Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Vue d'ensemble de la propagation d'identités fiables
La propagation fiable des identités est une fonctionnalité d'IAM Identity Center qui permet aux administrateurs d' Services AWS accorder des autorisations en fonction des attributs de l'utilisateur tels que les associations de groupes. Avec la propagation d'identité sécurisée, le contexte d'identité est ajouté à un rôle IAM pour identifier l'utilisateur qui demande l'accès aux AWS ressources. Ce contexte est propagé à d'autres Services AWS.
Le contexte d'identité comprend les informations Services AWS utilisées pour prendre des décisions d'autorisation lorsqu'ils reçoivent des demandes d'accès. Ces informations incluent des métadonnées qui identifient le demandeur (par exemple, un utilisateur du IAM Identity Center), l'accès Service AWS auquel l'accès est demandé (par exemple, Amazon Redshift) et l'étendue de l'accès (par exemple, accès en lecture seule). Le destinataire Service AWS utilise ce contexte, ainsi que toutes les autorisations attribuées à l'utilisateur, pour autoriser l'accès à ses ressources.
## Avantages d'une propagation d'identité fiable
La propagation fiable des identités permet aux administrateurs d' Services AWS accorder des autorisations sur des ressources, telles que des données, en utilisant les identités d'entreprise de votre personnel. En outre, ils peuvent vérifier qui a accédé à quelles données en consultant les journaux de service ou AWS CloudTrail. Si vous êtes administrateur d'IAM Identity Center, d'autres Service AWS administrateurs peuvent vous demander d'activer la propagation sécurisée des identités.
## Permettre une propagation d'identité fiable
Le processus d'activation de la propagation d'identités fiables implique les deux étapes suivantes :
1. **Activez IAM Identity Center et connectez votre source d'identités existante à IAM Identity Center** : vous continuerez à gérer les identités de vos employés dans votre source d'identités existante ; la connexion à IAM Identity Center crée une référence à votre personnel que tous peuvent partager Services AWS dans votre cas d'utilisation. Les propriétaires de données pourront également l'utiliser dans de futurs cas d'utilisation.
1. **Connectez le Services AWS cas d'utilisation à IAM Identity Center** : l'administrateur de chaque Service AWS cas d'utilisation de propagation d'identité sécurisée suit les instructions de la documentation du service correspondant pour connecter le service à IAM Identity Center.
**Note**
Si votre cas d'utilisation implique une *application développée par un *tiers* ou un client*, vous activez la propagation fiable des identités en configurant une relation de confiance entre le fournisseur d'identité qui authentifie les utilisateurs de l'application et IAM Identity Center. Cela permet à votre application de tirer parti du flux de propagation d'identité sécurisé décrit précédemment.
Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
## Comment fonctionne la propagation fiable des identités
Le schéma suivant montre le flux de travail de haut niveau pour la propagation d'identités fiables :
![\[Flux de travail simplifié de propagation des identités fiables.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Les utilisateurs s'authentifient à l'aide d'une application orientée client, par exemple Quick.
1. L'application orientée client demande l'accès pour utiliser et Service AWS pour interroger des données et inclut des informations sur l'utilisateur.
**Note**
Certains cas d'utilisation de propagation d'identités fiables impliquent des outils qui interagissent avec Services AWS l'utilisation de pilotes de service. Vous pouvez savoir si cela s'applique à votre cas d'utilisation dans le [guide d'utilisation](trustedidentitypropagation-integrations.md).
1. Service AWS Vérifie l'identité de l'utilisateur auprès d'IAM Identity Center et compare les attributs de l'utilisateur, tels que ses associations de groupe, avec ceux requis pour l'accès. L'accès Service AWS est autorisé tant que l'utilisateur ou son groupe dispose des autorisations nécessaires.
1. Services AWS peuvent enregistrer l'identifiant de l'utilisateur dans AWS CloudTrail et dans leurs journaux de service. Consultez la documentation du service pour plus de détails.
L'image suivante fournit une vue d'ensemble des étapes décrites précédemment dans le processus de propagation des identités fiables :
![\[Flux de travail simplifié de propagation des identités fiables.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Avantages d'une propagation d'identité fiable](#benefits-trusted-identity-propagation)
+ [Permettre une propagation d'identité fiable](#enabling-tip)
+ [Comment fonctionne la propagation fiable des identités](#how-tip-works)
+ [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md)
+ [Cas d'utilisation de propagation d'identité fiables](trustedidentitypropagation-integrations.md)
+ [Services d'autorisation](authorization-services.md)
# Prérequis et considérations
Avant de configurer la propagation sécurisée des identités, passez en revue les conditions préalables et les considérations suivantes.
**Topics**
+ [Conditions préalables](#trustedidentitypropagation-prerequisites)
+ [Considérations](#trustedidentitypropagation-considerations)
+ [Considérations relatives aux applications gérées par le client](#trustedidentitypropagation-customer-apps)
## Conditions préalables
Pour utiliser la propagation d'identité sécurisée, assurez-vous que votre environnement répond aux exigences suivantes :
+ Activer et approvisionner IAM Identity Center
+ Pour utiliser la propagation d'identité sécurisée, vous devez activer IAM Identity Center au même Région AWS endroit où les AWS applications et services auxquels vos utilisateurs auront accès sont activés. Pour plus d'informations, consultez [Activer IAM Identity Center](enable-identity-center.md).
+ L'instance d'organisation IAM Identity Center est recommandée - Nous vous recommandons d'utiliser une [instance d'organisation](organization-instances-identity-center.md) d'IAM Identity Center que vous activez dans le compte de gestion de. AWS Organizations Vous pouvez [déléguer l'administration](organization-instances-identity-center.md) d'une instance d'organisation d'IAM Identity Center à un compte membre. Si vous choisissez une [instance de compte](account-instances-identity-center.md) d'IAM Identity Center, toutes les instances auxquelles vous souhaitez Services AWS que les utilisateurs accèdent grâce à une propagation d'identité sécurisée doivent se trouver dans le même Compte AWS endroit où vous activez IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances de compte d’IAM Identity Center](account-instances-identity-center.md).
