Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Cas d'utilisation de propagation d'identité fiables
En tant qu'administrateur du centre d'identité IAM, il peut vous être demandé d'aider à configurer la propagation sécurisée des identités depuis les applications destinées aux utilisateurs vers. Services AWS Pour appuyer cette demande, vous aurez besoin des informations suivantes :
+ Avec quelle application orientée client vos utilisateurs interagiront-ils ?
+ Quels Services AWS sont ceux utilisés pour interroger les données et pour autoriser l'accès aux données ?
+ Qui Service AWS autorise l'accès aux données ?
Votre rôle dans la mise en place **de cas d'utilisation de propagation d'identité fiables qui n'impliquent pas d'applications tierces ou d'applications développées sur mesure** est de :
1. [Activez IAM Identity Center](enable-identity-center.md).
1. [Connectez votre source d'identité existante à IAM Identity Center](tutorials.md).
Les étapes restantes de la configuration de l'identité sécurisée pour ces cas d'utilisation sont effectuées dans les applications connectées Services AWS et. Les administrateurs des applications connectées Services AWS doivent consulter les guides d'utilisation respectifs pour obtenir des conseils complets spécifiques au service.
Votre rôle dans la mise en place d'une **propagation d'identité fiable dans les cas d'utilisation impliquant des applications tierces ou des applications développées sur mesure** inclut les étapes de [Activer IAM Identity Center](enable-identity-center.md) [connexion à votre source d'identités](tutorials.md), ainsi que les étapes suivantes :
1. Configuration de la connexion de votre fournisseur d'identité (IdP) à l'application tierce ou développée sur mesure.
1. Permettre à IAM Identity Center de reconnaître l'application tierce ou développée sur mesure.
1. Configuration de votre IdP en tant qu'émetteur de jetons de confiance dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
Les administrateurs des applications connectées Services AWS doivent se référer aux guides d'utilisation respectifs pour obtenir des conseils complets spécifiques aux services.
## Cas d'utilisation de l'analytique, du data lakehouse et de l'apprentissage automatique
Vous pouvez activer des cas d'utilisation de propagation fiables à l'aide des services d'analyse et d'apprentissage automatique suivants :
+ **Amazon Redshift** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio** - Pour obtenir des conseils, voir[Propagation d'identité fiable avec Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Cas d'utilisation supplémentaires
Vous pouvez activer le centre d'identité IAM et la propagation d'identités fiables avec les options supplémentaires Services AWS suivantes :
+ **Amazon Q Business** : pour obtenir des conseils, consultez :
+ [Flux de travail d'administration pour les applications utilisant IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Configuration d'une application Amazon Q Business à l'aide d'IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configurez Amazon Q Business avec la propagation d'identité fiable d'IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** : pour obtenir des conseils, consultez :
+ [Support de propagation d'identité fiable d'IAM Identity Center pour Amazon OpenSearch Service.](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)
+ [Interface OpenSearch utilisateur centralisée (tableaux de bord) avec Amazon OpenSearch Service.](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)
+ **AWS Transfer Family**- pour obtenir des conseils, voir :
+ [Applications Web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Cas d'utilisation de l'analytique, du data lakehouse et de l'apprentissage automatique](#tip-data-analytic-usecases-overview)
+ [Cas d'utilisation supplémentaires](#tip-additional-usecases)
+ [Propagation d'identité fiable avec Amazon Redshift](tip-usecase-redshift.md)
+ [Propagation d'identité fiable avec Amazon EMR](tip-usecase-emr.md)
+ [Propagation d'identité fiable avec Amazon Athena](tip-usecase-ate.md)
+ [Propagation d'identité fiable avec Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagation d'identité fiable avec Amazon Redshift
Les étapes à suivre pour activer la propagation fiable des identités varient selon que vos utilisateurs interagissent avec des applications AWS gérées ou des applications gérées par le client. Le schéma suivant montre une configuration de propagation d'identité fiable pour les applications orientées client ( AWS gérées ou externes) qui interrogent les données Amazon Redshift avec un contrôle d'accès fourni soit par Amazon Redshift, soit par des services d'autorisation, tels qu'Amazon S3. AWS AWS Lake Formation Access Grants
![\[Schéma de propagation d'identités fiables à l'aide d'Amazon Redshift, Quick, Lake Formation et IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Lorsque la propagation fiable des identités vers Amazon Redshift est activée, les administrateurs de Redshift peuvent configurer Redshift pour [créer automatiquement des rôles pour IAM Identity Center en tant que fournisseur d'identité, associer les rôles](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) Redshift aux groupes d'IAM Identity Center et utiliser le contrôle d'accès basé sur les rôles Redshift pour accorder l'accès.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Applications destinées aux clients prises en charge
**AWS applications gérées**
Les applications AWS gérées orientées client suivantes prennent en charge la propagation fiable des identités vers Amazon Redshift :
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Rapide](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**Note**
Si vous utilisez Amazon Redshift Spectrum pour accéder à des bases de données ou à des tables AWS Glue Data Catalog externes, pensez [à configurer Lake](tip-tutorial-lf.md) Formation [et Amazon Access Grants](tip-tutorial-s3.md) S3 pour fournir un contrôle d'accès précis.
