Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Propagation d’identité de confiance avec Studio
<a name="trustedidentitypropagation"></a>

La propagation fiable des identités est une AWS IAM Identity Center fonctionnalité que les administrateurs de AWS services connectés peuvent utiliser pour accorder et auditer l'accès aux données de service. L’accès à ces données est basé sur les attributs utilisateur tels que les associations de groupe. La configuration d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs des AWS services connectés et l'administrateur du IAM Identity Center. Pour plus d’informations, consultez [Prérequis et considérations](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).​

Les administrateurs d'Amazon SageMaker Studio et d'IAM Identity Center peuvent collaborer pour connecter les services afin de propager des identités de manière fiable. La propagation fiable des identités répond aux besoins d'authentification des entreprises sur l'ensemble AWS des services en simplifiant :
+ Audit amélioré permettant de suivre les actions effectuées par des utilisateurs spécifiques
+ Gestion des accès pour les charges de travail liées à la science des données et à l'apprentissage automatique grâce à l'intégration de services compatibles AWS 
+ Exigences de conformité dans les secteurs d’activité réglementés

Studio prend en charge la propagation d'identités fiables à des fins d'audit et de contrôle d'accès avec AWS des services connectés. La propagation d’identité de confiance dans Studio ne traite pas directement les décisions d’authentification ou d’autorisation au sein de Studio lui-même. Au lieu de cela, elle propage les informations contextuelles d’identité aux services compatibles qui peuvent utiliser ces informations pour le contrôle d’accès.

Lorsque vous utilisez la propagation d'identité sécurisée avec Studio, votre identité IAM Identity Center se propage aux AWS services connectés, ce qui crée des autorisations et une gouvernance de sécurité plus précises.

**Topics**
+ [Architecture et compatibilité de la propagation d’identité de confiance](trustedidentitypropagation-compatibility.md)
+ [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md)
+ [Surveillance et audit avec CloudTrail](trustedidentitypropagation-auditing.md)
+ [Sessions d’arrière-plan pour les utilisateurs](trustedidentitypropagation-user-background-sessions.md)
+ [Comment se connecter à d'autres AWS services pour lesquels la propagation d'identité sécurisée est activée](trustedidentitypropagation-connect-other.md)

# Architecture et compatibilité de la propagation d’identité de confiance
<a name="trustedidentitypropagation-compatibility"></a>

La propagation d'identité fiable s' AWS IAM Identity Center intègre à Amazon SageMaker Studio et à d'autres AWS services connectés pour propager le contexte d'identité des utilisateurs entre les services. La page suivante résume l'architecture de propagation des identités fiables et la compatibilité avec l' SageMaker IA. Pour une présentation complète du fonctionnement de la propagation des identités fiables AWS, consultez la section [Vue d'ensemble de la propagation des identités fiables](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).

Les principaux composants de l’architecture de propagation d’identité de confiance sont les suivants :
+ **Propagation d’identité de confiance** : méthodologie de propagation du contexte de l’identité de l’utilisateur entre les applications et les services
+ **Contexte d’identité** : informations concernant un utilisateur
+ **Session de rôle IAM à identité améliorée** : les sessions de rôle à identité améliorée ont un contexte d'identité ajouté qui transmet un identifiant utilisateur au service qu'elles appellent AWS 
+ ** AWS Services connectés** : autres AWS services capables de reconnaître le contexte d'identité propagé par le biais d'une propagation d'identité fiable

La propagation fiable des identités permet aux AWS services connectés de prendre des décisions d'accès en fonction de l'identité de l'utilisateur. Dans Studio lui-même, les rôles IAM sont utilisés comme vecteurs du contexte d’identité plutôt que pour prendre des décisions de contrôle d’accès. Le contexte d'identité est propagé aux AWS services connectés où il peut être utilisé à la fois à des fins de contrôle d'accès et d'audit. Consultez les [considérations relatives à la propagation d’identité de confiance](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations) pour plus d’informations.