+ Connectez votre fournisseur d'identité existant à IAM Identity Center et configurez vos utilisateurs et groupes dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md).
+ Connectez les applications et services AWS gérés dans votre cas d'utilisation de propagation d'identité fiable à IAM Identity Center. Pour utiliser une propagation d'identité fiable, les applications AWS gérées doivent être connectées à IAM Identity Center.
## Considérations
Tenez compte des considérations suivantes lors de la configuration et de l'utilisation de la propagation d'identité sécurisée :
+ **Organisation ou instance de compte d'IAM Identity Center**
+ Une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center vous donnera le maximum de contrôle et de flexibilité pour étendre vos cas d'utilisation à plusieurs Comptes AWS, utilisateurs et Services AWS. Si vous ne parvenez pas à utiliser une instance d'organisation, votre cas d'utilisation peut être pris en charge par les instances de compte d'IAM Identity Center. Pour en savoir plus sur les instances de compte de support d'IAM Identity Center figurant Services AWS dans votre cas d'utilisation, consultez[AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md).
+ **Les autorisations multi-comptes (ensembles d'autorisations) ne sont pas requises**
+ La propagation fiable des identités ne vous oblige pas à configurer des autorisations [multi-comptes (ensembles d'autorisations](manage-your-accounts.md)). Vous pouvez activer IAM Identity Center et l'utiliser uniquement pour une propagation d'identité fiable.
## Considérations relatives aux applications gérées par le client
Votre personnel peut bénéficier d'une propagation d'identité fiable, même si vos utilisateurs interagissent avec des applications destinées aux clients qui ne sont pas gérées par AWS, par exemple, Tableau ou par vos applications développées sur mesure. Les utilisateurs de ces applications ne sont peut-être pas approvisionnés dans IAM Identity Center. Pour permettre une reconnaissance et une autorisation fluides de l'accès des utilisateurs aux AWS ressources, IAM Identity Center vous permet de configurer une relation de confiance entre le fournisseur d'identité authentifiant vos utilisateurs et IAM Identity Center. Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
En outre, la configuration de la propagation d'identité sécurisée pour votre application nécessitera :
+ Votre application doit utiliser le framework OAuth 2.0 pour l'authentification. La propagation d'identités fiables ne prend pas en charge les intégrations SAML 2.0.
+ Votre candidature doit être reconnue par IAM Identity Center. Suivez les instructions spécifiques à votre [cas d'utilisation](trustedidentitypropagation-integrations.md).
# Cas d'utilisation de propagation d'identité fiables
En tant qu'administrateur du centre d'identité IAM, il peut vous être demandé d'aider à configurer la propagation sécurisée des identités depuis les applications destinées aux utilisateurs vers. Services AWS Pour appuyer cette demande, vous aurez besoin des informations suivantes :
+ Avec quelle application orientée client vos utilisateurs interagiront-ils ?
+ Quels Services AWS sont ceux utilisés pour interroger les données et pour autoriser l'accès aux données ?
+ Qui Service AWS autorise l'accès aux données ?
Votre rôle dans la mise en place **de cas d'utilisation de propagation d'identité fiables qui n'impliquent pas d'applications tierces ou d'applications développées sur mesure** est de :
1. [Activez IAM Identity Center](enable-identity-center.md).
1. [Connectez votre source d'identité existante à IAM Identity Center](tutorials.md).
Les étapes restantes de la configuration de l'identité sécurisée pour ces cas d'utilisation sont effectuées dans les applications connectées Services AWS et. Les administrateurs des applications connectées Services AWS doivent consulter les guides d'utilisation respectifs pour obtenir des conseils complets spécifiques au service.
Votre rôle dans la mise en place d'une **propagation d'identité fiable dans les cas d'utilisation impliquant des applications tierces ou des applications développées sur mesure** inclut les étapes de [Activer IAM Identity Center](enable-identity-center.md) [connexion à votre source d'identités](tutorials.md), ainsi que les étapes suivantes :
1. Configuration de la connexion de votre fournisseur d'identité (IdP) à l'application tierce ou développée sur mesure.
1. Permettre à IAM Identity Center de reconnaître l'application tierce ou développée sur mesure.
1. Configuration de votre IdP en tant qu'émetteur de jetons de confiance dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
Les administrateurs des applications connectées Services AWS doivent se référer aux guides d'utilisation respectifs pour obtenir des conseils complets spécifiques aux services.
