Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) terintegrasi dengan IAM Identity Center, dan mendukung [sesi latar belakang pengguna](user-background-sessions.md) dan propagasi identitas tepercaya. Sesi latar belakang pengguna memungkinkan pengguna untuk memulai pekerjaan yang berjalan lama di SageMaker Studio, tanpa pengguna tersebut harus tetap masuk saat pekerjaan berjalan. Pekerjaan berjalan segera dan di latar belakang, menggunakan izin pengguna yang memulai pekerjaan. Pekerjaan dapat terus berjalan bahkan jika pengguna mematikan komputer mereka, sesi masuk Pusat Identitas IAM mereka kedaluwarsa, atau pengguna keluar dari portal akses. AWS Durasi sesi default untuk sesi latar belakang pengguna adalah 7 hari, tetapi Anda dapat menentukan durasi maksimum 90 hari. Propagasi identitas tepercaya memungkinkan akses berbutir halus diberikan ke AWS sumber daya seperti bucket Amazon S3 berdasarkan identitas pengguna atau keanggotaan grup.
Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk SageMaker Studio, dengan akses ke data yang disimpan dalam bucket Amazon S3. Sesi latar belakang pengguna diaktifkan untuk IAM Identity Center, yang memungkinkan pekerjaan pelatihan SageMaker Studio berjalan di latar belakang. Kontrol akses untuk data pelatihan disediakan oleh Amazon S3Access Grants.
![\[Diagram propagasi identitas tepercaya untuk SageMaker Studio, dengan pekerjaan pelatihan SageMaker Studio berjalan di sesi latar belakang pengguna, dan akses ke data pelatihan di Amazon S3 yang disediakan oleh Amazon S3. Access Grants\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya:
+ [ SageMaker Studio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Untuk mengaktifkan propagasi identitas tepercaya dan sesi latar belakang pengguna, ikuti langkah-langkah berikut:**
+ [Siapkan SageMaker Studio sebagai aplikasi yang menghadap klien.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di Amazon S3.
# Menyiapkan propagasi identitas tepercaya dengan Studio SageMaker
Prosedur berikut memandu Anda melalui pengaturan SageMaker Studio untuk propagasi identitas tepercaya dan sesi latar belakang pengguna.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus menyelesaikan tugas-tugas berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). Sebuah contoh organisasi diperlukan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
1. [Konfirmasikan bahwa sesi latar belakang pengguna diaktifkan](user-background-sessions.md) di konsol Pusat Identitas IAM. Secara default, sesi latar belakang pengguna diaktifkan dan durasi sesi diatur ke 7 hari. Anda dapat mengubah durasi ini.
Untuk menyiapkan propagasi identitas tepercaya dari SageMaker Studio, administrator SageMaker Studio harus melakukan langkah-langkah berikut.
## Langkah 1: Aktifkan propagasi identitas tepercaya di domain SageMaker Studio baru atau yang sudah ada
SageMaker Studio menggunakan domain untuk mengatur profil pengguna, aplikasi, dan sumber daya terkait. Untuk mengaktifkan propagasi identitas tepercaya, Anda harus membuat domain SageMaker Studio atau memodifikasi domain yang ada seperti yang dijelaskan dalam prosedur berikut.
1. Buka konsol SageMaker AI, navigasikan ke **Domain**, dan lakukan salah satu hal berikut.
+ **Buat domain SageMaker Studio baru dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Pilih **Siapkan untuk organisasi**, lalu lakukan hal berikut:
+ Pilih **Pusat AWS Identitas** sebagai metode otentikasi.
+ Pilih kotak centang **Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini**.
+ **Ubah domain SageMaker Studio yang ada.**
+ Pilih domain yang sudah ada yang menggunakan IAM Identity Center untuk autentikasi.
**penting**
Propagasi identitas tepercaya hanya didukung di domain SageMaker Studio yang menggunakan IAM Identity Center untuk autentikasi. Jika domain menggunakan IAM untuk otentikasi, Anda tidak dapat mengubah metode otentikasi, dan oleh karena itu Anda tidak dapat mengaktifkan propagasi identitas tepercaya.
+ [Edit pengaturan domain](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Edit pengaturan **Autentikasi dan izin** untuk mengaktifkan propagasi identitas tepercaya.
1. Lanjutkan ke [Langkah 2: Konfigurasikan peran eksekusi domain default](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Peran ini diperlukan bagi pengguna domain SageMaker Studio untuk mengakses AWS layanan lain seperti Amazon S3.
## Langkah 2: Konfigurasikan peran eksekusi domain default dan kebijakan kepercayaan peran
*Peran eksekusi domain adalah peran* [IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) yang diasumsikan oleh domain SageMaker Studio atas nama semua pengguna dalam domain. Izin yang Anda tetapkan untuk peran ini menentukan tindakan yang dapat dilakukan SageMaker Studio.
1. Untuk membuat atau memilih peran eksekusi domain, lakukan salah satu hal berikut:
+ **Buat atau pilih peran dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Buka konsol SageMaker AI dan ikuti panduan konsol di **Langkah 2: Konfigurasikan peran dan aktivitas ML** untuk membuat peran eksekusi domain baru atau memilih peran yang sudah ada.
