Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comment se connecter à d'autres AWS services pour lesquels la propagation d'identité sécurisée est activée
<a name="trustedidentitypropagation-connect-other"></a>

Lorsque la propagation d'identité sécurisée est activée pour votre domaine Amazon SageMaker AI, les utilisateurs du domaine peuvent se connecter à d'autres AWS services compatibles avec la propagation d'identité sécurisée. Lorsque la propagation d’identité de confiance est activée, votre contexte d’identité est automatiquement propagé aux services compatibles, ce qui permet un contrôle d’accès précis et un audit amélioré sur l’ensemble de vos flux de travail de machine learning. Cette intégration élimine le besoin de changer de rôle IAM complexe et fournit une expérience d'identité unifiée dans tous les AWS services. Les pages suivantes fournissent des informations sur la manière de connecter Amazon SageMaker Studio à d'autres AWS services lorsque la propagation d'identité sécurisée est activée.

**Topics**
+ [Connectez les JupyterLab blocs-notes Connect Studio à Amazon S3 Access Grants en activant la propagation d'identité fiable](trustedidentitypropagation-s3-access-grants.md)
+ [Connectez les JupyterLab blocs-notes Connect Studio à Amazon EMR en activant la propagation d'identité fiable](trustedidentitypropagation-emr-ec2.md)
+ [Connectez vos JupyterLab blocs-notes Studio à EMR Serverless en activant la propagation fiable des identités](trustedidentitypropagation-emr-serverless.md)
+ [Connectez les JupyterLab blocs-notes Studio à l'API Redshift Data avec activation de la propagation d'identité fiable](trustedidentitypropagation-redshift-data-apis.md)
+ [Connectez les JupyterLab blocs-notes Studio à Lake Formation et Athena en activant la propagation d'identité fiable](trustedidentitypropagation-lake-formation-athena.md)

# Connectez les JupyterLab blocs-notes Connect Studio à Amazon S3 Access Grants en activant la propagation d'identité fiable
<a name="trustedidentitypropagation-s3-access-grants"></a>

Vous pouvez utiliser les [autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) pour accorder de manière flexible un contrôle d’accès précis basé sur l’identité aux emplacements Amazon S3. Elles accordent un accès direct aux compartiments Amazon S3 aux utilisateurs et aux groupes de votre entreprise. Les pages suivantes fournissent des informations et des instructions sur la façon d'utiliser Amazon S3 Access Grants dans le cadre d'une propagation d'identité fiable pour l' SageMaker IA.

## Conditions préalables
<a name="s3-access-grants-prerequisites"></a>

Pour connecter Studio à Lake Formation et Athena avec la propagation d’identité de confiance activée, veillez à remplir les conditions préalables suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+ Suivez le [guide de démarrage avec les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) pour configurer les autorisations d’accès Amazon S3 pour votre compartiment. Pour plus d’informations, consultez le [billet de blog sur la mise à l’échelle de l’accès aux données avec les autorisations d’accès Amazon S3](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/).
**Note**  
Amazon S3 standard APIs ne fonctionne pas automatiquement avec les Amazon S3 Access Grants. Vous devez utiliser explicitement les subventions d'accès Amazon S3 APIs. Pour plus d’informations, consultez [Gestion de l’accès avec les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).

**Topics**
+ [Conditions préalables](#s3-access-grants-prerequisites)
+ [Connect Amazon S3 Access Grants aux JupyterLab blocs-notes Studio](s3-access-grants-setup.md)
+ [Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement](trustedidentitypropagation-s3-access-grants-jobs.md)

# Connect Amazon S3 Access Grants aux JupyterLab blocs-notes Studio
<a name="s3-access-grants-setup"></a>

Utilisez les informations suivantes pour accorder des autorisations d'accès Amazon S3 dans les JupyterLab blocs-notes Studio.

Une fois que les autorisations d’accès Amazon S3 sont configurées, [ajoutez les autorisations suivantes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) à votre [rôle d’exécution](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de domaine ou utilisateur.
+ `us-east-1` est votre Région AWS.
+ `111122223333` est votre ID de Compte AWS .
+ `S3-ACCESS-GRANT-ROLE` est votre rôle d’autorisations d’accès Amazon S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForTIP",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}
```

------

Assurez-vous que la politique d’approbation de votre rôle d’autorisations d’accès Amazon S3 autorise les actions `sts:SetContext` et `sts:AssumeRole`. Voici un exemple de politique à appliquer lorsque vous [mettez à jour votre politique d’approbation de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "access-grants.s3.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333",
                    "aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                }
            }
        }
    ]
}
```