**Applications gérées par le client**
Les applications gérées par le client suivantes prennent en charge la propagation fiable des identités vers Amazon Redshift :
+ **Tableau**y Tableau Desktop compris TableauServer, et Tableau Prep
+ Pour permettre aux utilisateurs de propager des identités de manière fiableTableau, consultez la section [Intégrer Tableau et Okta utiliser Amazon Redshift à l'aide d'IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) sur le blog *AWS Big Data*.
+ **Clients SQL** (DBeaveretDBVisualizer)
+ *Pour permettre une propagation d'identité fiable pour les utilisateurs de clients SQL (DBeaveretDBVisualizer), consultez la section [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et le client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *
# Configuration d'une propagation d'identité fiable avec Amazon Redshift Query Editor V2
La procédure suivante explique comment assurer une propagation d'identité fiable depuis Amazon Redshift Query Editor V2 vers Amazon Redshift.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
L'activation de la propagation fiable des identités inclut les tâches effectuées par un administrateur IAM Identity Center dans la console IAM Identity Center et les tâches effectuées par un administrateur Amazon Redshift dans la console Amazon Redshift.
## Tâches effectuées par l'administrateur de l'IAM Identity Center
Les tâches suivantes devaient être effectuées par l'administrateur de l'IAM Identity Center :
1. **Créez un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** dans le compte où se trouve le cluster Amazon Redshift ou l'instance Serverless avec la politique d'autorisation suivante. Pour plus d'informations, consultez la section [Création d'un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Les exemples de politique suivants incluent les autorisations nécessaires pour terminer ce didacticiel. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Politique d'autorisation :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Politique de confiance :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Créez un ensemble d'autorisations** dans le compte AWS Organizations de gestion sur lequel IAM Identity Center est activé. Vous l'utiliserez à l'étape suivante pour autoriser les utilisateurs fédérés à accéder à Redshift Query Editor V2.
1. **Accédez à la console **IAM Identity Center**, sous Autorisations **multi-comptes, choisissez Ensembles d'autorisations**.**
1. Choisissez **Create permission set (Créer un jeu d'autorisations)**.
1. Choisissez **Ensemble d'autorisations personnalisé**, puis cliquez sur **Suivant**.
1. Dans **Politiques AWS gérées**, sélectionnez **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Sous **Stratégie intégrée**, ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Sélectionnez **Suivant**, puis attribuez un nom au nom de l'ensemble d'autorisations. Par exemple, **Redshift-Query-Editor-V2**.
1. Sous **État du relais — facultatif**, définissez l'état du relais par défaut sur l'URL de l'éditeur de requêtes V2, en utilisant le format :`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Vérifiez les paramètres et choisissez **Créer**.
1. Accédez au tableau de bord du centre d'identité IAM et copiez l'URL du portail AWS d'accès depuis la section **Récapitulatif des paramètres**.
![\[Étape i, Copier AWS l'URL du portail d'accès depuis la console IAM Identity Center.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Ouvrez une nouvelle fenêtre de navigation privée et collez l'URL.