+ Selesaikan langkah-langkah penyiapan lainnya untuk membuat domain SageMaker Studio Anda.
+ **Buat peran eksekusi secara manual.**
+ Buka konsol IAM dan [buat peran eksekusi sendiri](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Perbarui kebijakan kepercayaan](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) yang dilampirkan ke peran eksekusi domain sehingga mencakup dua tindakan berikut: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)dan [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Untuk informasi tentang cara menemukan peran eksekusi untuk domain SageMaker Studio Anda, lihat [Mendapatkan peran eksekusi domain](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
*Kebijakan kepercayaan* menentukan identitas yang dapat mengambil peran. Kebijakan ini diperlukan untuk mengizinkan layanan SageMaker Studio mengambil peran eksekusi domain. Tambahkan kedua tindakan ini sehingga muncul sebagai berikut dalam kebijakan Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Langkah 3: Verifikasi izin Amazon S3 Access Grant yang diperlukan untuk peran eksekusi domain
Untuk menggunakan Amazon S3 Access Grants, Anda harus memiliki kebijakan izin yang dilampirkan (baik sebagai kebijakan inline atau kebijakan terkelola pelanggan) ke peran eksekusi domain SageMaker Studio Anda yang berisi izin berikut.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
*Jika Anda tidak memiliki kebijakan yang berisi izin ini, ikuti petunjuk di [Menambahkan dan menghapus izin identitas IAM di Panduan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Pengguna.AWS Identity and Access Management *
## Langkah 4: Tetapkan grup dan pengguna ke domain
Tetapkan grup dan pengguna ke domain SageMaker Studio dengan mengikuti langkah-langkah di [Tambahkan grup dan pengguna](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Langkah 5: Siapkan Hibah Akses Amazon S3
Untuk menyiapkan Hibah Akses Amazon S3, ikuti langkah-langkah dalam Mengonfigurasi Hibah Akses [Amazon S3 untuk propagasi identitas tepercaya melalui Pusat Identitas](tip-tutorial-s3.md#tip-tutorial-s3-configure) IAM. Gunakan step-by-step instruksi untuk menyelesaikan tugas-tugas berikut:
1. Buat instance Amazon S3 Access Grants.
1. Daftarkan lokasi dalam contoh itu.
1. Buat hibah untuk memungkinkan pengguna atau grup Pusat Identitas IAM tertentu mengakses lokasi atau subset Amazon S3 yang ditentukan (misalnya, awalan tertentu) di dalam lokasi tersebut.
## Langkah 6: Kirim pekerjaan SageMaker pelatihan dan lihat detail sesi latar belakang pengguna
Di SageMaker Studio, luncurkan notebook Jupyter baru dan kirimkan pekerjaan pelatihan. Saat pekerjaan sedang berjalan, selesaikan langkah-langkah berikut untuk melihat informasi sesi dan untuk memverifikasi bahwa konteks sesi latar belakang pengguna aktif.
1. Buka konsol Pusat Identitas IAM.
1. Pilih **Pengguna**.
1. Pada halaman **Pengguna**, pilih nama pengguna pengguna yang sesinya ingin Anda kelola. Ini membawa Anda ke halaman dengan informasi pengguna.
1. Pada halaman pengguna, pilih tab **Sesi aktif**. Angka dalam tanda kurung di samping **sesi Aktif menunjukkan jumlah sesi** aktif untuk pengguna ini.
1. Untuk mencari sesi berdasarkan Nama Sumber Daya Amazon (ARN) dari pekerjaan yang menggunakan sesi, dalam daftar **Jenis sesi**, pilih Sesi **latar belakang pengguna**, lalu masukkan ARN pekerjaan di kotak pencarian.
Berikut ini adalah contoh bagaimana pekerjaan pelatihan yang menggunakan sesi latar belakang pengguna muncul di tab **sesi ctive** untuk pengguna.
![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Langkah 7: Lihat CloudTrail log untuk memverifikasi propagasi identitas tepercaya di CloudTrail
Saat propagasi identitas tepercaya diaktifkan, tindakan muncul di log CloudTrail peristiwa di bawah `onBehalfOf` elemen. Ini `userId` mencerminkan ID pengguna Pusat Identitas IAM yang memulai pekerjaan pelatihan. CloudTrail Peristiwa berikut menangkap proses propagasi identitas tepercaya.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Pertimbangan runtime
Jika administrator menetapkan pelatihan yang berjalan **MaxRuntimeInSeconds**lama atau memproses pekerjaan yang lebih rendah dari durasi sesi latar belakang pengguna, SageMaker Studio menjalankan pekerjaan untuk minimum salah satu **MaxRuntimeInSeconds **atau durasi sesi latar belakang pengguna.
Untuk informasi selengkapnya **MaxRuntimeInSeconds**, lihat panduan untuk `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parameter di *Referensi Amazon SageMaker API*.