## Cas d'utilisation de l'analytique, du data lakehouse et de l'apprentissage automatique
Vous pouvez activer des cas d'utilisation de propagation fiables à l'aide des services d'analyse et d'apprentissage automatique suivants :
+ **Amazon Redshift** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio** - Pour obtenir des conseils, voir[Propagation d'identité fiable avec Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Cas d'utilisation supplémentaires
Vous pouvez activer le centre d'identité IAM et la propagation d'identités fiables avec les options supplémentaires Services AWS suivantes :
+ **Amazon Q Business** : pour obtenir des conseils, consultez :
+ [Flux de travail d'administration pour les applications utilisant IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Configuration d'une application Amazon Q Business à l'aide d'IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configurez Amazon Q Business avec la propagation d'identité fiable d'IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** : pour obtenir des conseils, consultez :
+ [Support de propagation d'identité fiable d'IAM Identity Center pour Amazon OpenSearch Service.](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)
+ [Interface OpenSearch utilisateur centralisée (tableaux de bord) avec Amazon OpenSearch Service.](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)
+ **AWS Transfer Family**- pour obtenir des conseils, voir :
+ [Applications Web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Cas d'utilisation de l'analytique, du data lakehouse et de l'apprentissage automatique](#tip-data-analytic-usecases-overview)
+ [Cas d'utilisation supplémentaires](#tip-additional-usecases)
+ [Propagation d'identité fiable avec Amazon Redshift](tip-usecase-redshift.md)
+ [Propagation d'identité fiable avec Amazon EMR](tip-usecase-emr.md)
+ [Propagation d'identité fiable avec Amazon Athena](tip-usecase-ate.md)
+ [Propagation d'identité fiable avec Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagation d'identité fiable avec Amazon Redshift
Les étapes à suivre pour activer la propagation fiable des identités varient selon que vos utilisateurs interagissent avec des applications AWS gérées ou des applications gérées par le client. Le schéma suivant montre une configuration de propagation d'identité fiable pour les applications orientées client ( AWS gérées ou externes) qui interrogent les données Amazon Redshift avec un contrôle d'accès fourni soit par Amazon Redshift, soit par des services d'autorisation, tels qu'Amazon S3. AWS AWS Lake Formation Access Grants
![\[Schéma de propagation d'identités fiables à l'aide d'Amazon Redshift, Quick, Lake Formation et IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Lorsque la propagation fiable des identités vers Amazon Redshift est activée, les administrateurs de Redshift peuvent configurer Redshift pour [créer automatiquement des rôles pour IAM Identity Center en tant que fournisseur d'identité, associer les rôles](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) Redshift aux groupes d'IAM Identity Center et utiliser le contrôle d'accès basé sur les rôles Redshift pour accorder l'accès.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Applications destinées aux clients prises en charge
**AWS applications gérées**
Les applications AWS gérées orientées client suivantes prennent en charge la propagation fiable des identités vers Amazon Redshift :
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Rapide](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**Note**
Si vous utilisez Amazon Redshift Spectrum pour accéder à des bases de données ou à des tables AWS Glue Data Catalog externes, pensez [à configurer Lake](tip-tutorial-lf.md) Formation [et Amazon Access Grants](tip-tutorial-s3.md) S3 pour fournir un contrôle d'accès précis.
**Applications gérées par le client**
Les applications gérées par le client suivantes prennent en charge la propagation fiable des identités vers Amazon Redshift :
+ **Tableau**y Tableau Desktop compris TableauServer, et Tableau Prep
+ Pour permettre aux utilisateurs de propager des identités de manière fiableTableau, consultez la section [Intégrer Tableau et Okta utiliser Amazon Redshift à l'aide d'IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) sur le blog *AWS Big Data*.
+ **Clients SQL** (DBeaveretDBVisualizer)
+ *Pour permettre une propagation d'identité fiable pour les utilisateurs de clients SQL (DBeaveretDBVisualizer), consultez la section [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et le client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *
# Configuration d'une propagation d'identité fiable avec Amazon Redshift Query Editor V2
La procédure suivante explique comment assurer une propagation d'identité fiable depuis Amazon Redshift Query Editor V2 vers Amazon Redshift.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
L'activation de la propagation fiable des identités inclut les tâches effectuées par un administrateur IAM Identity Center dans la console IAM Identity Center et les tâches effectuées par un administrateur Amazon Redshift dans la console Amazon Redshift.
## Tâches effectuées par l'administrateur de l'IAM Identity Center
Les tâches suivantes devaient être effectuées par l'administrateur de l'IAM Identity Center :
1. **Créez un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** dans le compte où se trouve le cluster Amazon Redshift ou l'instance Serverless avec la politique d'autorisation suivante. Pour plus d'informations, consultez la section [Création d'un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Les exemples de politique suivants incluent les autorisations nécessaires pour terminer ce didacticiel. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Politique d'autorisation :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Politique de confiance :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Créez un ensemble d'autorisations** dans le compte AWS Organizations de gestion sur lequel IAM Identity Center est activé. Vous l'utiliserez à l'étape suivante pour autoriser les utilisateurs fédérés à accéder à Redshift Query Editor V2.
1. **Accédez à la console **IAM Identity Center**, sous Autorisations **multi-comptes, choisissez Ensembles d'autorisations**.**
1. Choisissez **Create permission set (Créer un jeu d'autorisations)**.
1. Choisissez **Ensemble d'autorisations personnalisé**, puis cliquez sur **Suivant**.
1. Dans **Politiques AWS gérées**, sélectionnez **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Sous **Stratégie intégrée**, ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Sélectionnez **Suivant**, puis attribuez un nom au nom de l'ensemble d'autorisations. Par exemple, **Redshift-Query-Editor-V2**.
1. Sous **État du relais — facultatif**, définissez l'état du relais par défaut sur l'URL de l'éditeur de requêtes V2, en utilisant le format :`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Vérifiez les paramètres et choisissez **Créer**.
1. Accédez au tableau de bord du centre d'identité IAM et copiez l'URL du portail AWS d'accès depuis la section **Récapitulatif des paramètres**.
![\[Étape i, Copier AWS l'URL du portail d'accès depuis la console IAM Identity Center.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Ouvrez une nouvelle fenêtre de navigation privée et collez l'URL.
Cela vous redirigera vers votre portail AWS d'accès, garantissant que vous vous connectez avec un utilisateur d'IAM Identity Center.
![\[Étape j, Connectez-vous pour AWS accéder au portail.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Pour plus d'informations sur l'ensemble d'autorisations, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md).
1. **Permettez aux utilisateurs fédérés d'accéder à Redshift Query** Editor V2.