Cela vous redirigera vers votre portail AWS d'accès, garantissant que vous vous connectez avec un utilisateur d'IAM Identity Center.
![\[Étape j, Connectez-vous pour AWS accéder au portail.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Pour plus d'informations sur l'ensemble d'autorisations, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md).
1. **Permettez aux utilisateurs fédérés d'accéder à Redshift Query** Editor V2.
1. Dans le compte AWS Organizations de gestion, ouvrez la console **IAM Identity Center**.
1. Dans le volet de navigation, sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.
1. Sur la Comptes AWS page, sélectionnez Compte AWS celui auquel vous souhaitez attribuer l'accès.
1. Choisissez **Attribuer des utilisateurs ou des groupes**.
1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez les utilisateurs et/ou les groupes pour lesquels vous souhaitez créer l'ensemble d'autorisations. Ensuite, choisissez **Suivant**.
1. Sur la page **Attribuer des ensembles d'autorisations**, choisissez le jeu d'autorisations que vous avez créé à l'étape précédente. Ensuite, choisissez **Suivant**.
1. Sur la page **Réviser et soumettre les devoirs**, passez en revue vos sélections et choisissez **Soumettre**.
## Tâches effectuées par un administrateur Amazon Redshift
Pour permettre une propagation d'identité fiable vers Amazon Redshift, un administrateur de cluster Amazon Redshift ou un administrateur Amazon Redshift Serverless doit effectuer un certain nombre de tâches dans la console Amazon Redshift. *Pour plus d'informations, consultez [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et au client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *
# Propagation d'identité fiable avec Amazon EMR
Le schéma suivant montre une configuration de propagation d'identité fiable pour Amazon EMR Studio à l'aide d'Amazon EMR sur Amazon EC2 avec un contrôle d'accès fourni par Amazon S3. AWS Lake Formation Access Grants
![\[Schéma de propagation d'identités fiables à l'aide d'Amazon EMR, de Lake Formation et d'IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Applications destinées aux clients prises en charge**
+ Amazon EMR Studio
**Pour activer la propagation d'identités fiables, procédez comme suit :**
+ [Configurez Amazon EMR](setting-up-tip-emr.md) en Studio tant qu'application orientée client pour le cluster Amazon EMR.
+ Configurez le [cluster Amazon EMR sur Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) avec. Apache Spark
+ *Recommandé* : [AWS Lake Formation](tip-tutorial-lf.md)et [Amazon S3 Access Grants](tip-tutorial-s3.md) pour fournir un contrôle d'accès précis AWS Glue Data Catalog et des emplacements de données sous-jacents dans S3.
# Configuration d'une propagation d'identité fiable avec Amazon EMR Studio
La procédure suivante explique comment configurer Amazon EMR Studio pour une propagation d'identité fiable dans les requêtes adressées à un groupe de travail Amazon Athena ou à un cluster Amazon EMR en cours d'exécution. Apache Spark
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
Pour terminer la configuration de la propagation d'identité sécurisée depuis Amazon EMR Studio, l'administrateur d'EMR Studio doit effectuer les étapes suivantes.
## Étape 1. Création des rôles IAM requis pour EMR Studio
Au cours de cette étape, l'Studioadministrateur Amazon EMR crée un rôle de service IAM et un rôle d'utilisateur IAM pour EMR. Studio
1. **[Création d'un rôle de service EMR Studio : EMR Studio assume ce rôle](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM pour gérer en toute sécurité les espaces de travail et les blocs-notes, se connecter aux clusters et gérer les interactions de données.
1. Accédez à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) et créez un rôle IAM.
1. Sélectionnez **Service AWS**comme entité de confiance, puis choisissez **Amazon EMR**. Joignez les politiques suivantes pour définir les autorisations et la relation de confiance du rôle.
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Pour une référence de toutes les autorisations de rôle de service, voir Autorisations de [rôle de service EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Créez un rôle utilisateur EMR Studio pour l'authentification IAM Identity Center :](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** EMR Studio assume ce rôle lorsqu'un utilisateur se connecte via IAM Identity Center pour gérer des espaces de travail, des clusters EMR, des jobs et des référentiels git. **Ce rôle est utilisé pour lancer le flux de travail de propagation des identités fiables**.