------

## Utilisation des autorisations d’accès Amazon S3 pour appeler Amazon S3
<a name="s3-access-grants-python-example"></a>

Voici un exemple de script Python qui montre comment utiliser les autorisations d’accès Amazon S3 pour appeler Amazon S3. Cela suppose que vous avez déjà configuré avec succès la propagation d'identité sécurisée avec l' SageMaker IA.

```
import boto3
from botocore.config import Config

def get_access_grant_credentials(account_id: str, target: str, 
                                 permission: str = 'READ'):
    s3control = boto3.client('s3control')
    response = s3control.get_data_access(
        AccountId=account_id,
        Target=target,
        Permission=permission
    )
    return response['Credentials']

def create_s3_client_from_credentials(credentials) -> boto3.client:
    return boto3.client(
        's3',
        aws_access_key_id=credentials['AccessKeyId'],
        aws_secret_access_key=credentials['SecretAccessKey'],
        aws_session_token=credentials['SessionToken']
    )

# Create client
credentials = get_access_grant_credentials('111122223333',
                                        "s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)

s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```

Si vous utilisez un chemin d’accès vers un compartiment Amazon S3 où l’autorisation d’accès Amazon S3 n’est pas activée, l’appel échouera.

Pour d’autres langages de programmation, consultez [Gestion de l’accès avec les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) pour plus d’informations.

# Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement
<a name="trustedidentitypropagation-s3-access-grants-jobs"></a>

Utilisez les informations suivantes pour accorder des subventions d'accès Amazon S3 afin d'accéder aux données des tâches Amazon SageMaker Training and Processing.

Lorsqu'un utilisateur pour lequel la propagation d'identité sécurisée est activée lance une tâche de SageMaker formation ou de traitement qui doit accéder aux données Amazon S3 :
+ SageMaker L'IA appelle Amazon S3 Access Grants pour obtenir des informations d'identification temporaires basées sur l'identité de l'utilisateur
+ En cas de succès, ces informations d’identification temporaires accèdent aux données Amazon S3.
+ En cas d'échec, SageMaker l'IA recommence à utiliser les informations d'identification du rôle IAM

**Note**  
Pour garantir que toutes les autorisations sont accordées via les autorisations d’accès Amazon S3, vous devez supprimer l’autorisation d’accès Amazon S3 associée à votre rôle d’exécution et les attacher à votre [autorisation d’accès Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondante.

**Topics**
+ [Considérations](#s3-access-grants-jobs-considerations)
+ [Configuration des autorisations d’accès Amazon S3 avec des tâches d’entraînement et de traitement](#s3-access-grants-jobs-setup)

## Considérations
<a name="s3-access-grants-jobs-considerations"></a>

Les subventions d'accès Amazon S3 ne peuvent pas être utilisées avec [le mode Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) pour la SageMaker formation et le traitement des entrées Amazon S3.

Lorsque la propagation fiable des identités est activée, vous ne pouvez pas lancer un SageMaker Training Job doté de la fonctionnalité suivante
+ Débogage à distance
+ Debugger
+ Profiler

Lorsque la propagation d’identité de confiance est activée, vous ne pouvez pas lancer de tâche de traitement avec la fonctionnalité suivante
+ DatasetDefinition

## Configuration des autorisations d’accès Amazon S3 avec des tâches d’entraînement et de traitement
<a name="s3-access-grants-jobs-setup"></a>

Une fois que les autorisations d’accès Amazon S3 sont configurées, [ajoutez les autorisations suivantes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) à votre [rôle d’exécution](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de domaine ou utilisateur.
+ `us-east-1` est votre Région AWS.
+ `111122223333` est votre ID de Compte AWS .
+ `S3-ACCESS-GRANT-ROLE` est votre rôle d’autorisations d’accès Amazon S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}
```

------

# Connectez les JupyterLab blocs-notes Connect Studio à Amazon EMR en activant la propagation d'identité fiable
<a name="trustedidentitypropagation-emr-ec2"></a>

La connexion JupyterLab des blocs-notes Amazon SageMaker Studio aux clusters Amazon EMR vous permet de tirer parti de la puissance de calcul distribuée d'Amazon EMR pour des charges de travail de traitement et d'analyse de données à grande échelle. Lorsque la propagation d’identité de confiance est activée, votre contexte d’identité est propagé vers Amazon EMR, ce qui permet un contrôle d’accès précis et des pistes d’audit complètes. La page suivante fournit des instructions de connexion de votre bloc-notes Studio aux clusters Amazon EMR. Une fois la configuration terminée, vous pouvez utiliser l’option `Connect to Cluster` dans votre bloc-notes Studio.

