notas, conectarse a clústeres y gestionar las interacciones de datos.
1. Navegue hasta la consola de IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) y cree un rol de IAM.
1. Seleccione **Servicio de AWS** como entidad de confianza y, a continuación, elija **Amazon EMR**. Adjunte las siguientes políticas para definir los permisos y la relación de confianza del rol.
Para usar estas políticas, sustituya *italicized placeholder text* la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte [Creación de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Edición de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Para obtener una referencia de todos los permisos de rol de servicio, consulte [EMR Studio service role permissions](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Cree un rol de usuario de EMR Studio para la autenticación de IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)**: EMR Studio asume este rol cuando un usuario inicia sesión a través de IAM Identity Center para administrar espacios de trabajo, clústeres de EMR, trabajos y repositorios de git. **Este rol se utiliza para iniciar el flujo de trabajo de propagación de identidades de confianza**.
**nota**
El rol de usuario de EMR Studio no necesita incluir permisos para acceder a las ubicaciones de Amazon S3 de las tablas del catálogo. AWS Glue AWS Lake Formation los permisos y las ubicaciones de lagos registradas se utilizarán para recibir permisos temporales.
El siguiente ejemplo de política se puede utilizar en un rol que permita a un usuario de EMR Studio utilizar los grupos de trabajo de Athena para ejecutar consultas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
La siguiente política de confianza permite que EMR Studio asuma el rol:
**nota**
Se necesitan permisos adicionales para aprovechar los espacios de trabajo de EMR Studio y los blocs de notas de EMR. Consulte [Creación de políticas de permisos para los usuarios de EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) para obtener más información.
**Dispone de más información en los siguientes enlaces:**
+ [Defina los permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Permisos de rol de servicio de EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Paso 2. Creación y configuración de EMR Studio
En este paso, creará un Amazon EMR Studio en la consola de EMR Studio y utilizará los roles de IAM que creó en [Paso 1. Creación del rol de IAM requerido para EMR StudioPaso 2. Creación y configuración de EMR Studio](#setting-up-tip-emr-step1).
1. Navegue hasta la consola de EMR Studio, seleccione **Crear estudio** y **Configuración personalizada**. Puede crear un nuevo bucket de S3 o utilizar un bucket existente. Puede marcar la casilla para **Cifrar los archivos del espacio de trabajo con sus propias claves de KMS**. Para obtener más información, consulte [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Paso 1 Creación de EMR Studio en la consola de EMR.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. En **Rol de servicio para permitir que Studio acceda a sus recursos**, seleccione el rol de servicio creado en [Paso 1. Creación del rol de IAM requerido para EMR StudioPaso 2. Creación y configuración de EMR Studio](#setting-up-tip-emr-step1) desde el menú.
1. En **Autenticación**, elija **IAM Identity Center**. Seleccione el rol de usuario creado en [Paso 1. Creación del rol de IAM requerido para EMR StudioPaso 2. Creación y configuración de EMR Studio](#setting-up-tip-emr-step1).
![\[Paso 3 Creación de EMR Studio en la consola de EMR y selección de IAM Identity Center como método de autenticación.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Marque la casilla **Propagación de identidades de confianza**. Seleccione **Solo usuarios y grupos asignados** en la sección Acceso a la aplicación, lo que le permitirá conceder el acceso a este estudio únicamente a usuarios y grupos autorizados.
1. *(Opcional)*: puede configurar la VPC y la subred si utiliza este estudio con clústeres de EMR.
![\[Paso 4 Creación de EMR Studio en la consola de EMR, seleccionando la configuración de red y seguridad.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Revise todos los detalles y seleccione **Crear Studio**.
1. Tras configurar un clúster de Athena WorkGroup o EMR, inicie sesión en la URL de Studio para:
1. Ejecutar consultas de Athena con el editor de consultas.
1. Ejecutar los trabajos de Spark en el espacio de trabajo con un bloc de notas Jupyter.
# Propagación de identidades de confianza con Amazon Athena
Los pasos para permitir una propagación de identidades fiable dependen de si los usuarios interactúan con las aplicaciones AWS gestionadas o con las gestionadas por los clientes. El siguiente diagrama muestra una configuración de propagación de identidad confiable para aplicaciones orientadas al cliente, AWS administradas o externas, que utilizan Amazon Athena para AWS consultar datos de Amazon S3 con el control de acceso proporcionado por AWS Lake Formation Amazon S3. Access Grants
**nota**
La propagación de identidades de confianza con Amazon Athena requiere el uso de Trino.