**Note**
Le rôle d'utilisateur EMR Studio n'a pas besoin d'inclure d'autorisations pour accéder aux emplacements Amazon S3 des tables dans AWS Glue Catalog. AWS Lake Formation les autorisations et les emplacements enregistrés des lacs seront utilisés pour recevoir des autorisations temporaires.
L'exemple de politique suivant peut être utilisé dans un rôle permettant à un utilisateur d'EMR Studio d'utiliser les groupes de travail Athena pour exécuter des requêtes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
La politique de confiance suivante permet à EMR Studio d'assumer ce rôle :
**Note**
Des autorisations supplémentaires sont nécessaires pour exploiter les espaces de travail EMR Studio et les Notebooks EMR. Voir [Créer des politiques d'autorisation pour les utilisateurs d'EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) pour plus d'informations.
**Vous trouverez de plus amples informations à l'aide des liens suivants :**
+ [Définir des autorisations IAM personnalisées à l’aide de politiques gérées par le client](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Autorisations relatives aux rôles du service EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Étape 2. Créez et configurez votre studio EMR
Au cours de cette étape, vous allez créer un Amazon EMR Studio dans la console EMR Studio et utiliser les rôles IAM que vous y avez créés. [Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1)
1. Accédez à la console EMR Studio, sélectionnez **Create Studio** et l'option **Configuration personnalisée**. Vous pouvez créer un nouveau compartiment S3 ou utiliser un compartiment existant. Vous pouvez cocher la case pour **chiffrer les fichiers de l'espace de travail avec vos propres clés KMS**. Pour de plus amples informations, veuillez consulter [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Étape 1 Créez EMR Studio dans la console EMR.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Sous **Rôle de service pour permettre à Studio d'accéder à vos ressources**, sélectionnez le rôle [Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1) de service créé dans le menu.
1. Choisissez **IAM Identity Center** sous **Authentification**. Sélectionnez le rôle d'utilisateur créé dans[Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1).
![\[Étape 3 Créez EMR Studio dans la console EMR, en sélectionnant IAM Identity Center comme méthode d'authentification.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Cochez la case **Propagation d'identité fiable**. Choisissez **Uniquement les utilisateurs et les groupes assignés** dans la section Accès aux applications, ce qui vous permettra de n'autoriser que les utilisateurs et les groupes autorisés à accéder à ce studio.
1. *(Facultatif)* - Vous pouvez configurer le VPC et le sous-réseau si vous utilisez ce studio avec des clusters EMR.
![\[Étape 4 Créez EMR Studio dans la console EMR, en sélectionnant les paramètres réseau et de sécurité.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Vérifiez tous les détails et sélectionnez **Create Studio**.
1. Après avoir configuré un cluster Athena WorkGroup ou EMR, connectez-vous à l'URL du Studio pour :
1. Exécutez des requêtes Athena avec l'éditeur de requêtes.
1. Exécutez des tâches Spark dans l'espace de travail à l'aide du Jupyter bloc-notes.
# Propagation d'identité fiable avec Amazon Athena
Les étapes à suivre pour activer la propagation fiable des identités varient selon que vos utilisateurs interagissent avec des applications AWS gérées ou des applications gérées par le client. Le schéma suivant montre une configuration de propagation d'identité fiable pour les applications orientées client ( AWS gérées ou externes) qui utilisent Amazon Athena pour AWS interroger les données Amazon S3 avec un contrôle d'accès fourni par Amazon S3 et AWS Lake Formation Amazon S3. Access Grants
**Note**
La propagation fiable des identités avec Amazon Athena nécessite l'utilisation de Trino.
Les clients Apache Spark et SQL connectés à Amazon Athena via les pilotes ODBC et JDBC ne sont pas pris en charge.