Pour connecter Studio à Amazon EMR avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Commencer à AWS IAM Identity Center intégrer Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html) 
+  [Activation des communications entre Studio et les clusters Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html) 

 **Connexion au cluster Amazon EMR** 

Pour obtenir la liste complète des options permettant de connecter votre JupyterLab bloc-notes à Amazon EMR, consultez [Connect to an Amazon EMR cluster.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)

# Connectez vos JupyterLab blocs-notes Studio à EMR Serverless en activant la propagation fiable des identités
<a name="trustedidentitypropagation-emr-serverless"></a>

Amazon EMR sans serveur fournit une option sans serveur pour exécuter les applications Apache Spark et Apache Hive sans gérer de clusters. Lorsqu’il est intégré à la propagation d’identité de confiance, EMR sans serveur met automatiquement à l’échelle les ressources de calcul tout en conservant votre contexte d’identité pour le contrôle d’accès et l’audit. Cette approche élimine les coûts opérationnels liés à la gestion des clusters tout en préservant les avantages en matière de sécurité du contrôle d’accès basé sur l’identité. La section suivante fournit des informations sur la façon de connecter votre instance Studio prenant en charge la propagation d’identité de confiance à l’instance EMR sans serveur.

Pour connecter Studio à Amazon EMR sans serveur avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Propagation d’identité de confiance avec EMR sans serveur](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html) 
+  [Activation des communications entre Studio et EMR sans serveur](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html) 

 **Connexion à l’application EMR sans serveur** 

Pour obtenir la liste complète des options permettant de connecter votre JupyterLab ordinateur portable à EMR Serverless, voir [Connexion à une application EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.

# Connectez les JupyterLab blocs-notes Studio à l'API Redshift Data avec activation de la propagation d'identité fiable
<a name="trustedidentitypropagation-redshift-data-apis"></a>

L’API de données Amazon Redshift vous permet d’interagir avec vos clusters Amazon Redshift par programmation sans gérer les connexions persistantes. Associée à la propagation d’identité de confiance, l’API de données Redshift fournit un accès sécurisé et basé sur l’identité à votre entrepôt de données, ce qui vous permet d’exécuter des requêtes SQL et de récupérer les résultats tout en conservant des pistes d’audit complètes des activités des utilisateurs. Cette intégration est particulièrement utile pour les flux de travail de science des données qui nécessitent l’accès à des données structurées stockées dans Redshift. La page suivante contient des informations et des instructions sur la manière de connecter une propagation d'identité fiable avec Amazon SageMaker Studio à l'API Redshift Data.

Pour connecter Studio à l’API de données Redshift avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Utilisation de l’API de données Redshift avec la propagation d’identité de confiance](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html) 
  + Assurez-vous que votre rôle d’exécution dispose des autorisations appropriées pour l’API de données Redshift. Pour plus d’informations, consultez [Autorisation de l’accès](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+  [Simplifiez la gestion des accès avec Amazon Redshift et AWS Lake Formation pour les utilisateurs auprès d'un fournisseur d'identité externe](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/) 

# Connectez les JupyterLab blocs-notes Studio à Lake Formation et Athena en activant la propagation d'identité fiable
<a name="trustedidentitypropagation-lake-formation-athena"></a>

AWS Lake Formation et Amazon Athena travaillent ensemble pour fournir une solution complète de lac de données avec un contrôle d'accès précis et des fonctionnalités de requête sans serveur. Lake Formation centralise la gestion des autorisations pour votre lac de données, tandis qu’Athena fournit des services de requête interactifs. Lorsqu’elle est intégrée avec la propagation d’identité de confiance, cette combinaison permet aux scientifiques des données d’accéder uniquement aux données qu’ils sont autorisés à consulter, toutes les requêtes et tous les accès aux données étant automatiquement consignés à des fins de conformité et d’audit. La page suivante fournit des informations et des instructions sur la manière de connecter une propagation d'identité fiable avec Amazon SageMaker Studio à Lake Formation et Athena.

Pour connecter Studio à Lake Formation et à Athena avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Création d’un rôle Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html) 
+  [Connexion de Lake Formation avec IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html) 
+ Créez des ressources Lake Formation :
  +  [Base de données](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html) 
  +  [Tables](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html) 
+  [Création d’un groupe de travail Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html) 
  + Choisissez **AthenaSQL** pour le moteur.
  + Choisissez **IAM Identity Center** comme méthode d’authentification.
  + Créez un nouveau rôle de service.
    + Assurez-vous que les utilisateurs d’IAM Identity Center ont accès à l’emplacement des résultats de requête à l’aide des autorisations d’accès Amazon S3.
+  [Octroi d’autorisations de base de données via la méthode de ressource nommée](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)