Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Ikhtisar propagasi identitas tepercaya
Propagasi identitas tepercaya adalah fitur IAM Identity Center yang memungkinkan administrator Layanan AWS untuk memberikan izin berdasarkan atribut pengguna seperti asosiasi grup. Dengan propagasi identitas tepercaya, konteks identitas ditambahkan ke peran IAM untuk mengidentifikasi pengguna yang meminta akses ke sumber daya. AWS Konteks ini disebarkan ke yang lain Layanan AWS.
Konteks identitas terdiri dari informasi yang Layanan AWS digunakan untuk membuat keputusan otorisasi ketika mereka menerima permintaan akses. Informasi ini mencakup metadata yang mengidentifikasi pemohon (misalnya, pengguna Pusat Identitas IAM), Layanan AWS akses yang diminta (misalnya, Amazon Redshift), dan ruang lingkup akses (misalnya, akses baca saja). Penerima Layanan AWS menggunakan konteks ini, dan izin apa pun yang diberikan kepada pengguna, untuk mengotorisasi akses ke sumber dayanya.
## Manfaat propagasi identitas tepercaya
Propagasi identitas tepercaya memungkinkan administrator Layanan AWS untuk memberikan izin ke sumber daya, seperti data, menggunakan identitas perusahaan dari tenaga kerja Anda. Selain itu, mereka dapat mengaudit siapa yang mengakses data apa dengan melihat log layanan atau AWS CloudTrail. Jika Anda adalah administrator Pusat Identitas IAM, Anda mungkin diminta oleh Layanan AWS administrator lain untuk mengaktifkan propagasi identitas tepercaya.
## Mengaktifkan propagasi identitas tepercaya
Proses memungkinkan propagasi identitas tepercaya melibatkan dua langkah berikut:
1. **Aktifkan Pusat Identitas IAM dan hubungkan sumber identitas Anda yang ada ke IAM Identity Center** - Anda akan terus mengelola identitas tenaga kerja Anda di sumber identitas yang ada; menghubungkannya ke IAM Identity Center membuat referensi ke tenaga kerja Anda yang dapat dibagikan oleh semua orang dalam kasus penggunaan Anda. Layanan AWS Ini juga tersedia bagi pemilik data untuk digunakan dalam kasus penggunaan masa depan.
1. **Hubungkan Layanan AWS dalam kasus penggunaan Anda ke IAM Identity Center** - Administrator masing-masing Layanan AWS dalam kasus penggunaan propagasi identitas tepercaya mengikuti panduan dalam dokumentasi layanan masing-masing untuk menghubungkan layanan ke IAM Identity Center.
**catatan**
Jika kasus penggunaan Anda melibatkan *aplikasi *pihak ketiga* atau yang dikembangkan pelanggan*, Anda mengaktifkan propagasi identitas tepercaya dengan mengonfigurasi hubungan kepercayaan antara penyedia identitas yang mengautentikasi pengguna aplikasi dan Pusat Identitas IAM. Ini memungkinkan aplikasi Anda memanfaatkan aliran propagasi identitas tepercaya yang dijelaskan sebelumnya.
Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).
## Cara kerja propagasi identitas tepercaya
Diagram berikut menunjukkan alur kerja tingkat tinggi untuk propagasi identitas tepercaya:
![\[Alur kerja propagasi identitas tepercaya yang disederhanakan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Pengguna mengautentikasi dengan aplikasi yang menghadap klien, misalnya Cepat.
1. Aplikasi yang menghadap klien meminta akses untuk menggunakan data kueri dan menyertakan informasi tentang pengguna. Layanan AWS
**catatan**
Beberapa kasus penggunaan propagasi identitas tepercaya melibatkan alat yang berinteraksi dengan Layanan AWS menggunakan driver layanan. Anda dapat mengetahui apakah ini berlaku untuk kasus penggunaan Anda dalam [panduan kasus penggunaan](trustedidentitypropagation-integrations.md).
1. Layanan AWS Memverifikasi identitas pengguna dengan IAM Identity Center dan membandingkan atribut pengguna, seperti asosiasi grup mereka, dengan yang diperlukan untuk akses. Layanan AWS Mengotorisasi akses selama pengguna atau grup mereka memiliki izin yang diperlukan.
1. Layanan AWS dapat mencatat pengenal pengguna di AWS CloudTrail dan di log layanan mereka. Periksa dokumentasi layanan untuk detailnya.