No se admiten los clientes de SQL y Apache Spark conectados a Amazon Athena mediante controladores ODBC y JDBC.
![\[Diagrama de propagación de identidades de confianza mediante Athena, Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS aplicaciones administradas**
La siguiente aplicación AWS gestionada orientada al cliente admite la propagación de identidades de confianza con Athena:
+ Amazon EMR Studio
**Para habilitar la propagación de identidades de confianza, siga estos pasos:**
+ [Configure Amazon EMR Studio](setting-up-tip-emr.md) como la aplicación orientada al cliente para Athena. El editor de consultas de EMR Studio es necesario para ejecutar Athena Queries cuando la propagación de identidades de confianza está habilitada.
+ [Configure Athena Workgroup](setting-up-tip-ate.md).
+ Se ha [configurado AWS Lake Formation](tip-tutorial-lf.md) para permitir un control de acceso detallado para AWS Glue las tablas en función del usuario o grupo del IAM Identity Center.
+ [Configure Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir el acceso temporal a las ubicaciones de datos subyacentes de S3.
**nota**
Tanto Lake Formation como Amazon S3 Access Grants son necesarios para el control de acceso AWS Glue Data Catalog y para los resultados de las consultas de Athena en Amazon S3.
**Aplicaciones administradas por el cliente**
*Para permitir la propagación de identidades confiable para los usuarios de *aplicaciones desarrolladas a medida*, consulte [Acceder mediante Servicios de AWS programación mediante la propagación de identidades confiable en](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) el blog de seguridad.AWS *
# Configuración de la propagación de identidades de confianza con grupos de trabajo de Amazon Athena
El siguiente procedimiento explica cómo configurar los grupos de trabajo de Amazon Athena para la propagación de identidades de confianza.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
1. [Habilite el Centro](enable-identity-center.md) de identidad de IAM. Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
1. [Aprovisionar los usuarios y grupos de su origen de identidades en IAM Identity Center](tutorials.md).
1. Esta configuración requiere [Amazon EMR Studio](setting-up-tip-emr.md), [AWS Lake Formation](tip-tutorial-lf.md) y [Concesiones de acceso a Amazon S3](tip-tutorial-s3.md).
## Configuración de la propagación de identidades de confianza con Athena
Para configurar la propagación de identidades de confianza con Athena, el administrador de Athena debe hacer lo siguiente:
1. Consultar [Consideraciones y limitaciones del uso de grupos de trabajo de Athena habilitados para IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Crear un grupo de trabajo de Athena habilitado para IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagación de identidad fiable con Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) se integra con el Centro de identidades de IAM y admite las [sesiones en segundo plano de los usuarios](user-background-sessions.md) y la propagación de identidades de confianza. Las sesiones de usuario en segundo plano permiten a un usuario iniciar un trabajo de larga duración en SageMaker Studio, sin que el usuario tenga que permanecer conectado mientras se ejecuta el trabajo. El trabajo se ejecuta inmediatamente y en segundo plano, utilizando los permisos del usuario que lo inició. El trabajo puede seguir ejecutándose aunque el usuario apague el ordenador, caduque su sesión de inicio de sesión en el IAM Identity Center o cierre sesión en el portal de acceso. AWS La duración de sesión predeterminada para las sesiones de usuario en segundo plano es de 7 días, pero puede especificar una duración máxima de 90 días. La propagación de identidades de confianza permite proporcionar un acceso detallado a recursos de AWS como los buckets de Amazon S3 en función de la identidad del usuario o de la membresía grupal.
El siguiente diagrama muestra una configuración de propagación de identidad confiable para SageMaker Studio, con acceso a los datos almacenados en un bucket de Amazon S3. Las sesiones de usuario en segundo plano están habilitadas para el IAM Identity Center, lo que permite que el trabajo de formación de SageMaker Studio se ejecute en segundo plano. Amazon S3 Access Grants proporciona el control de acceso a los datos de entrenamiento.