1. Dans le compte AWS Organizations de gestion, ouvrez la console **IAM Identity Center**.
1. Dans le volet de navigation, sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.
1. Sur la Comptes AWS page, sélectionnez Compte AWS celui auquel vous souhaitez attribuer l'accès.
1. Choisissez **Attribuer des utilisateurs ou des groupes**.
1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez les utilisateurs et/ou les groupes pour lesquels vous souhaitez créer l'ensemble d'autorisations. Ensuite, choisissez **Suivant**.
1. Sur la page **Attribuer des ensembles d'autorisations**, choisissez le jeu d'autorisations que vous avez créé à l'étape précédente. Ensuite, choisissez **Suivant**.
1. Sur la page **Réviser et soumettre les devoirs**, passez en revue vos sélections et choisissez **Soumettre**.
## Tâches effectuées par un administrateur Amazon Redshift
Pour permettre une propagation d'identité fiable vers Amazon Redshift, un administrateur de cluster Amazon Redshift ou un administrateur Amazon Redshift Serverless doit effectuer un certain nombre de tâches dans la console Amazon Redshift. *Pour plus d'informations, consultez [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et au client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *
# Propagation d'identité fiable avec Amazon EMR
Le schéma suivant montre une configuration de propagation d'identité fiable pour Amazon EMR Studio à l'aide d'Amazon EMR sur Amazon EC2 avec un contrôle d'accès fourni par Amazon S3. AWS Lake Formation Access Grants
![\[Schéma de propagation d'identités fiables à l'aide d'Amazon EMR, de Lake Formation et d'IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Applications destinées aux clients prises en charge**
+ Amazon EMR Studio
**Pour activer la propagation d'identités fiables, procédez comme suit :**
+ [Configurez Amazon EMR](setting-up-tip-emr.md) en Studio tant qu'application orientée client pour le cluster Amazon EMR.
+ Configurez le [cluster Amazon EMR sur Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) avec. Apache Spark
+ *Recommandé* : [AWS Lake Formation](tip-tutorial-lf.md)et [Amazon S3 Access Grants](tip-tutorial-s3.md) pour fournir un contrôle d'accès précis AWS Glue Data Catalog et des emplacements de données sous-jacents dans S3.
# Configuration d'une propagation d'identité fiable avec Amazon EMR Studio
La procédure suivante explique comment configurer Amazon EMR Studio pour une propagation d'identité fiable dans les requêtes adressées à un groupe de travail Amazon Athena ou à un cluster Amazon EMR en cours d'exécution. Apache Spark
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
Pour terminer la configuration de la propagation d'identité sécurisée depuis Amazon EMR Studio, l'administrateur d'EMR Studio doit effectuer les étapes suivantes.
## Étape 1. Création des rôles IAM requis pour EMR Studio
Au cours de cette étape, l'Studioadministrateur Amazon EMR crée un rôle de service IAM et un rôle d'utilisateur IAM pour EMR. Studio
1. **[Création d'un rôle de service EMR Studio : EMR Studio assume ce rôle](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM pour gérer en toute sécurité les espaces de travail et les blocs-notes, se connecter aux clusters et gérer les interactions de données.
1. Accédez à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) et créez un rôle IAM.
1. Sélectionnez **Service AWS**comme entité de confiance, puis choisissez **Amazon EMR**. Joignez les politiques suivantes pour définir les autorisations et la relation de confiance du rôle.
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Pour une référence de toutes les autorisations de rôle de service, voir Autorisations de [rôle de service EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Créez un rôle utilisateur EMR Studio pour l'authentification IAM Identity Center :](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** EMR Studio assume ce rôle lorsqu'un utilisateur se connecte via IAM Identity Center pour gérer des espaces de travail, des clusters EMR, des jobs et des référentiels git. **Ce rôle est utilisé pour lancer le flux de travail de propagation des identités fiables**.
**Note**
Le rôle d'utilisateur EMR Studio n'a pas besoin d'inclure d'autorisations pour accéder aux emplacements Amazon S3 des tables dans AWS Glue Catalog. AWS Lake Formation les autorisations et les emplacements enregistrés des lacs seront utilisés pour recevoir des autorisations temporaires.
L'exemple de politique suivant peut être utilisé dans un rôle permettant à un utilisateur d'EMR Studio d'utiliser les groupes de travail Athena pour exécuter des requêtes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
La politique de confiance suivante permet à EMR Studio d'assumer ce rôle :
**Note**
Des autorisations supplémentaires sont nécessaires pour exploiter les espaces de travail EMR Studio et les Notebooks EMR. Voir [Créer des politiques d'autorisation pour les utilisateurs d'EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) pour plus d'informations.
**Vous trouverez de plus amples informations à l'aide des liens suivants :**
+ [Définir des autorisations IAM personnalisées à l’aide de politiques gérées par le client](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Autorisations relatives aux rôles du service EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Étape 2. Créez et configurez votre studio EMR
Au cours de cette étape, vous allez créer un Amazon EMR Studio dans la console EMR Studio et utiliser les rôles IAM que vous y avez créés. [Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1)
1. Accédez à la console EMR Studio, sélectionnez **Create Studio** et l'option **Configuration personnalisée**. Vous pouvez créer un nouveau compartiment S3 ou utiliser un compartiment existant. Vous pouvez cocher la case pour **chiffrer les fichiers de l'espace de travail avec vos propres clés KMS**. Pour de plus amples informations, veuillez consulter [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Étape 1 Créez EMR Studio dans la console EMR.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Sous **Rôle de service pour permettre à Studio d'accéder à vos ressources**, sélectionnez le rôle [Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1) de service créé dans le menu.
1. Choisissez **IAM Identity Center** sous **Authentification**. Sélectionnez le rôle d'utilisateur créé dans[Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1).