![\[Schéma de propagation d'identités fiables à l'aide d'Athena, Amazon EMR, Lake Formation et IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS applications gérées**
L'application AWS gérée orientée client suivante prend en charge la propagation sécurisée des identités avec Athena :
+ Amazon EMR Studio
**Pour activer la propagation d'identités fiables, procédez comme suit :**
+ [Configurez Amazon EMR](setting-up-tip-emr.md) en Studio tant qu'application orientée client pour Athena. L'éditeur de requêtes d'EMR Studio est nécessaire pour exécuter les requêtes Athena lorsque la propagation sécurisée des identités est activée.
+ [Configurez le groupe de travail Athena](setting-up-tip-ate.md).
+ [Configurez AWS Lake Formation](tip-tutorial-lf.md) pour activer un contrôle d'accès précis pour les AWS Glue tables en fonction de l'utilisateur ou du groupe dans IAM Identity Center.
+ [Configurez Amazon S3 Access Grants](tip-tutorial-s3.md) pour permettre un accès temporaire aux emplacements de données sous-jacents dans S3.
**Note**
Lake Formation et Amazon S3 Access Grants sont tous deux requis pour le contrôle d'accès aux résultats des requêtes Athena AWS Glue Data Catalog et pour ceux-ci dans Amazon S3.
**Applications gérées par le client**
*Pour activer la propagation d'identité fiable pour les utilisateurs d'*applications développées sur mesure*, reportez-vous à la section [Accès Services AWS par programmation à l'aide de la propagation d'identité sécurisée](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) dans le blog sur la AWS sécurité.*
# Configuration d'une propagation d'identité fiable avec les groupes de travail Amazon Athena
La procédure suivante explique comment configurer les groupes de travail Amazon Athena pour une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
1. Cette configuration nécessite [Amazon EMR Studio](setting-up-tip-emr.md) et [Amazon S3 Access](tip-tutorial-s3.md) Grants. [AWS Lake Formation](tip-tutorial-lf.md)
## Configuration d'une propagation d'identité fiable avec Athena
Pour configurer la propagation sécurisée des identités avec Athena, l'administrateur d'Athena doit :
1. Passez en revue [les considérations et les limites liées à l'utilisation des groupes de travail Athena compatibles avec IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Créez un groupe de travail Athena compatible avec IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagation d'identité fiable avec Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) s'intègre à IAM Identity Center et prend en charge les [sessions d'arrière-plan des utilisateurs](user-background-sessions.md) et la propagation d'identités fiables. Les sessions utilisateur en arrière-plan permettent à un utilisateur de lancer une tâche de longue durée sur SageMaker Studio, sans qu'il soit obligé de rester connecté pendant l'exécution de la tâche. La tâche s'exécute immédiatement et en arrière-plan, en utilisant les autorisations de l'utilisateur à l'origine de la tâche. La tâche peut continuer à s'exécuter même si l'utilisateur éteint son ordinateur, si sa session de connexion à IAM Identity Center expire ou s'il se déconnecte du portail d' AWS accès. La durée de session par défaut pour les sessions d'arrière-plan des utilisateurs est de 7 jours, mais vous pouvez spécifier une durée maximale de 90 jours. La propagation fiable des identités permet de fournir un accès précis à des AWS ressources telles que les compartiments Amazon S3 en fonction de l'identité de l'utilisateur ou de son appartenance à un groupe.
Le schéma suivant montre une configuration de propagation d'identité fiable pour SageMaker Studio, avec accès aux données stockées dans un compartiment Amazon S3. Les sessions d'arrière-plan utilisateur sont activées pour IAM Identity Center, ce qui permet à la tâche de formation SageMaker Studio de s'exécuter en arrière-plan. Le contrôle d'accès aux données d'entraînement est fourni par Amazon S3Access Grants.
![\[Schéma de propagation d'identités fiables pour SageMaker Studio, avec une tâche de formation SageMaker Studio exécutée dans le cadre d'une session d'arrière-plan utilisateur et un accès aux données de formation dans Amazon S3 fournies par Amazon S3Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS application gérée**
L'application AWS gérée orientée client suivante prend en charge la propagation d'identités fiables :
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Pour activer la propagation d'identité fiable et les sessions d'arrière-plan des utilisateurs, procédez comme suit :**
+ [Configurez SageMaker Studio en tant qu'application orientée client.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configurez Amazon S3 Access Grants](tip-tutorial-s3.md) pour permettre un accès temporaire aux emplacements de données sous-jacents dans Amazon S3.