Gambar berikut memberikan ikhtisar langkah-langkah yang dijelaskan sebelumnya dalam alur kerja propagasi identitas tepercaya:
![\[Alur kerja propagasi identitas tepercaya yang disederhanakan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Manfaat propagasi identitas tepercaya](#benefits-trusted-identity-propagation)
+ [Mengaktifkan propagasi identitas tepercaya](#enabling-tip)
+ [Cara kerja propagasi identitas tepercaya](#how-tip-works)
+ [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md)
+ [Kasus penggunaan propagasi identitas tepercaya](trustedidentitypropagation-integrations.md)
+ [Layanan otorisasi](authorization-services.md)
# Prasyarat dan pertimbangan
Sebelum Anda mengatur propagasi identitas tepercaya, tinjau prasyarat dan pertimbangan berikut.
**Topics**
+ [Prasyarat](#trustedidentitypropagation-prerequisites)
+ [Pertimbangan-pertimbangan](#trustedidentitypropagation-considerations)
+ [Pertimbangan untuk aplikasi yang dikelola pelanggan](#trustedidentitypropagation-customer-apps)
## Prasyarat
Untuk menggunakan propagasi identitas tepercaya, pastikan lingkungan Anda memenuhi prasyarat berikut:
+ Mengaktifkan dan menyediakan Pusat Identitas IAM
+ Untuk menggunakan propagasi identitas tepercaya, Anda harus mengaktifkan Pusat Identitas IAM di tempat yang sama Wilayah AWS di mana AWS aplikasi dan layanan yang akan diakses pengguna Anda diaktifkan. Untuk informasi, lihat [Aktifkan Pusat Identitas IAM](enable-identity-center.md).
+ Instance Organisasi Pusat Identitas IAM direkomendasikan - Kami menyarankan Anda menggunakan [instance organisasi](organization-instances-identity-center.md) Pusat Identitas IAM yang Anda aktifkan di akun manajemen. AWS Organizations Anda dapat [mendelegasikan administrasi](organization-instances-identity-center.md) instance organisasi IAM Identity Center ke akun anggota. Jika Anda memilih [instance akun](account-instances-identity-center.md) IAM Identity Center, semua Layanan AWS yang Anda ingin pengguna akses dengan propagasi identitas tepercaya harus berada di tempat yang sama di Akun AWS mana Anda mengaktifkan IAM Identity Center. Untuk informasi selengkapnya, lihat [Instans akun Pusat Identitas IAM](account-instances-identity-center.md).
+ Hubungkan penyedia identitas Anda yang ada ke IAM Identity Center dan berikan pengguna dan grup Anda ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md).
+ Hubungkan aplikasi dan layanan AWS terkelola dalam kasus penggunaan propagasi identitas tepercaya Anda ke IAM Identity Center. Untuk menggunakan propagasi identitas tepercaya, aplikasi yang AWS dikelola harus terhubung ke IAM Identity Center.
## Pertimbangan-pertimbangan
Ingatlah pertimbangan berikut saat mengonfigurasi dan menggunakan propagasi identitas tepercaya:
+ **Organisasi vs akun Instance dari IAM Identity Center**
+ [Instance organisasi](organization-instances-identity-center.md) IAM Identity Center akan memberi Anda kontrol dan fleksibilitas paling besar untuk mengembangkan kasus penggunaan Anda ke banyak Akun AWS, pengguna, dan Layanan AWS. Jika Anda tidak dapat menggunakan instans organisasi, kasus penggunaan Anda mungkin didukung dengan instans akun Pusat Identitas IAM. Untuk mempelajari selengkapnya tentang kasus penggunaan yang Layanan AWS mendukung instans akun Pusat Identitas IAM, lihat. [AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md)
+ **Izin multi-akun (set izin) tidak diperlukan**
+ Propagasi identitas tepercaya tidak mengharuskan Anda menyiapkan izin [multi-akun (set izin](manage-your-accounts.md)). Anda dapat mengaktifkan IAM Identity Center dan menggunakannya hanya untuk propagasi identitas tepercaya.
## Pertimbangan untuk aplikasi yang dikelola pelanggan
Tenaga kerja Anda dapat memperoleh manfaat dari propagasi identitas tepercaya bahkan jika pengguna Anda berinteraksi dengan aplikasi yang menghadap klien yang tidak dikelola oleh AWS, misalnya Tableau atau aplikasi yang Anda kembangkan khusus. Pengguna aplikasi ini mungkin tidak disediakan di IAM Identity Center. Untuk mengaktifkan kelancaran pengenalan dan otorisasi akses pengguna ke AWS sumber daya, IAM Identity Center memungkinkan Anda mengonfigurasi hubungan tepercaya antara penyedia identitas yang mengautentikasi pengguna Anda dan Pusat Identitas IAM. Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).