![\[Étape 3 Créez EMR Studio dans la console EMR, en sélectionnant IAM Identity Center comme méthode d'authentification.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Cochez la case **Propagation d'identité fiable**. Choisissez **Uniquement les utilisateurs et les groupes assignés** dans la section Accès aux applications, ce qui vous permettra de n'autoriser que les utilisateurs et les groupes autorisés à accéder à ce studio.
1. *(Facultatif)* - Vous pouvez configurer le VPC et le sous-réseau si vous utilisez ce studio avec des clusters EMR.
![\[Étape 4 Créez EMR Studio dans la console EMR, en sélectionnant les paramètres réseau et de sécurité.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Vérifiez tous les détails et sélectionnez **Create Studio**.
1. Après avoir configuré un cluster Athena WorkGroup ou EMR, connectez-vous à l'URL du Studio pour :
1. Exécutez des requêtes Athena avec l'éditeur de requêtes.
1. Exécutez des tâches Spark dans l'espace de travail à l'aide du Jupyter bloc-notes.
# Propagation d'identité fiable avec Amazon Athena
Les étapes à suivre pour activer la propagation fiable des identités varient selon que vos utilisateurs interagissent avec des applications AWS gérées ou des applications gérées par le client. Le schéma suivant montre une configuration de propagation d'identité fiable pour les applications orientées client ( AWS gérées ou externes) qui utilisent Amazon Athena pour AWS interroger les données Amazon S3 avec un contrôle d'accès fourni par Amazon S3 et AWS Lake Formation Amazon S3. Access Grants
**Note**
La propagation fiable des identités avec Amazon Athena nécessite l'utilisation de Trino.
Les clients Apache Spark et SQL connectés à Amazon Athena via les pilotes ODBC et JDBC ne sont pas pris en charge.
![\[Schéma de propagation d'identités fiables à l'aide d'Athena, Amazon EMR, Lake Formation et IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS applications gérées**
L'application AWS gérée orientée client suivante prend en charge la propagation sécurisée des identités avec Athena :
+ Amazon EMR Studio
**Pour activer la propagation d'identités fiables, procédez comme suit :**
+ [Configurez Amazon EMR](setting-up-tip-emr.md) en Studio tant qu'application orientée client pour Athena. L'éditeur de requêtes d'EMR Studio est nécessaire pour exécuter les requêtes Athena lorsque la propagation sécurisée des identités est activée.
+ [Configurez le groupe de travail Athena](setting-up-tip-ate.md).
+ [Configurez AWS Lake Formation](tip-tutorial-lf.md) pour activer un contrôle d'accès précis pour les AWS Glue tables en fonction de l'utilisateur ou du groupe dans IAM Identity Center.
+ [Configurez Amazon S3 Access Grants](tip-tutorial-s3.md) pour permettre un accès temporaire aux emplacements de données sous-jacents dans S3.
**Note**
Lake Formation et Amazon S3 Access Grants sont tous deux requis pour le contrôle d'accès aux résultats des requêtes Athena AWS Glue Data Catalog et pour ceux-ci dans Amazon S3.
**Applications gérées par le client**
*Pour activer la propagation d'identité fiable pour les utilisateurs d'*applications développées sur mesure*, reportez-vous à la section [Accès Services AWS par programmation à l'aide de la propagation d'identité sécurisée](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) dans le blog sur la AWS sécurité.*
# Configuration d'une propagation d'identité fiable avec les groupes de travail Amazon Athena
La procédure suivante explique comment configurer les groupes de travail Amazon Athena pour une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
1. Cette configuration nécessite [Amazon EMR Studio](setting-up-tip-emr.md) et [Amazon S3 Access](tip-tutorial-s3.md) Grants. [AWS Lake Formation](tip-tutorial-lf.md)
## Configuration d'une propagation d'identité fiable avec Athena
Pour configurer la propagation sécurisée des identités avec Athena, l'administrateur d'Athena doit :
1. Passez en revue [les considérations et les limites liées à l'utilisation des groupes de travail Athena compatibles avec IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Créez un groupe de travail Athena compatible avec IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagation d'identité fiable avec Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) s'intègre à IAM Identity Center et prend en charge les [sessions d'arrière-plan des utilisateurs](user-background-sessions.md) et la propagation d'identités fiables. Les sessions utilisateur en arrière-plan permettent à un utilisateur de lancer une tâche de longue durée sur SageMaker Studio, sans qu'il soit obligé de rester connecté pendant l'exécution de la tâche. La tâche s'exécute immédiatement et en arrière-plan, en utilisant les autorisations de l'utilisateur à l'origine de la tâche. La tâche peut continuer à s'exécuter même si l'utilisateur éteint son ordinateur, si sa session de connexion à IAM Identity Center expire ou s'il se déconnecte du portail d' AWS accès. La durée de session par défaut pour les sessions d'arrière-plan des utilisateurs est de 7 jours, mais vous pouvez spécifier une durée maximale de 90 jours. La propagation fiable des identités permet de fournir un accès précis à des AWS ressources telles que les compartiments Amazon S3 en fonction de l'identité de l'utilisateur ou de son appartenance à un groupe.
Le schéma suivant montre une configuration de propagation d'identité fiable pour SageMaker Studio, avec accès aux données stockées dans un compartiment Amazon S3. Les sessions d'arrière-plan utilisateur sont activées pour IAM Identity Center, ce qui permet à la tâche de formation SageMaker Studio de s'exécuter en arrière-plan. Le contrôle d'accès aux données d'entraînement est fourni par Amazon S3Access Grants.