![\[Diagrama de propagación de identidades de confianza para SageMaker Studio, con un trabajo de formación de SageMaker Studio que se ejecuta en una sesión en segundo plano de un usuario y acceso a los datos de entrenamiento en Amazon S3 proporcionados por Amazon S3Access Grants.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplicación gestionada**
La siguiente aplicación AWS gestionada orientada al cliente admite la propagación de identidades de forma fiable:
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Para habilitar la propagación de identidades de confianza y sesiones de usuario en segundo plano, siga estos pasos:**
+ [Configure SageMaker Studio como la aplicación orientada al cliente.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configure Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir el acceso temporal a las ubicaciones de datos subyacentes de Amazon S3.
# Configuración de la propagación de identidades fiable con Studio SageMaker
El siguiente procedimiento explica cómo configurar SageMaker Studio para la propagación de identidades de confianza y las sesiones de usuario en segundo plano.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que completar las siguientes tareas:
1. [Habilite el Centro de identidades de IAM](enable-identity-center.md). Se requiere una instancia de organización. Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
1. [Aprovisionar los usuarios y grupos de su origen de identidades en IAM Identity Center](tutorials.md).
1. [Confirmar que las sesiones de usuario en segundo plano estén habilitadas](user-background-sessions.md) en la consola de IAM Identity Center. De forma predeterminada, las sesiones de usuario en segundo plano están habilitadas y la duración de la sesión se establece en 7 días. Puede cambiar esta duración.
Para configurar la propagación de identidades de confianza desde SageMaker Studio, el administrador de SageMaker Studio debe realizar los siguientes pasos.
## Paso 1: Habilitar la propagación de identidades de confianza en un dominio de SageMaker Studio nuevo o existente
SageMaker Studio usa los dominios para organizar los perfiles de usuario, las aplicaciones y sus recursos asociados. Para habilitar la propagación de identidades de forma fiable, debe crear un dominio de SageMaker Studio o modificar uno existente, tal y como se describe en el siguiente procedimiento.
1. Abra la consola de SageMaker IA, vaya a **Dominios** y realice una de las siguientes acciones.
+ **Crea un nuevo dominio de SageMaker Studio mediante [la configuración para organizaciones](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Elija **Configuración para organizaciones** y, a continuación, haga lo siguiente:
+ Elija **AWS Identity Center** como método de autenticación.
+ Active la casilla **Habilitar la propagación de identidad de confianza para todos los usuarios de este dominio**.
+ **Modifica un dominio de SageMaker Studio existente.**
+ Seleccione un dominio existente que utilice IAM Identity Center para la autenticación.
**importante**
La propagación de identidades fiables solo se admite en los dominios de SageMaker Studio que utilizan el Centro de identidades de IAM para la autenticación. Si el dominio usa IAM para la autenticación, no puede cambiar el método de autenticación y, por lo tanto, no puede habilitar la propagación de identidades de confianza.
+ [Edite la configuración del dominio](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Edite la configuración **Autenticación y permisos** para activar la propagación de identidades de confianza.
1. Continúe con el [paso 2: configure el rol de ejecución de dominio predeterminado](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Esta función es necesaria para que los usuarios de un dominio de SageMaker Studio puedan acceder a otros AWS servicios, como Amazon S3.
## Paso 2: configure el rol de ejecución de dominio predeterminado y la política de confianza del rol
Una *función de ejecución de dominio* es una [función de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) que asume un dominio de SageMaker Studio en nombre de todos los usuarios del dominio. Los permisos que asignes a este rol determinan qué acciones puede realizar SageMaker Studio.
1. Para crear o seleccionar un rol de ejecución de dominio, realice una de las siguientes acciones:
+ **Cree o seleccione un rol mediante la [configuración para organizaciones](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Abra la consola de SageMaker IA y siga las instrucciones de la consola del **paso 2: Configure las funciones y las actividades** de aprendizaje automático para crear una nueva función de ejecución de dominio o seleccione una función existente.
+ Completa el resto de los pasos de configuración para crear tu dominio de SageMaker Studio.