Lorsque vous activez la propagation d'identité fiable avec Studio et que vous vous authentifiez via IAM Identity Center, SageMaker AI :
+ capture le contexte d’identité de l’utilisateur à partir d’IAM Identity Center ;
+ crée une session de rôle IAM à identité améliorée qui inclut le contexte d’identité de l’utilisateur ;
+ Transmet la session de rôle IAM à identité améliorée aux AWS services compatibles lorsque l'utilisateur accède aux ressources
+ Permet aux AWS services en aval de prendre des décisions d'accès et de consigner les activités en fonction de l'identité de l'utilisateur

## Fonctionnalités d' SageMaker IA compatibles
<a name="trustedidentitypropagation-compatibility-compatible-features"></a>

La propagation d’identité de confiance fonctionne avec les fonctionnalités de Studio suivantes :
+ Espaces privés [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) (JupyterLab et éditeur de code, basé sur Code-OSS, Visual Studio Code - Open Source)

**Note**  
Lorsque Studio démarre avec la propagation d’identité de confiance activée, il utilise votre contexte d’identité en plus de vos autorisations de rôle d’exécution. Toutefois, les processus suivants lors de la configuration de l'instance utiliseront uniquement les autorisations du rôle d'exécution, sans le contexte d'identité : configuration du cycle de vie Bring-Your-Own-Image, CloudWatch agent de transfert des journaux utilisateur.
[L’accès à distance](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html) n’est actuellement pas pris en charge avec la propagation d’identité de confiance.
Lorsque vous utilisez des opérations d'attribution de rôle dans les blocs-notes Studio, les rôles assumés ne propagent pas un contexte de propagation d'identité fiable. Seul le rôle d'exécution d'origine conserve le contexte d'identité.
+  [SageMakerEntraînement](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html) 
+  [SageMakerTraitement](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html) 
+  [SageMaker Hébergement en temps réel basé sur l'IA](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html) 
+  [SageMakerCanalisations](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) 
+  [SageMakerinférence en temps réel](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html) 
+  [SageMakerInférence asynchrone](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html) 
+  [Géré MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html) 

## AWS Services compatibles
<a name="trustedidentitypropagation-compatibility-compatible-services"></a>

La propagation d'identité sécurisée pour Amazon SageMaker Studio s'intègre aux AWS services compatibles, dans lesquels la propagation d'identité fiable est activée. Consultez les [cas d’utilisation](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html) pour obtenir une liste complète avec des exemples expliquant comment activer la propagation d’identité de confiance. Les services compatibles avec la propagation d’identité de confiance sont les suivants.
+  [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html) 
+  [Amazon EMR sur EC2](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html) 
+  [EMR sans serveur](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html) 
+  [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html) 
+  [API de données Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html) 
+ Amazon S3 (via les [autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html))
+ [Connexions AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)

Lorsque la propagation d'identité sécurisée est activée avec l' SageMaker IA, chaque autre AWS service avec une propagation d'identité fiable est activé est connecté. Une fois connectés, ils reconnaissent et utilisent le contexte d’identité de l’utilisateur pour le contrôle d’accès et l’audit.

## Soutenu Régions AWS
<a name="trustedidentitypropagation-compatibility-supported-regions"></a>

Studio prend en charge la propagation d’identité de confiance quand [IAM Identity Center est pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html) et que Studio avec l’authentification IAM Identity Center est pris en charge. Studio prend en charge la propagation d'identités fiables dans les domaines suivants Régions AWS :
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2

# Configuration de la propagation d’identité de confiance pour Studio
<a name="trustedidentitypropagation-setup"></a>

Pour configurer une propagation d'identité fiable pour Amazon SageMaker Studio, la méthode d'authentification IAM Identity Center de votre domaine Amazon SageMaker AI doit être configurée. Cette section explique les conditions préalables et les étapes nécessaires pour activer et configurer la propagation d’identité de confiance pour vos utilisateurs Studio.

**Topics**
+ [Conditions préalables](#trustedidentitypropagation-setup-prerequisites)
+ [Activez la propagation d'identité fiable pour votre domaine Amazon SageMaker AI](#trustedidentitypropagation-setup-enable)
+ [Configurez votre rôle d'exécution de l' SageMaker IA](#trustedidentitypropagation-setup-permissions)

## Conditions préalables
<a name="trustedidentitypropagation-setup-prerequisites"></a>

Avant de configurer la propagation d'identité sécurisée pour l' SageMaker IA, configurez votre IAM Identity Center en suivant les instructions suivantes.