![\[Schéma de propagation d'identités fiables pour SageMaker Studio, avec une tâche de formation SageMaker Studio exécutée dans le cadre d'une session d'arrière-plan utilisateur et un accès aux données de formation dans Amazon S3 fournies par Amazon S3Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS application gérée**
L'application AWS gérée orientée client suivante prend en charge la propagation d'identités fiables :
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Pour activer la propagation d'identité fiable et les sessions d'arrière-plan des utilisateurs, procédez comme suit :**
+ [Configurez SageMaker Studio en tant qu'application orientée client.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configurez Amazon S3 Access Grants](tip-tutorial-s3.md) pour permettre un accès temporaire aux emplacements de données sous-jacents dans Amazon S3.
# Configuration d'une propagation d'identité fiable avec SageMaker Studio
La procédure suivante explique comment configurer SageMaker Studio pour une propagation d'identité fiable et des sessions d'arrière-plan utilisateur.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez effectuer les tâches suivantes :
1. [Activez IAM Identity Center](enable-identity-center.md). Une instance d'organisation est requise. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
1. [Vérifiez que les sessions d'arrière-plan des utilisateurs sont activées](user-background-sessions.md) dans la console IAM Identity Center. Par défaut, les sessions utilisateur en arrière-plan sont activées et leur durée est fixée à 7 jours. Vous pouvez modifier cette durée.
Pour configurer une propagation d'identité fiable depuis SageMaker Studio, l'administrateur de SageMaker Studio doit effectuer les étapes suivantes.
## Étape 1 : activer la propagation d'identités fiables dans un domaine SageMaker Studio nouveau ou existant
SageMaker Studio utilise des domaines pour organiser les profils utilisateur, les applications et les ressources associées. Pour activer la propagation d'identités fiables, vous devez créer un domaine SageMaker Studio ou modifier un domaine existant comme décrit dans la procédure suivante.
1. Ouvrez la console SageMaker AI, accédez à **Domains** et effectuez l'une des opérations suivantes.
+ **Créez un nouveau domaine SageMaker Studio à l'aide de [Configuration pour les organisations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Choisissez **Configurer pour les organisations**, puis procédez comme suit :
+ Choisissez **AWS Identity Center** comme méthode d'authentification.
+ Cochez la case **Activer la propagation d'identités fiables pour tous les utilisateurs de ce domaine**.
+ **Modifiez un domaine SageMaker Studio existant.**
+ Sélectionnez un domaine existant qui utilise IAM Identity Center pour l'authentification.
**Important**
La propagation d'identités fiables n'est prise en charge que dans les domaines SageMaker Studio qui utilisent IAM Identity Center pour l'authentification. Si le domaine utilise IAM pour l'authentification, vous ne pouvez pas modifier la méthode d'authentification et, par conséquent, vous ne pouvez pas activer la propagation d'identité fiable.
+ [Modifiez les paramètres du domaine](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Modifiez les paramètres **d'authentification et d'autorisation** pour activer la propagation d'identités fiables.
1. Passez à l'[étape 2 : configurer le rôle d'exécution du domaine par défaut](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Ce rôle est requis pour que les utilisateurs d'un domaine SageMaker Studio puissent accéder à d'autres AWS services tels qu'Amazon S3.
## Étape 2 : Configuration du rôle d'exécution du domaine par défaut et de la politique de confiance des rôles
Un *rôle d'exécution de domaine* est un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) qu'un domaine SageMaker Studio assume au nom de tous les utilisateurs du domaine. Les autorisations que vous attribuez à ce rôle déterminent les actions que SageMaker Studio peut effectuer.
1. Pour créer ou sélectionner un rôle d'exécution de domaine, effectuez l'une des opérations suivantes :
+ **Créez ou sélectionnez un rôle à l'aide de [Configuration pour les organisations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Ouvrez la console SageMaker AI et suivez les instructions de la console à l'**étape 2 : Configurer les rôles et les activités** de machine learning pour créer un nouveau rôle d'exécution de domaine ou sélectionner un rôle existant.
+ Effectuez le reste des étapes de configuration pour créer votre domaine SageMaker Studio.
+ **Créez un rôle d'exécution manuellement.**
+ Ouvrez la console IAM et [créez vous-même le rôle d'exécution](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Mettez à jour la politique de confiance](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) attachée au rôle d'exécution du domaine afin qu'elle inclue les deux actions suivantes : [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)et [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Pour plus d'informations sur la façon de trouver le rôle d'exécution pour votre domaine SageMaker Studio, voir [Obtenir le rôle d'exécution du domaine](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Une *politique de confiance* spécifie l'identité qui peut assumer un rôle. Cette politique est requise pour permettre au service SageMaker Studio d'assumer le rôle d'exécution du domaine. Ajoutez ces deux actions afin qu'elles apparaissent comme suit dans votre politique.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Étape 3 : vérifier les autorisations Amazon S3 Access Grant requises pour le rôle d'exécution du domaine
Pour utiliser Amazon S3 Access Grants, vous devez avoir une politique d'autorisation attachée (sous forme de politique intégrée ou de politique gérée par le client) à votre rôle d'exécution de domaine SageMaker Studio contenant les autorisations suivantes.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Si aucune politique ne contient ces autorisations, suivez les instructions de la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
## Étape 4 : Attribuer des groupes et des utilisateurs au domaine
Attribuez des groupes et des utilisateurs au domaine SageMaker Studio en suivant les étapes décrites dans [Ajouter des groupes et des utilisateurs](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Étape 5 : configurer les autorisations d'accès Amazon S3
Pour configurer les subventions d'accès Amazon S3, suivez les étapes décrites dans [Configuration des subventions d'accès Amazon S3 pour une propagation d'identité fiable via IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Suivez les step-by-step instructions pour effectuer les tâches suivantes :
1. Créez une instance Amazon S3 Access Grants.
1. Enregistrez un emplacement dans cette instance.
1. Créez des autorisations pour permettre à des utilisateurs ou à des groupes spécifiques de l'IAM Identity Center d'accéder à des emplacements ou à des sous-ensembles Amazon S3 désignés (par exemple, des préfixes spécifiques) au sein de ces sites.