+ **Cree un rol de ejecución manualmente.**
+ Abra la consola de IAM y [cree el rol de ejecución usted mismo](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Actualice la política de confianza](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) asociada al rol de ejecución del dominio para que incluya las dos acciones siguientes: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) y [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Para obtener información sobre cómo encontrar el rol de ejecución de tu dominio de SageMaker Studio, consulta [Obtener el rol de ejecución del dominio](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Una *política de confianza* especifica la identidad que pueda asumir un rol. Esta política es necesaria para permitir que el servicio de SageMaker Studio asuma la función de ejecución del dominio. Añada estas dos acciones para que aparezcan de la siguiente manera en su política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Paso 3: verifique los permisos de acceso a Concesiones de acceso a Amazon S3 necesarios para el rol de ejecución del dominio
Para utilizar Amazon S3 Access Grants, debe adjuntar una política de permisos (ya sea una política integrada o una política gestionada por el cliente) a su función de ejecución de dominios de SageMaker Studio que contenga los siguientes permisos.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Si no tiene una política que contenga estos permisos, siga las instrucciones de la *Guía del usuario de AWS Identity and Access Management * para la [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
## Paso 4: asigne grupos y usuarios al dominio
Para asignar grupos y usuarios al dominio de SageMaker Studio, sigue los pasos que se indican en [Añadir grupos y usuarios](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Paso 5: configure concesiones de acceso a Amazon S3
Para configurar las Concesiones de acceso a Amazon S3, siga los pasos que se indican en [Configuración de las Concesiones de acceso a Amazon S3 para una propagación de identidades de confianza a través de IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Siga las step-by-step instrucciones para completar las siguientes tareas:
1. Cree una instancia de Concesiones de acceso a Amazon S3.
1. Registre una ubicación en esa instancia.
1. Cree concesiones para permitir que usuarios o grupos específicos de IAM Identity Center accedan a las ubicaciones o subconjuntos de Amazon S3 designados (por ejemplo, prefijos específicos) dentro de esas ubicaciones.
## Paso 6: Envíe un trabajo de SageMaker formación y consulte los detalles de la sesión de fondo del usuario
En SageMaker Studio, lanza un nuevo cuaderno de Jupyter y envía un trabajo de formación. Mientras se ejecuta el trabajo, complete los siguientes pasos para ver la información de la sesión y comprobar que el contexto de la sesión de usuario en segundo plano esté activo.
1. Abra la consola de IAM Identity Center.
1. Seleccione **Usuarios**.
1. En la página **Usuarios**, elija el nombre de usuario cuyas sesiones desee administrar. Esto lo dirigirá a una página con la información del usuario.
1. En la página del usuario, elija la pestaña **Sesiones activas**. El número entre paréntesis junto a **Sesiones activas** indica el número de sesiones activas de este usuario.
1. Para buscar sesiones por el nombre de recurso de Amazon (ARN) del trabajo que utiliza la sesión, en la lista **Tipo de sesión**, elija **Sesiones de usuario en segundo plano** y, a continuación, introduzca el ARN del trabajo en el cuadro de búsqueda.
A continuación se muestra un ejemplo de cómo aparece un trabajo de entrenamiento que utiliza una sesión de usuario en segundo plano en la pestaña **Sesiones activas** de un usuario.
![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Paso 7: Vea los CloudTrail registros para verificar la propagación de identidad confiable en CloudTrail
Cuando la propagación de identidad confiable está habilitada, las acciones aparecen en los registros de CloudTrail eventos debajo del `onBehalfOf` elemento. `userId` refleja el ID del usuario de IAM Identity Center que inició el trabajo de entrenamiento. El siguiente CloudTrail evento captura el proceso de propagación de identidades confiables.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Consideraciones sobre el tiempo de ejecución
Si un administrador decide realizar tareas **MaxRuntimeInSeconds**de formación o procesamiento de larga duración que sean inferiores a la duración de la sesión en segundo plano del usuario, SageMaker Studio ejecuta la tarea durante el tiempo mínimo de la sesión en segundo plano del usuario **MaxRuntimeInSeconds **o la duración mínima de la sesión en segundo plano.
Para obtener más información al respecto **MaxRuntimeInSeconds**, consulta la guía del `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parámetro en la *Amazon SageMaker API Reference*.
# Autorización de servicios
En todos los [casos de uso de análisis y almacén de lago de datos](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), puede lograr controles de acceso detallados mediante:
+ AWS Lake Formation - para obtener orientación, consulte[Configuración AWS Lake Formation con IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants: para obtener instrucciones, consulte [Configuración de Concesiones de acceso a Amazon S3 con IAM Identity Center](tip-tutorial-s3.md).