**Note**  
Assurez-vous qu’IAM Identity Center et votre domaine se trouvent dans la même région.
+  [Conditions préalables requises pour la propagation d’identité de confiance d’IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites) 
+  [Configuration d’IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) 
+  [Ajout d’utilisateurs à votre répertoire IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) 

## Activez la propagation d'identité fiable pour votre domaine Amazon SageMaker AI
<a name="trustedidentitypropagation-setup-enable"></a>

**Important**  
Vous ne pouvez activer la propagation d’identité de confiance que pour les domaines pour lesquels la méthode d’authentification AWS IAM Identity Center est configurée.
Votre centre d'identité IAM et votre domaine Amazon SageMaker AI doivent se trouver dans le même Région AWS emplacement.

Utilisez l’une des options suivantes pour découvrir comment activer la propagation d’identité de confiance pour un domaine nouveau ou existant.

------
#### [ New domain - console ]

**Activez la propagation d'identité fiable pour un nouveau domaine à l'aide de la console SageMaker AI**

1. Ouvrez la [console Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).

1. Accédez à **Domaines**.

1. [Créez un domaine personnalisé](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html). La méthode d’authentification **AWS IAM Identity Center** doit être configurée pour le domaine.

1. Dans la section **Propagation d’identité de confiance**, choisissez **Activer la propagation d’identité de confiance pour tous les utilisateurs de ce domaine**.

1. Terminez le processus de création personnalisée.

------
#### [ Existing domain - console ]

**Activez la propagation d'identité fiable pour un domaine existant à l'aide de la console SageMaker AI**
**Note**  
Pour que la propagation des identités fiables fonctionne correctement une fois qu'elle est activée pour un domaine existant, les utilisateurs devront redémarrer leurs sessions IAM Identity Center existantes. Pour ce faire, il faut soit :  
Les utilisateurs devront se déconnecter puis se reconnecter à leurs sessions IAM Identity Center existantes
Les administrateurs peuvent [mettre fin aux sessions actives des utilisateurs de leur personnel](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).

1. Ouvrez la [console Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).

1. Accédez à **Domaines**.

1. Sélectionnez votre domaine existant. La méthode d’authentification **AWS IAM Identity Center** doit être configurée pour le domaine.

1. Dans l’onglet **Paramètres du domaine**, choisissez **Modifier** dans la section **Authentification et autorisations**.

1. Choisissez d’**activer la propagation d’identité de confiance pour tous les utilisateurs de ce domaine**.

1. Terminez la configuration du domaine.

------
#### [ Existing domain - AWS CLI ]

Activez la propagation d'identité fiable pour un domaine existant à l'aide du AWS CLI

**Note**  
Pour que la propagation des identités fiables fonctionne correctement une fois qu'elle est activée pour un domaine existant, les utilisateurs devront redémarrer leurs sessions IAM Identity Center existantes. Pour ce faire, il faut soit :  
Les utilisateurs devront se déconnecter puis se reconnecter à leurs sessions IAM Identity Center existantes
Les administrateurs peuvent [mettre fin aux sessions actives des utilisateurs de leur personnel](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).

```
aws sagemaker update-domain \
    --region $REGION \
    --domain-id $DOMAIN_ID \
    --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID`est l'ID de domaine Amazon SageMaker AI. Consultez [Affichage des domaines](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html) pour plus d’informations.
+ `REGION`est celui Région AWS de votre domaine Amazon SageMaker AI. Vous pouvez le trouver en haut à droite de n'importe quelle page de AWS console.

------

## Configurez votre rôle d'exécution de l' SageMaker IA
<a name="trustedidentitypropagation-setup-permissions"></a>

Pour permettre la propagation d’identité de confiance pour vos utilisateurs Studio, tous les rôles de propagation d’identité de confiance doivent définir les autorisations contextuelles suivantes. Mettez à jour la politique d’approbation pour tous les rôles afin d’inclure les actions `sts:AssumeRole` et `sts:SetContext`. Utilisez la politique suivante lorsque vous [mettez à jour votre politique d’approbation de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
```

------

# Surveillance et audit avec CloudTrail
<a name="trustedidentitypropagation-auditing"></a>

Lorsque la propagation d'identité sécurisée est activée, les AWS CloudTrail journaux incluent les informations d'identité de l'utilisateur spécifique qui a effectué une action, plutôt que le rôle IAM uniquement. Cela fournit des fonctionnalités d’audit améliorées pour la conformité et la sécurité.