## Étape 6 : Soumettre un projet de SageMaker formation et consulter les détails de la session d'arrière-plan de l'utilisateur
Dans SageMaker Studio, lancez un nouveau bloc-notes Jupyter et soumettez une tâche de formation. Pendant l'exécution de la tâche, effectuez les étapes suivantes pour afficher les informations de session et vérifier que le contexte de session d'arrière-plan de l'utilisateur est actif.
1. Ouvrez la console IAM Identity Center.
1. Choisissez **Utilisateurs**.
1. Sur la page **Utilisateurs**, choisissez le nom d'utilisateur de l'utilisateur dont vous souhaitez gérer les sessions. Cela vous amène à une page contenant les informations de l'utilisateur.
1. Sur la page de l'utilisateur, choisissez l'onglet **Sessions actives**. Le nombre entre parenthèses à côté de **Sessions actives** indique le nombre de sessions actives pour cet utilisateur.
1. Pour rechercher des sessions par le nom de ressource Amazon (ARN) de la tâche qui utilise la session, dans la liste des **types de session**, choisissez **Sessions d'arrière-plan utilisateur**, puis entrez l'ARN de la tâche dans le champ de recherche.
Voici un exemple de la façon dont une tâche de formation utilisant une session d'arrière-plan utilisateur apparaît dans l'onglet **Sessions actives** d'un utilisateur.
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Étape 7 : Afficher les CloudTrail journaux pour vérifier la propagation fiable de l'identité dans CloudTrail
Lorsque la propagation d'identités fiables est activée, les actions apparaissent dans les journaux d' CloudTrail événements situés sous l'`onBehalfOf`élément. Le `userId` reflète l'ID de l'utilisateur de l'IAM Identity Center qui a initié la tâche de formation. L' CloudTrail événement suivant capture le processus de propagation d'identités fiables.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considérations relatives à l’exécution
Si un administrateur définit **MaxRuntimeInSeconds**des tâches de formation ou de traitement de longue durée inférieures à la durée de la session d'arrière-plan de l'utilisateur, SageMaker Studio exécute le travail pendant la durée minimale de la session d'arrière-plan de l'utilisateur **MaxRuntimeInSeconds **ou pendant la durée minimale de la session d'arrière-plan de l'utilisateur.
Pour plus d'informations **MaxRuntimeInSeconds**, consultez les instructions relatives au `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)paramètre dans le *Amazon SageMaker API Reference*.
# Services d'autorisation
Dans tous les [cas d'utilisation d'Analytics et de data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), vous pouvez obtenir des contrôles d'accès précis en utilisant :
+ AWS Lake Formation - pour obtenir des conseils, voir[Configuration AWS Lake Formation avec IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants : pour obtenir des conseils, consultez[Configuration des subventions d'accès Amazon S3 avec IAM Identity Center](tip-tutorial-s3.md).
# Configuration AWS Lake Formation avec IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)est un service géré qui simplifie la création et la gestion de lacs de données sur AWS. Il automatise la collecte, le catalogage et la sécurité des données, en fournissant un référentiel centralisé pour le stockage et l'analyse de différents types de données. Lake Formation propose des contrôles d'accès précis et s'intègre à divers services AWS d'analyse, permettant aux entreprises de configurer, de sécuriser et d'extraire efficacement des informations de leurs lacs de données.
Suivez ces étapes pour permettre à Lake Formation d'accorder des autorisations de données en fonction de l'identité de l'utilisateur à l'aide d'IAM Identity Center et d'une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
+ [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
## Étapes pour configurer une propagation d'identité fiable
1. **Intégrez IAM Identity Center** en AWS Lake Formation suivant les instructions de la section [Connecting Lake Formation with IAM Identity](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) Center.
**Important**
**Si vous ne disposez pas de AWS Glue Data Catalog tables**, vous devez les créer afin de les utiliser AWS Lake Formation pour accorder l'accès aux utilisateurs et aux groupes IAM Identity Center. Voir [Création d'objets dans AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) pour plus d'informations.
1. **Enregistrez les emplacements des lacs de données**.
[Enregistrez les emplacements S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) où les données des tables Glue sont stockées. Lake Formation fournira ainsi un accès temporaire aux emplacements S3 requis lorsque les tables sont demandées, éliminant ainsi le besoin d'inclure des autorisations S3 dans le rôle de service (par exemple, le rôle de service Athena configuré sur le). WorkGroup
1. Accédez aux **emplacements des lacs de données** dans la section **Administration** du volet de navigation de la AWS Lake Formation console. Sélectionnez **Enregistrer l'emplacement**.
Cela permettra à Lake Formation de fournir des informations d'identification IAM temporaires avec les autorisations nécessaires pour accéder aux emplacements de données S3.
![\[Étape 1 Enregistrez l'emplacement du lac de données dans la console Lake Formation.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Entrez le chemin S3 des emplacements de données des AWS Glue tables dans le champ **Amazon S3 path**.
1. Dans la section **Rôle IAM**, ne sélectionnez pas le rôle lié au service si vous souhaitez l'utiliser dans le cadre d'une propagation d'identité sécurisée. Créez un rôle distinct avec les autorisations suivantes.