# Configuration d'une propagation d'identité fiable avec SageMaker Studio
La procédure suivante explique comment configurer SageMaker Studio pour une propagation d'identité fiable et des sessions d'arrière-plan utilisateur.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez effectuer les tâches suivantes :
1. [Activez IAM Identity Center](enable-identity-center.md). Une instance d'organisation est requise. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
1. [Vérifiez que les sessions d'arrière-plan des utilisateurs sont activées](user-background-sessions.md) dans la console IAM Identity Center. Par défaut, les sessions utilisateur en arrière-plan sont activées et leur durée est fixée à 7 jours. Vous pouvez modifier cette durée.
Pour configurer une propagation d'identité fiable depuis SageMaker Studio, l'administrateur de SageMaker Studio doit effectuer les étapes suivantes.
## Étape 1 : activer la propagation d'identités fiables dans un domaine SageMaker Studio nouveau ou existant
SageMaker Studio utilise des domaines pour organiser les profils utilisateur, les applications et les ressources associées. Pour activer la propagation d'identités fiables, vous devez créer un domaine SageMaker Studio ou modifier un domaine existant comme décrit dans la procédure suivante.
1. Ouvrez la console SageMaker AI, accédez à **Domains** et effectuez l'une des opérations suivantes.
+ **Créez un nouveau domaine SageMaker Studio à l'aide de [Configuration pour les organisations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Choisissez **Configurer pour les organisations**, puis procédez comme suit :
+ Choisissez **AWS Identity Center** comme méthode d'authentification.
+ Cochez la case **Activer la propagation d'identités fiables pour tous les utilisateurs de ce domaine**.
+ **Modifiez un domaine SageMaker Studio existant.**
+ Sélectionnez un domaine existant qui utilise IAM Identity Center pour l'authentification.
**Important**
La propagation d'identités fiables n'est prise en charge que dans les domaines SageMaker Studio qui utilisent IAM Identity Center pour l'authentification. Si le domaine utilise IAM pour l'authentification, vous ne pouvez pas modifier la méthode d'authentification et, par conséquent, vous ne pouvez pas activer la propagation d'identité fiable.
+ [Modifiez les paramètres du domaine](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Modifiez les paramètres **d'authentification et d'autorisation** pour activer la propagation d'identités fiables.
1. Passez à l'[étape 2 : configurer le rôle d'exécution du domaine par défaut](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Ce rôle est requis pour que les utilisateurs d'un domaine SageMaker Studio puissent accéder à d'autres AWS services tels qu'Amazon S3.
## Étape 2 : Configuration du rôle d'exécution du domaine par défaut et de la politique de confiance des rôles
Un *rôle d'exécution de domaine* est un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) qu'un domaine SageMaker Studio assume au nom de tous les utilisateurs du domaine. Les autorisations que vous attribuez à ce rôle déterminent les actions que SageMaker Studio peut effectuer.
1. Pour créer ou sélectionner un rôle d'exécution de domaine, effectuez l'une des opérations suivantes :
+ **Créez ou sélectionnez un rôle à l'aide de [Configuration pour les organisations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Ouvrez la console SageMaker AI et suivez les instructions de la console à l'**étape 2 : Configurer les rôles et les activités** de machine learning pour créer un nouveau rôle d'exécution de domaine ou sélectionner un rôle existant.
+ Effectuez le reste des étapes de configuration pour créer votre domaine SageMaker Studio.