# Configuración AWS Lake Formation con IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) es un servicio administrado que simplifica la creación y administración de lagos de datos en AWS. Automatiza la recopilación, la catalogación y la seguridad de los datos, y proporciona un repositorio centralizado para almacenar y analizar diversos tipos de datos. Lake Formation ofrece controles de acceso detallados y se integra con varios servicios de AWS análisis, lo que permite a las organizaciones configurar, proteger y obtener información de manera eficiente de sus lagos de datos.
Siga estos pasos para permitir que Lake Formation conceda permisos de datos en función de la identidad del usuario mediante IAM Identity Center y la propagación de identidades de confianza.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
+ [Habilite el IAM Identity Center](enable-identity-center.md). Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
## Pasos para configurar la propagación de identidades de confianza
1. **Integre IAM Identity Center con AWS Lake Formation** siguiendo las instrucciones de [Conexión de Lake Formation con IAM Identity Center](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html).
**importante**
**Si no tiene tablas de AWS Glue Data Catalog **, debe crearlas para poder utilizar AWS Lake Formation a fin de conceder acceso a los usuarios y grupos de IAM Identity Center. Consulte [Creación de objetos en AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) para obtener más información.
1. **Registre las ubicaciones de los lagos de datos**.
[Registre las ubicaciones de S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) donde se almacenan los datos de las tablas de Glue. De este modo, Lake Formation proporcionará acceso temporal a las ubicaciones de S3 requeridas cuando se consulten las tablas, lo que eliminará la necesidad de incluir permisos de S3 en la función de servicio (por ejemplo, la función de servicio de Athena configurada en WorkGroup).
1. Diríjase a las **ubicaciones de los lagos de datos** en la sección **Administración** del panel de navegación de la AWS Lake Formation consola. Seleccione **Registrar ubicación.**
Esto permitirá a Lake Formation proporcionar credenciales de IAM temporales con los permisos necesarios para acceder a las ubicaciones de datos de S3.
![\[Paso 1 Registre la ubicación del lago de datos en la consola de Lake Formation.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Introduzca la ruta de S3 de las ubicaciones de los datos de las tablas de AWS Glue en el campo **Ruta de Amazon S3**.
1. En la sección **Roles de IAM**, no seleccione el rol vinculado al servicio si quiere utilizarlo con una propagación de identidades de confianza. Cree un rol con los siguientes permisos:
Para usar estas políticas, sustituya *italicized placeholder text* la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte [Creación de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Edición de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). La política de permisos debe permitir el acceso a la ubicación de S3 especificada en la ruta:
1. **Política de permisos**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relación de confianza**: debe incluir `sts:SectContext`, lo cual es obligatorio para la propagación de identidades de confianza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**nota**
El rol de IAM creado por el asistente es un rol vinculado a un servicio y no incluye `sts:SetContext`.
1. Tras crear el rol de IAM, seleccione **Registrar ubicación.**
## Propagación de identidad confiable con Lake Formation across Cuentas de AWS
AWS Lake Formation admite el uso de [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) para compartir tablas Cuentas de AWS y funciona con la propagación de identidades confiable cuando la cuenta del otorgante y la cuenta del concesionario están en la misma Región de AWS, en la misma instancia de la organización y comparten la misma AWS Organizations instancia organizativa del IAM Identity Center. Para obtener más información, consulte [Cross-account data sharing in Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html).
# Configuración de Concesiones de acceso a Amazon S3 con IAM Identity Center
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) ofrece la flexibilidad necesaria para conceder un control de acceso detallado basado en la identidad a las ubicaciones de S3. Puede usar Amazon S3 Access Grants concede a los buckets de Amazon S3 acceso directo a los usuarios y grupos corporativos. Siga estos pasos para habilitar S3 Access Grants con IAM Identity Center y lograr una propagación de identidades de confianza.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
+ [Habilite el Centro de identidades de IAM.](enable-identity-center.md) Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
## Configuración de Concesiones de acceso de S3 para una propagación de identidades de confianza a través de IAM Identity Center
**Si ya tiene una instancia de Amazon S3 Access Grants con una ubicación registrada, siga estos pasos:**
1. [Asocie o desasocie su instancia de IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Cree una concesión](#tip-tutorial-s3-create-grant)
**Si aún no ha creado un Amazon S3 Access Grants, siga estos pasos:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html): puede crear una Access Grants instancia S3 por cada instancia. Región de AWS Al crear la instancia de S3 Access Grants, asegúrese de marcar la casilla **Agregar una instancia de IAM Identity Center** y de proporcionar el ARN de su instancia de IAM Identity Center. Seleccione **Siguiente**.