Selain itu, mengonfigurasi propagasi identitas tepercaya untuk aplikasi Anda akan membutuhkan:
+ Aplikasi Anda harus menggunakan kerangka kerja OAuth 2.0 untuk otentikasi. Propagasi identitas tepercaya tidak mendukung integrasi SAFL 2.0.
+ Aplikasi Anda harus diakui oleh IAM Identity Center. Ikuti panduan khusus untuk [kasus penggunaan](trustedidentitypropagation-integrations.md) Anda.
# Kasus penggunaan propagasi identitas tepercaya
Sebagai administrator Pusat Identitas IAM, Anda mungkin diminta untuk membantu mengonfigurasi propagasi identitas tepercaya dari aplikasi yang menghadap pengguna ke aplikasi. Layanan AWS Untuk mendukung permintaan ini, Anda memerlukan informasi berikut:
+ Aplikasi yang menghadap klien apa yang akan berinteraksi dengan pengguna Anda?
+ Yang Layanan AWS digunakan untuk menanyakan data dan untuk mengotorisasi akses ke data?
+ Yang Layanan AWS mengotorisasi akses ke data?
Peran Anda dalam mengaktifkan **kasus penggunaan propagasi identitas tepercaya yang tidak melibatkan aplikasi pihak ketiga atau aplikasi yang dikembangkan khusus** adalah untuk:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md).
1. [Hubungkan sumber identitas Anda yang ada ke IAM Identity Center](tutorials.md).
Langkah-langkah yang tersisa dari konfigurasi identitas tepercaya untuk kasus penggunaan ini dilakukan dalam terhubung Layanan AWS dan aplikasi. Administrator yang terhubung Layanan AWS atau aplikasi harus merujuk pada panduan pengguna masing-masing untuk panduan khusus layanan yang komprehensif.
Peran Anda dalam mengaktifkan **kasus penggunaan propagasi identitas tepercaya yang melibatkan aplikasi pihak ketiga atau aplikasi yang dikembangkan khusus** mencakup langkah-langkah [Aktifkan Pusat Identitas IAM](enable-identity-center.md) dan [menghubungkan sumber identitas Anda](tutorials.md) serta:
1. Mengkonfigurasi koneksi penyedia identitas Anda (IDP) ke pihak ketiga atau aplikasi yang dikembangkan khusus.
1. Mengaktifkan IAM Identity Center untuk mengenali aplikasi pihak ketiga atau yang dikembangkan khusus.
1. Mengonfigurasi IDP Anda sebagai penerbit token tepercaya di IAM Identity Center. Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).
Administrator aplikasi yang terhubung dan Layanan AWS harus merujuk pada panduan pengguna masing-masing untuk panduan khusus layanan yang komprehensif.
## Kasus penggunaan analitik, data lakehouse, dan pembelajaran mesin
Anda dapat mengaktifkan kasus penggunaan propagasi tepercaya dengan layanan analisis dan pembelajaran mesin berikut:
+ **Amazon Redshift** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio** - Untuk panduan, lihat[Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Kasus penggunaan tambahan
Anda dapat mengaktifkan Pusat Identitas IAM dan propagasi identitas tepercaya dengan tambahan ini: Layanan AWS
+ **Amazon Q Business** - untuk panduan, lihat:
+ [Alur kerja admin untuk aplikasi yang menggunakan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Mengkonfigurasi aplikasi Amazon Q Business menggunakan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Konfigurasikan Amazon Q Business dengan propagasi identitas tepercaya IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ ** OpenSearch Layanan Amazon** - untuk panduan, lihat:
+ [IAM Identity Center Dukungan Propagasi Identitas Tepercaya untuk Layanan Amazon OpenSearch ](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Antarmuka OpenSearch pengguna terpusat (Dasbor) dengan Layanan Amazon OpenSearch ](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**- untuk panduan, lihat:
+ [Aplikasi web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Kasus penggunaan analitik, data lakehouse, dan pembelajaran mesin](#tip-data-analytic-usecases-overview)
+ [Kasus penggunaan tambahan](#tip-additional-usecases)
+ [Perbanyakan identitas tepercaya dengan Amazon Redshift](tip-usecase-redshift.md)
+ [Perbanyakan identitas tepercaya dengan Amazon EMR](tip-usecase-emr.md)
+ [Perbanyakan identitas tepercaya dengan Amazon Athena](tip-usecase-ate.md)
+ [Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Perbanyakan identitas tepercaya dengan Amazon Redshift
Langkah-langkah untuk mengaktifkan propagasi identitas tepercaya bergantung pada apakah pengguna Anda berinteraksi dengan aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk aplikasi yang menghadap klien - baik AWS dikelola atau eksternal AWS - yang menanyakan data Amazon Redshift dengan kontrol akses yang disediakan baik oleh Amazon Redshift atau oleh layanan otorisasi, seperti atau Amazon S3. AWS Lake Formation Access Grants