Pour afficher les informations d'identité dans CloudTrail les journaux :
+ Ouvrez la [CloudTrail console](https://console.aws.amazon.com/cloudtrail).
+ Choisissez **Historique des événements** dans le volet de navigation de gauche.
+ Choisissez des événements issus de SageMaker l'IA et des services associés.
+ Sous l’**enregistrement d’événement**, recherchez la clé `onBehalfOf`. Elle contient la clé `userId` et d’autres informations d’identification d’utilisateur qui peuvent être mappées à un utilisateur IAM Identity Center spécifique.

  Consultez les [cas CloudTrail d'utilisation d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html) pour plus d'informations.

# Sessions d’arrière-plan pour les utilisateurs
<a name="trustedidentitypropagation-user-background-sessions"></a>

Les sessions d’arrière-plan pour les utilisateurs se poursuivent même lorsque l’utilisateur n’est plus actif. Elles permettent aux tâches de longue durée de se poursuivre même après que l’utilisateur s’est déconnecté. Cela peut être rendu possible grâce à la propagation d'identité fiable par l' SageMaker IA. La page suivante explique les options de configuration et les comportements des sessions d’arrière-plan pour les utilisateurs.

**Note**  
Les sessions utilisateur actives existantes ne sont pas affectées lorsque la propagation d’identité de confiance est activée. La durée par défaut s’applique uniquement aux nouvelles sessions utilisateur ou aux sessions redémarrées.
Les sessions d'arrière-plan utilisateur s'appliquent à tous les flux de travail ou tâches d' SageMaker IA de longue durée avec des états persistants. Cela inclut, mais sans s'y limiter, toutes les ressources d' SageMaker IA qui maintiennent le statut d'exécution ou nécessitent une surveillance continue. Par exemple, les tâches de SageMaker formation, de traitement et d'exécution de pipelines.

**Topics**
+ [Configuration d’une session d’arrière-plan pour les utilisateurs](#configure-user-background-sessions)
+ [Durée par défaut de la session d’arrière-plan pour les utilisateurs](#default-user-background-session-duration)
+ [Impact de la désactivation de la propagation d’identité de confiance dans Studio](#user-background-session-impact-disable-trustedidentitypropagation-studio)
+ [Impact de la désactivation des sessions d’arrière-plan pour les utilisateurs dans la console IAM Identity Center](#user-background-session-impact-disable-trustedidentitypropagation-identity-center)
+ [Considérations relatives à l’exécution](#user-background-session-runtime-considerations)

## Configuration d’une session d’arrière-plan pour les utilisateurs
<a name="configure-user-background-sessions"></a>

Une fois que la propagation d'identité fiable pour Amazon SageMaker Studio est activée, les limites de durée par défaut peuvent être configurées via les [sessions d'arrière-plan des utilisateurs dans le IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html).

## Durée par défaut de la session d’arrière-plan pour les utilisateurs
<a name="default-user-background-session-duration"></a>

Par défaut, toutes les sessions d’arrière-plan pour les utilisateurs ont une durée maximale de 7 jours. Les administrateurs peuvent [modifier cette durée dans la console IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html). Ce paramètre s’applique au niveau de l’instance IAM Identity Center, affectant toutes les applications IAM Identity Center et tous les domaines Studio pris en charge au sein de cette instance.

Lorsque la propagation d'identités fiables est activée, les administrateurs de la console SageMaker AI trouveront une bannière contenant les informations suivantes :
+ Durée maximale des sessions d’arrière-plan pour les utilisateurs
+ Lien vers la console IAM Identity Center où les administrateurs peuvent modifier cette configuration
  + La durée peut être définie sur n’importe quelle valeur comprise entre 15 minutes et 90 jours.

Un message d’erreur s’affiche lorsqu’une session d’arrière-plan pour les utilisateurs a expiré. Vous pouvez utiliser le lien vers la console IAM Identity Center pour mettre à jour cette durée.

## Impact de la désactivation de la propagation d’identité de confiance dans Studio
<a name="user-background-session-impact-disable-trustedidentitypropagation-studio"></a>

Si un administrateur désactive la propagation des identités fiables, après l'avoir initialement activée, dans la console SageMaker AI :
+ Les tâches existantes continuent de s’exécuter sans interruption lorsque les sessions d’arrière-plan pour les utilisateurs sont activées.
+ Lorsque les sessions d'arrière-plan des utilisateurs sont désactivées, tous les flux de travail d' SageMaker IA de longue durée ou les tâches comportant des états persistants passeront à des sessions interactives. Cela inclut, mais sans s'y limiter, toutes les ressources d' SageMaker IA qui maintiennent le statut d'exécution ou nécessitent une surveillance continue. Par exemple, les jobs Amazon SageMaker Training and Processing.
+ Les utilisateurs peuvent redémarrer les tâches expirées à partir de points de contrôle.
+ Les nouvelles tâches sont exécutées avec les informations d’identification du rôle IAM et ne propagent pas le contexte d’identité.