+ **Créez un rôle d'exécution manuellement.**
+ Ouvrez la console IAM et [créez vous-même le rôle d'exécution](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Mettez à jour la politique de confiance](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) attachée au rôle d'exécution du domaine afin qu'elle inclue les deux actions suivantes : [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)et [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Pour plus d'informations sur la façon de trouver le rôle d'exécution pour votre domaine SageMaker Studio, voir [Obtenir le rôle d'exécution du domaine](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Une *politique de confiance* spécifie l'identité qui peut assumer un rôle. Cette politique est requise pour permettre au service SageMaker Studio d'assumer le rôle d'exécution du domaine. Ajoutez ces deux actions afin qu'elles apparaissent comme suit dans votre politique.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Étape 3 : vérifier les autorisations Amazon S3 Access Grant requises pour le rôle d'exécution du domaine
Pour utiliser Amazon S3 Access Grants, vous devez avoir une politique d'autorisation attachée (sous forme de politique intégrée ou de politique gérée par le client) à votre rôle d'exécution de domaine SageMaker Studio contenant les autorisations suivantes.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Si aucune politique ne contient ces autorisations, suivez les instructions de la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
## Étape 4 : Attribuer des groupes et des utilisateurs au domaine
Attribuez des groupes et des utilisateurs au domaine SageMaker Studio en suivant les étapes décrites dans [Ajouter des groupes et des utilisateurs](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Étape 5 : configurer les autorisations d'accès Amazon S3
Pour configurer les subventions d'accès Amazon S3, suivez les étapes décrites dans [Configuration des subventions d'accès Amazon S3 pour une propagation d'identité fiable via IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Suivez les step-by-step instructions pour effectuer les tâches suivantes :
1. Créez une instance Amazon S3 Access Grants.
1. Enregistrez un emplacement dans cette instance.
1. Créez des autorisations pour permettre à des utilisateurs ou à des groupes spécifiques de l'IAM Identity Center d'accéder à des emplacements ou à des sous-ensembles Amazon S3 désignés (par exemple, des préfixes spécifiques) au sein de ces sites.
## Étape 6 : Soumettre un projet de SageMaker formation et consulter les détails de la session d'arrière-plan de l'utilisateur
Dans SageMaker Studio, lancez un nouveau bloc-notes Jupyter et soumettez une tâche de formation. Pendant l'exécution de la tâche, effectuez les étapes suivantes pour afficher les informations de session et vérifier que le contexte de session d'arrière-plan de l'utilisateur est actif.
1. Ouvrez la console IAM Identity Center.
1. Choisissez **Utilisateurs**.
1. Sur la page **Utilisateurs**, choisissez le nom d'utilisateur de l'utilisateur dont vous souhaitez gérer les sessions. Cela vous amène à une page contenant les informations de l'utilisateur.
1. Sur la page de l'utilisateur, choisissez l'onglet **Sessions actives**. Le nombre entre parenthèses à côté de **Sessions actives** indique le nombre de sessions actives pour cet utilisateur.
1. Pour rechercher des sessions par le nom de ressource Amazon (ARN) de la tâche qui utilise la session, dans la liste des **types de session**, choisissez **Sessions d'arrière-plan utilisateur**, puis entrez l'ARN de la tâche dans le champ de recherche.
Voici un exemple de la façon dont une tâche de formation utilisant une session d'arrière-plan utilisateur apparaît dans l'onglet **Sessions actives** d'un utilisateur.
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Étape 7 : Afficher les CloudTrail journaux pour vérifier la propagation fiable de l'identité dans CloudTrail
Lorsque la propagation d'identités fiables est activée, les actions apparaissent dans les journaux d' CloudTrail événements situés sous l'`onBehalfOf`élément. Le `userId` reflète l'ID de l'utilisateur de l'IAM Identity Center qui a initié la tâche de formation. L' CloudTrail événement suivant capture le processus de propagation d'identités fiables.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considérations relatives à l’exécution
Si un administrateur définit **MaxRuntimeInSeconds**des tâches de formation ou de traitement de longue durée inférieures à la durée de la session d'arrière-plan de l'utilisateur, SageMaker Studio exécute le travail pendant la durée minimale de la session d'arrière-plan de l'utilisateur **MaxRuntimeInSeconds **ou pendant la durée minimale de la session d'arrière-plan de l'utilisateur.
Pour plus d'informations **MaxRuntimeInSeconds**, consultez les instructions relatives au `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)paramètre dans le *Amazon SageMaker API Reference*.