![\[Diagram propagasi identitas tepercaya menggunakan Amazon Redshift, Quick, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Saat propagasi identitas tepercaya ke Amazon Redshift diaktifkan, administrator Redshift dapat mengonfigurasi Redshift [untuk secara otomatis membuat peran untuk](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) Pusat Identitas IAM sebagai penyedia identitas, memetakan peran Redshift ke grup di Pusat Identitas IAM, dan menggunakan kontrol akses berbasis peran Redshift untuk memberikan akses.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Aplikasi yang menghadap klien yang didukung
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya ke Amazon Redshift:
+ [Pergeseran Merah Amazon Query Editor V2](setting-up-tip-redshift.md)
+ [Quick](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**catatan**
Jika Anda menggunakan Amazon Redshift Spectrum untuk mengakses database atau tabel AWS Glue Data Catalog eksternal, pertimbangkan untuk menyiapkan [Lake Formation](tip-tutorial-lf.md) dan [Amazon Access Grants S3](tip-tutorial-s3.md) untuk memberikan kontrol akses halus.
**Aplikasi yang dikelola pelanggan**
Aplikasi yang dikelola pelanggan berikut mendukung propagasi identitas tepercaya ke Amazon Redshift:
+ **Tableau**termasuk TableauDesktop, TableauServer, dan Tableau Prep
+ *Untuk mengaktifkan propagasi identitas tepercaya bagi penggunaTableau, lihat [Integrasikan Tableau dan Okta dengan Amazon Redshift menggunakan Pusat Identitas IAM](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) di AWS Blog Big Data.*
+ **Klien SQL** (DBeaverdanDBVisualizer)
+ *Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna Klien SQL (DBeaverdanDBVisualizer), lihat [Integrate Identity Provider (iDP) dengan Amazon Redshift Query Editor V2 dan SQL Client menggunakan IAM Identity Center untuk Single Sign-On yang mulus](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) di Big Data Blog.AWS *
# Menyiapkan propagasi identitas tepercaya dengan Amazon Redshift Query Editor V2
Prosedur berikut memandu Anda melalui cara mencapai propagasi identitas tepercaya dari Amazon Redshift Query Editor V2 ke Amazon Redshift.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
Mengaktifkan propagasi identitas tepercaya mencakup tugas yang dilakukan oleh administrator Pusat Identitas IAM di konsol Pusat Identitas IAM dan tugas yang dilakukan oleh administrator Amazon Redshift di konsol Amazon Redshift.
## Tugas yang dilakukan oleh administrator Pusat Identitas IAM
Tugas-tugas berikut harus diselesaikan oleh administrator Pusat Identitas IAM:
1. **Buat [peran IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** di akun tempat klaster Amazon Redshift atau instance Tanpa Server ada dengan kebijakan izin berikut. Untuk informasi selengkapnya, lihat [Pembuatan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Contoh kebijakan berikut mencakup izin yang diperlukan untuk menyelesaikan tutorial ini. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Kebijakan izin:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Kebijakan kepercayaan:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Buat set izin** di akun AWS Organizations manajemen tempat Pusat Identitas IAM diaktifkan. Anda akan menggunakannya di langkah berikutnya untuk memungkinkan pengguna federasi mengakses Redshift Query Editor V2.
1. **Buka konsol **Pusat Identitas IAM**, di bawah izin **Multi-Akun, pilih Set izin**.**
1. Pilih **Buat set izin**.
1. Pilih **Set izin khusus** dan kemudian pilih **Berikutnya**.
1. Di bawah **kebijakan AWS terkelola**, pilih **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Di bawah **kebijakan Inline**, tambahkan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Pilih **Berikutnya** dan kemudian berikan nama untuk nama set izin. Misalnya, **Redshift-Query-Editor-V2**.
1. Di bawah **status Relay — opsional**, atur status relai default ke URL Query Editor V2, menggunakan format:`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Tinjau pengaturan dan pilih **Buat**.
1. Arahkan ke Dasbor Pusat Identitas IAM dan salin URL portal AWS akses dari bagian **Ringkasan Pengaturan**.
![\[Langkah i, Salin URL portal AWS akses dari konsol IAM Identity Center.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Buka Jendela Browser Penyamaran baru dan tempel URL.