## Impact de la désactivation des sessions d’arrière-plan pour les utilisateurs dans la console IAM Identity Center
<a name="user-background-session-impact-disable-trustedidentitypropagation-identity-center"></a>

Lorsque la session d'arrière-plan de l'utilisateur est **désactivée** pour l'instance IAM Identity Center, la tâche SageMaker AI utilise des sessions interactives de l'utilisateur. Lorsque vous utilisez des sessions interactives, une tâche d' SageMaker IA échouera dans les 15 minutes lorsque :
+ l’utilisateur se déconnecte ;
+ la session interactive est révoquée par l’administrateur.

Lorsque la session d'arrière-plan utilisateur est **activée** pour l'instance IAM Identity Center, la tâche SageMaker AI utilise des sessions d'arrière-plan utilisateur. Lorsque vous utilisez des sessions interactives, une tâche d' SageMaker IA échouera dans les 15 minutes lorsque :
+ la session d’arrière-plan pour les utilisateurs expire ;
+ la session d’arrière-plan pour les utilisateurs est révoquée manuellement par un administrateur.

Vous trouverez ci-dessous un exemple de comportement avec les tâches SageMaker de formation. Lorsqu’un administrateur active la propagation d’identité de confiance mais désactive les [sessions d’arrière-plan pour les utilisateurs](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) dans la console IAM Identity Center :
+ Si un utilisateur reste connecté, ses tâches d’entraînement créées alors que les sessions d’arrière-plan sont désactivées reviennent à la session interactive.
+ Si l’utilisateur se déconnecte, la session expire et les tâches d’entraînement qui dépendent de la session interactive échouent.
+ Les utilisateurs peuvent redémarrer leur tâche d’entraînement à partir du dernier point de contrôle. La durée de session est déterminée par ce qui est configuré pour la durée de session interactive dans la console IAM Identity Center.
+ Si un utilisateur désactive les sessions d’arrière-plan **après** avoir commencé une tâche, cette tâche continuera à utiliser ses sessions d’arrière-plan existantes. En d'autres termes, SageMaker l'IA ne créera aucune nouvelle session en arrière-plan.

Le même comportement s'applique si les sessions en arrière-plan sont activées au niveau de l'instance IAM Identity Center mais désactivées spécifiquement pour l'application Studio utilisant [IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) Center. APIs

## Considérations relatives à l’exécution
<a name="user-background-session-runtime-considerations"></a>

Lorsqu'un administrateur définit des tâches `MaxRuntimeInSeconds` de formation ou de traitement de longue durée inférieures à la durée de la session d'arrière-plan de l'utilisateur, l' SageMaker IA exécute le travail pendant la durée minimale de l'une ou l'autre session d'arrière-plan de l'utilisateur `MaxRuntimeInSeconds` ou de l'utilisateur. Pour plus d’informations sur `MaxRuntimeInSeconds`, consultez [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition). Consultez les [sessions d’arrière-plan pour les utilisateurs dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) pour obtenir des informations sur la façon de configurer l’exécution.

# Comment se connecter à d'autres AWS services pour lesquels la propagation d'identité sécurisée est activée
<a name="trustedidentitypropagation-connect-other"></a>

Lorsque la propagation d'identité sécurisée est activée pour votre domaine Amazon SageMaker AI, les utilisateurs du domaine peuvent se connecter à d'autres AWS services compatibles avec la propagation d'identité sécurisée. Lorsque la propagation d’identité de confiance est activée, votre contexte d’identité est automatiquement propagé aux services compatibles, ce qui permet un contrôle d’accès précis et un audit amélioré sur l’ensemble de vos flux de travail de machine learning. Cette intégration élimine le besoin de changer de rôle IAM complexe et fournit une expérience d'identité unifiée dans tous les AWS services. Les pages suivantes fournissent des informations sur la manière de connecter Amazon SageMaker Studio à d'autres AWS services lorsque la propagation d'identité sécurisée est activée.