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). La politique d'autorisation doit accorder l'accès à l'emplacement S3 spécifié dans le chemin :
1. **Politique d'autorisation** :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relation de confiance** : Cela devrait inclure `sts:SectContext` ce qui est nécessaire pour la propagation d'une identité fiable.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**Note**
Le rôle IAM créé par l'assistant est un rôle lié à un service et n'inclut pas. `sts:SetContext`
1. Après avoir créé le rôle IAM, sélectionnez **Enregistrer l'emplacement**.
## Propagation d'identité fiable grâce à Lake Formation Comptes AWS
AWS Lake Formation prend en charge l'utilisation de [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) pour partager des tables entre elles Comptes AWS et fonctionne avec une propagation d'identité fiable lorsque le compte du donateur et le compte du bénéficiaire se trouvent dans la même AWS Organizations instance organisationnelle d'IAM Identity Center. Région AWS Voir [Partage de données entre comptes dans Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html) pour plus d'informations.
# Configuration des subventions d'accès Amazon S3 avec IAM Identity Center
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) offre la flexibilité nécessaire pour accorder un contrôle d'accès précis basé sur l'identité aux sites S3. Vous pouvez utiliser Amazon S3 Access Grants pour accorder l'accès au compartiment Amazon S3 directement aux utilisateurs et aux groupes de votre entreprise. Suivez ces étapes pour activer S3 Access Grants avec IAM Identity Center et obtenir une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
+ [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
## Configuration des autorisations d'accès S3 pour une propagation d'identité fiable via IAM Identity Center
**Si vous possédez déjà une Access Grants instance Amazon S3 avec un emplacement enregistré, procédez comme suit :**
1. [Associez votre instance IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Créez une subvention](#tip-tutorial-s3-create-grant).
**Si vous n'avez pas Access Grants encore créé d'Amazon S3, procédez comme suit :**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) : vous pouvez créer une Access Grants instance S3 par Région AWS. Lorsque vous créez l'Access Grantsinstance S3, assurez-vous de cocher la case **Ajouter une instance IAM Identity Center** et de fournir l'ARN de votre instance IAM Identity Center. Sélectionnez **Suivant**.
L'image suivante montre la page Créer une Access Grants instance S3 dans la Access Grants console Amazon S3 :
![\[Créez une page d'Access Grantsinstance S3 dans la console S3 Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Enregistrer un emplacement** - Après avoir créé et [créé une Access Grants instance Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Région AWS dans un compte, vous [enregistrez un emplacement S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) dans cette instance. Un Access Grants emplacement S3 associe la région S3 par défaut (`S3://`), un compartiment ou un préfixe à un rôle IAM. S3 Access Grants assume ce rôle Amazon S3 pour vendre des informations d'identification temporaires au bénéficiaire qui accède à cet emplacement particulier. Vous devez d'abord enregistrer au moins un emplacement dans votre Access Grants instance S3 avant de pouvoir créer une autorisation d'accès.
Pour l'**étendue de localisation**`s3://`, spécifiez, qui inclut tous vos compartiments de cette région. Il s'agit de l'étendue de localisation recommandée pour la plupart des cas d'utilisation. Si vous avez un cas d'utilisation de gestion avancée des accès, vous pouvez définir l'étendue de localisation en fonction d'un compartiment `s3://bucket` ou d'un préfixe spécifique au sein d'un compartiment`s3://bucket/prefix-with-path`. Pour plus d'informations, consultez [Enregistrer un emplacement](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
**Note**
Assurez-vous que les emplacements S3 des AWS Glue tables auxquelles vous souhaitez accorder l'accès sont inclus dans ce chemin.
La procédure vous oblige à configurer un rôle IAM pour l'emplacement. Ce rôle doit inclure les autorisations d'accès à la zone de localisation. Vous pouvez utiliser l'assistant de console S3 pour créer le rôle. Vous devez spécifier l'ARN de votre Access Grants instance S3 dans les politiques relatives à ce rôle IAM. La valeur par défaut de l'ARN de votre Access Grants instance S3 est`arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
L'exemple de politique d'autorisation suivant donne à Amazon S3 des autorisations pour le rôle IAM que vous avez créé. Et l'exemple de politique de confiance qui suit permet au principal du Access Grants service S3 d'assumer le rôle IAM.
1. **Stratégie d'autorisation**
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Politique d’approbation**
Dans la politique de confiance du rôle IAM, accordez au service S3 Access Grants (`access-grants.s3.amazonaws.com`) l’accès au rôle IAM que vous avez créé. Pour ce faire, vous pouvez créer un fichier JSON contenant les instructions suivantes. Pour ajouter la politique d’approbation à votre compte, consultez [Création d’un rôle à l’aide de politiques d’approbation personnalisées](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Création d'une subvention d'accès Amazon S3
Si vous possédez une Access Grants instance Amazon S3 avec un emplacement enregistré et que vous y avez associé votre instance IAM Identity Center, vous pouvez [créer une subvention](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). Sur la page **Create Grant** de la console S3, procédez comme suit :
**Créer un octroi**
1. Sélectionnez l'emplacement créé à l'étape précédente. Vous pouvez réduire la portée de la subvention en ajoutant un sous-préfixe. Le sous-préfixe peut être un `bucket``bucket/prefix`, ou un objet du compartiment. Pour plus d'informations, consultez la section [Sous-préfixe](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
1. Sous **Autorisations et accès**, sélectionnez **Lire** et/ou **Écrire** en fonction de vos besoins.
1. Dans **Type Granter**, choisissez **Directory Identity form IAM Identity** Center.
1. Indiquez l'**ID d'utilisateur ou de groupe** IAM Identity Center. Vous trouverez l'utilisateur et le groupe IDs dans les [sections **Utilisateur** et **Groupe**](howtoviewandchangepermissionset.md) de la console IAM Identity Center. Sélectionnez **Suivant**.
1. Sur la page **Révision et finition**, passez en revue les paramètres du S3, Access Grant puis sélectionnez **Create Grant**.
L'image suivante montre la page Create Grant dans la Access Grants console Amazon S3 :
![\[Créez une page de subvention dans la console Amazon S3 Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)