La siguiente imagen muestra la página Crear instancia de S3 Access Grants en la consola de Amazon S3 Access Grants:
![\[Página Crear instancia de S3 Access Grants en la consola de Concesiones de acceso a S3.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Registrar una ubicación**: después de crear y [crear una Access Grants instancia de Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Región de AWS en una de su cuenta, [registra una ubicación S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) en esa instancia. Una ubicación de S3 Access Grants asigna la región predeterminada de S3 (`S3://`), un bucket o un prefijo a un rol de IAM. S3 Access Grants asume este rol de Amazon S3 para vender credenciales temporales al beneficiario que accede a esa ubicación en particular. En primer lugar, debe registrar al menos una ubicación en su instancia de S3 Access Grants para poder crear una concesión de acceso.
Para el **ámbito de ubicación**, especifique `s3://`, que incluye todos los buckets de esa región. Este es el ámbito de ubicación recomendado para la mayoría de los casos de uso. Si tiene un caso de uso de administración de acceso avanzada, puede establecer el ámbito de ubicación en un bucket específico `s3://bucket` o en un prefijo dentro de un bucket `s3://bucket/prefix-with-path`. Para obtener más información, consulte [Registrar una ubicación](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) en la *Guía del usuario de Amazon Simple Storage Service*.
**nota**
Asegúrese de que las ubicaciones S3 de las AWS Glue tablas a las que quiere conceder acceso estén incluidas en esta ruta.
El procedimiento requiere que configure un rol de IAM para la ubicación. Este rol debe incluir permisos para acceder al ámbito de la ubicación. Puede utilizar la consola de S3 para crear este rol. Deberá especificar el ARN de su instancia de S3 Access Grants en las políticas de este rol de IAM. El valor predeterminado del ARN de la instancia de S3 Access Grants es `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
En el siguiente ejemplo de política de permisos se otorgan permisos a Amazon S3 para el rol de IAM que ha creado. La política de confianza de ejemplo que le sigue permite a la entidad principal del servicio de S3 Access Grants asumir el rol de IAM.
1. **Política de permisos**
Para usar estas políticas, sustituya *italicized placeholder text* la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte [Creación de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Edición de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Política de confianza**
En la política de confianza del rol de IAM, proporcione al servicio de Concesiones de acceso a Amazon S3 acceso de entidad principal (`access-grants.s3.amazonaws.com`) al rol de IAM que ha creado. Para ello, puede crear un archivo JSON que contenga las siguientes instrucciones. Para agregar la política de confianza a su cuenta, consulte [Creación de un rol mediante políticas de confianza personalizadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Creación de una concesión de acceso de Amazon S3
Si tiene una instancia de Amazon S3 Access Grants con una ubicación registrada y ha asociado su instancia de IAM Identity Center a ella, puede [crear una concesión](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). En la página **Crear concesión** de la consola de S3, complete lo siguiente:
**Crear una concesión**
1. Seleccione la ubicación que creó en el paso anterior. Puede reducir el ámbito de la concesión añadiendo un subprefijo. El subprefijo puede ser un `bucket`, `bucket/prefix` o un objeto del bucket. Para obtener más información, consulte [Subprefijo](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) en la *Guía del usuario de Amazon Simple Storage Service*.
1. En **Permisos y acceso**, seleccione **Leer** o **Escribir** según sus necesidades.
1. En **Tipo de otorgante**, elija **Identidad de directorio en IAM Identity Center**.
1. Proporciones el **ID de usuario o grupo** de IAM Identity Center. Puede encontrar el usuario y el grupo IDs en la consola del IAM Identity Center, en [las secciones **Usuario** y **Grupo**](howtoviewandchangepermissionset.md). Seleccione **Siguiente**.
1. En la página **Revisar y finalizar**, revise la configuración de S3 Access Grant y, a continuación, seleccione **Crear concesión**.
La siguiente imagen muestra la página Crear concesión en la consola de Amazon S3 Access Grants:
![\[Página Crear concesión en la consola de Concesiones de acceso a Amazon S3.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)