**Topics**
+ [Connectez les JupyterLab blocs-notes Connect Studio à Amazon S3 Access Grants en activant la propagation d'identité fiable](trustedidentitypropagation-s3-access-grants.md)
+ [Connectez les JupyterLab blocs-notes Connect Studio à Amazon EMR en activant la propagation d'identité fiable](trustedidentitypropagation-emr-ec2.md)
+ [Connectez vos JupyterLab blocs-notes Studio à EMR Serverless en activant la propagation fiable des identités](trustedidentitypropagation-emr-serverless.md)
+ [Connectez les JupyterLab blocs-notes Studio à l'API Redshift Data avec activation de la propagation d'identité fiable](trustedidentitypropagation-redshift-data-apis.md)
+ [Connectez les JupyterLab blocs-notes Studio à Lake Formation et Athena en activant la propagation d'identité fiable](trustedidentitypropagation-lake-formation-athena.md)

# Connectez les JupyterLab blocs-notes Connect Studio à Amazon S3 Access Grants en activant la propagation d'identité fiable
<a name="trustedidentitypropagation-s3-access-grants"></a>

Vous pouvez utiliser les [autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) pour accorder de manière flexible un contrôle d’accès précis basé sur l’identité aux emplacements Amazon S3. Elles accordent un accès direct aux compartiments Amazon S3 aux utilisateurs et aux groupes de votre entreprise. Les pages suivantes fournissent des informations et des instructions sur la façon d'utiliser Amazon S3 Access Grants dans le cadre d'une propagation d'identité fiable pour l' SageMaker IA.

## Conditions préalables
<a name="s3-access-grants-prerequisites"></a>

Pour connecter Studio à Lake Formation et Athena avec la propagation d’identité de confiance activée, veillez à remplir les conditions préalables suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+ Suivez le [guide de démarrage avec les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) pour configurer les autorisations d’accès Amazon S3 pour votre compartiment. Pour plus d’informations, consultez le [billet de blog sur la mise à l’échelle de l’accès aux données avec les autorisations d’accès Amazon S3](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/).
**Note**  
Amazon S3 standard APIs ne fonctionne pas automatiquement avec les Amazon S3 Access Grants. Vous devez utiliser explicitement les subventions d'accès Amazon S3 APIs. Pour plus d’informations, consultez [Gestion de l’accès avec les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).

**Topics**
+ [Conditions préalables](#s3-access-grants-prerequisites)
+ [Connect Amazon S3 Access Grants aux JupyterLab blocs-notes Studio](s3-access-grants-setup.md)
+ [Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement](trustedidentitypropagation-s3-access-grants-jobs.md)

# Connect Amazon S3 Access Grants aux JupyterLab blocs-notes Studio
<a name="s3-access-grants-setup"></a>

Utilisez les informations suivantes pour accorder des autorisations d'accès Amazon S3 dans les JupyterLab blocs-notes Studio.

Une fois que les autorisations d’accès Amazon S3 sont configurées, [ajoutez les autorisations suivantes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) à votre [rôle d’exécution](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de domaine ou utilisateur.
+ `us-east-1` est votre Région AWS.
+ `111122223333` est votre ID de Compte AWS .
+ `S3-ACCESS-GRANT-ROLE` est votre rôle d’autorisations d’accès Amazon S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForTIP",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}
```

------

Assurez-vous que la politique d’approbation de votre rôle d’autorisations d’accès Amazon S3 autorise les actions `sts:SetContext` et `sts:AssumeRole`. Voici un exemple de politique à appliquer lorsque vous [mettez à jour votre politique d’approbation de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "access-grants.s3.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333",
                    "aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                }
            }
        }
    ]
}
```

------

## Utilisation des autorisations d’accès Amazon S3 pour appeler Amazon S3
<a name="s3-access-grants-python-example"></a>

Voici un exemple de script Python qui montre comment utiliser les autorisations d’accès Amazon S3 pour appeler Amazon S3. Cela suppose que vous avez déjà configuré avec succès la propagation d'identité sécurisée avec l' SageMaker IA.

```
import boto3
from botocore.config import Config

def get_access_grant_credentials(account_id: str, target: str, 
                                 permission: str = 'READ'):
    s3control = boto3.client('s3control')
    response = s3control.get_data_access(
        AccountId=account_id,
        Target=target,
        Permission=permission
    )
    return response['Credentials']

def create_s3_client_from_credentials(credentials) -> boto3.client:
    return boto3.client(
        's3',
        aws_access_key_id=credentials['AccessKeyId'],
        aws_secret_access_key=credentials['SecretAccessKey'],
        aws_session_token=credentials['SessionToken']
    )

# Create client
credentials = get_access_grant_credentials('111122223333',
                                        "s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)

s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```

Si vous utilisez un chemin d’accès vers un compartiment Amazon S3 où l’autorisation d’accès Amazon S3 n’est pas activée, l’appel échouera.

Pour d’autres langages de programmation, consultez [Gestion de l’accès avec les autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) pour plus d’informations.

# Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement
<a name="trustedidentitypropagation-s3-access-grants-jobs"></a>

Utilisez les informations suivantes pour accorder des subventions d'accès Amazon S3 afin d'accéder aux données des tâches Amazon SageMaker Training and Processing.

Lorsqu'un utilisateur pour lequel la propagation d'identité sécurisée est activée lance une tâche de SageMaker formation ou de traitement qui doit accéder aux données Amazon S3 :
+ SageMaker L'IA appelle Amazon S3 Access Grants pour obtenir des informations d'identification temporaires basées sur l'identité de l'utilisateur
+ En cas de succès, ces informations d’identification temporaires accèdent aux données Amazon S3.
+ En cas d'échec, SageMaker l'IA recommence à utiliser les informations d'identification du rôle IAM

**Note**  
Pour garantir que toutes les autorisations sont accordées via les autorisations d’accès Amazon S3, vous devez supprimer l’autorisation d’accès Amazon S3 associée à votre rôle d’exécution et les attacher à votre [autorisation d’accès Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondante.

**Topics**
+ [Considérations](#s3-access-grants-jobs-considerations)
+ [Configuration des autorisations d’accès Amazon S3 avec des tâches d’entraînement et de traitement](#s3-access-grants-jobs-setup)

## Considérations
<a name="s3-access-grants-jobs-considerations"></a>

Les subventions d'accès Amazon S3 ne peuvent pas être utilisées avec [le mode Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) pour la SageMaker formation et le traitement des entrées Amazon S3.

Lorsque la propagation fiable des identités est activée, vous ne pouvez pas lancer un SageMaker Training Job doté de la fonctionnalité suivante
+ Débogage à distance
+ Debugger
+ Profiler

Lorsque la propagation d’identité de confiance est activée, vous ne pouvez pas lancer de tâche de traitement avec la fonctionnalité suivante
+ DatasetDefinition

## Configuration des autorisations d’accès Amazon S3 avec des tâches d’entraînement et de traitement
<a name="s3-access-grants-jobs-setup"></a>

Une fois que les autorisations d’accès Amazon S3 sont configurées, [ajoutez les autorisations suivantes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) à votre [rôle d’exécution](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de domaine ou utilisateur.
+ `us-east-1` est votre Région AWS.
+ `111122223333` est votre ID de Compte AWS .
+ `S3-ACCESS-GRANT-ROLE` est votre rôle d’autorisations d’accès Amazon S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}
```

------

# Connectez les JupyterLab blocs-notes Connect Studio à Amazon EMR en activant la propagation d'identité fiable
<a name="trustedidentitypropagation-emr-ec2"></a>

La connexion JupyterLab des blocs-notes Amazon SageMaker Studio aux clusters Amazon EMR vous permet de tirer parti de la puissance de calcul distribuée d'Amazon EMR pour des charges de travail de traitement et d'analyse de données à grande échelle. Lorsque la propagation d’identité de confiance est activée, votre contexte d’identité est propagé vers Amazon EMR, ce qui permet un contrôle d’accès précis et des pistes d’audit complètes. La page suivante fournit des instructions de connexion de votre bloc-notes Studio aux clusters Amazon EMR. Une fois la configuration terminée, vous pouvez utiliser l’option `Connect to Cluster` dans votre bloc-notes Studio.

Pour connecter Studio à Amazon EMR avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Commencer à AWS IAM Identity Center intégrer Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html) 
+  [Activation des communications entre Studio et les clusters Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html) 

 **Connexion au cluster Amazon EMR** 

Pour obtenir la liste complète des options permettant de connecter votre JupyterLab bloc-notes à Amazon EMR, consultez [Connect to an Amazon EMR cluster.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)

# Connectez vos JupyterLab blocs-notes Studio à EMR Serverless en activant la propagation fiable des identités
<a name="trustedidentitypropagation-emr-serverless"></a>

Amazon EMR sans serveur fournit une option sans serveur pour exécuter les applications Apache Spark et Apache Hive sans gérer de clusters. Lorsqu’il est intégré à la propagation d’identité de confiance, EMR sans serveur met automatiquement à l’échelle les ressources de calcul tout en conservant votre contexte d’identité pour le contrôle d’accès et l’audit. Cette approche élimine les coûts opérationnels liés à la gestion des clusters tout en préservant les avantages en matière de sécurité du contrôle d’accès basé sur l’identité. La section suivante fournit des informations sur la façon de connecter votre instance Studio prenant en charge la propagation d’identité de confiance à l’instance EMR sans serveur.

Pour connecter Studio à Amazon EMR sans serveur avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Propagation d’identité de confiance avec EMR sans serveur](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html) 
+  [Activation des communications entre Studio et EMR sans serveur](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html) 

 **Connexion à l’application EMR sans serveur** 

Pour obtenir la liste complète des options permettant de connecter votre JupyterLab ordinateur portable à EMR Serverless, voir [Connexion à une application EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.

# Connectez les JupyterLab blocs-notes Studio à l'API Redshift Data avec activation de la propagation d'identité fiable
<a name="trustedidentitypropagation-redshift-data-apis"></a>

L’API de données Amazon Redshift vous permet d’interagir avec vos clusters Amazon Redshift par programmation sans gérer les connexions persistantes. Associée à la propagation d’identité de confiance, l’API de données Redshift fournit un accès sécurisé et basé sur l’identité à votre entrepôt de données, ce qui vous permet d’exécuter des requêtes SQL et de récupérer les résultats tout en conservant des pistes d’audit complètes des activités des utilisateurs. Cette intégration est particulièrement utile pour les flux de travail de science des données qui nécessitent l’accès à des données structurées stockées dans Redshift. La page suivante contient des informations et des instructions sur la manière de connecter une propagation d'identité fiable avec Amazon SageMaker Studio à l'API Redshift Data.

Pour connecter Studio à l’API de données Redshift avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Utilisation de l’API de données Redshift avec la propagation d’identité de confiance](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html) 
  + Assurez-vous que votre rôle d’exécution dispose des autorisations appropriées pour l’API de données Redshift. Pour plus d’informations, consultez [Autorisation de l’accès](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+  [Simplifiez la gestion des accès avec Amazon Redshift et AWS Lake Formation pour les utilisateurs auprès d'un fournisseur d'identité externe](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/) 

# Connectez les JupyterLab blocs-notes Studio à Lake Formation et Athena en activant la propagation d'identité fiable
<a name="trustedidentitypropagation-lake-formation-athena"></a>

AWS Lake Formation et Amazon Athena travaillent ensemble pour fournir une solution complète de lac de données avec un contrôle d'accès précis et des fonctionnalités de requête sans serveur. Lake Formation centralise la gestion des autorisations pour votre lac de données, tandis qu’Athena fournit des services de requête interactifs. Lorsqu’elle est intégrée avec la propagation d’identité de confiance, cette combinaison permet aux scientifiques des données d’accéder uniquement aux données qu’ils sont autorisés à consulter, toutes les requêtes et tous les accès aux données étant automatiquement consignés à des fins de conformité et d’audit. La page suivante fournit des informations et des instructions sur la manière de connecter une propagation d'identité fiable avec Amazon SageMaker Studio à Lake Formation et Athena.

Pour connecter Studio à Lake Formation et à Athena avec la propagation d’identité de confiance activée, assurez-vous d’avoir terminé les configurations suivantes :
+  [Configuration de la propagation d’identité de confiance pour Studio](trustedidentitypropagation-setup.md) 
+  [Création d’un rôle Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html) 
+  [Connexion de Lake Formation avec IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html) 
+ Créez des ressources Lake Formation :
  +  [Base de données](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html) 
  +  [Tables](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html) 
+  [Création d’un groupe de travail Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html) 
  + Choisissez **AthenaSQL** pour le moteur.
  + Choisissez **IAM Identity Center** comme méthode d’authentification.
  + Créez un nouveau rôle de service.
    + Assurez-vous que les utilisateurs d’IAM Identity Center ont accès à l’emplacement des résultats de requête à l’aide des autorisations d’accès Amazon S3.
+  [Octroi d’autorisations de base de données via la méthode de ressource nommée](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)