Ini akan membawa Anda ke portal AWS akses Anda, memastikan Anda masuk dengan pengguna Pusat Identitas IAM.
![\[Langkah j, Masuk untuk AWS mengakses portal.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Untuk informasi selengkapnya tentang set izin, lihat[Kelola Akun AWS dengan set izin](permissionsetsconcept.md).
1. **Aktifkan akses pengguna federasi ke Redshift Query** Editor V2.
1. Di akun AWS Organizations manajemen, buka konsol **Pusat Identitas IAM**.
1. Di panel navigasi, di bawah **Izin multi-akun, pilih**. **Akun AWS**
1. Pada Akun AWS halaman, pilih Akun AWS yang ingin Anda tetapkan aksesnya.
1. Pilih **Tetapkan pengguna atau grup**.
1. Pada halaman **Tetapkan pengguna dan grup**, pilih pengguna dan atau grup yang ingin Anda buat set izin. Lalu, pilih **Selanjutnya**.
1. Pada halaman **Tetapkan set izin**, pilih set izin yang Anda buat di langkah sebelumnya. Lalu, pilih **Selanjutnya**.
1. **Pada halaman **Tinjau dan kirimkan tugas**, tinjau pilihan Anda dan pilih Kirim.**
## Tugas yang dilakukan oleh administrator Amazon Redshift
Mengaktifkan propagasi identitas tepercaya ke Amazon Redshift memerlukan administrator klaster Amazon Redshift atau administrator Amazon Redshift Tanpa Server untuk melakukan sejumlah tugas di konsol Amazon Redshift. *Untuk informasi selengkapnya, lihat [Mengintegrasikan Penyedia Identitas (IDP) dengan Amazon Redshift Query Editor V2 dan SQL Client menggunakan IAM Identity Center untuk Single Sign-On yang mulus](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) di Big Data Blog.AWS *
# Perbanyakan identitas tepercaya dengan Amazon EMR
Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk Amazon EMR Studio menggunakan Amazon EMR di Amazon EC2 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants
![\[Diagram propagasi identitas tepercaya menggunakan Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplikasi yang menghadap klien yang didukung**
+ Amazon EMR Studio
**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk klaster EMR Amazon.
+ Siapkan [Amazon EMR Cluster di Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) dengan. Apache Spark
+ *Direkomendasikan*: [AWS Lake Formation](tip-tutorial-lf.md)dan [Amazon S3 Access Grants](tip-tutorial-s3.md) untuk menyediakan kontrol akses berbutir halus ke AWS Glue Data Catalog dan lokasi data yang mendasarinya di S3.
# Menyiapkan propagasi identitas tepercaya dengan Amazon EMR Studio
Prosedur berikut memandu Anda melalui pengaturan EMR Amazon Studio untuk propagasi identitas tepercaya dalam kueri terhadap kelompok kerja Amazon Athena atau kluster EMR Amazon yang berjalan. Apache Spark
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
Untuk menyelesaikan penyiapan propagasi identitas tepercaya dari Amazon EMR Studio, administrator EMR Studio harus melakukan langkah-langkah berikut.
## Langkah 1. Buat peran IAM yang diperlukan untuk EMR Studio
Pada langkah ini, Studio administrator Amazon EMR membuat dan peran layanan IAM dan peran pengguna IAM untuk EMR. Studio
1. **[Buat peran layanan EMR Studio - EMR Studio mengasumsikan peran](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM ini untuk mengelola ruang kerja dan notebook dengan aman, terhubung ke cluster, dan menangani interaksi data.
1. Arahkan ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dan buat peran IAM.
1. Pilih **Layanan AWS**sebagai entitas tepercaya dan kemudian pilih **Amazon EMR**. Lampirkan kebijakan berikut untuk menentukan izin peran dan hubungan kepercayaan.
Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Untuk referensi semua izin peran layanan, lihat Izin peran [layanan EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Buat peran pengguna EMR Studio untuk otentikasi IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio mengasumsikan peran ini ketika pengguna masuk melalui IAM Identity Center untuk mengelola ruang kerja, kluster EMR, pekerjaan, repositori git. **Peran ini digunakan untuk memulai alur kerja propagasi identitas tepercaya**.
**catatan**
Peran pengguna EMR Studio tidak perlu menyertakan izin untuk mengakses lokasi Amazon S3 dari tabel di Katalog. AWS Glue AWS Lake Formation izin dan lokasi danau terdaftar akan digunakan untuk menerima izin sementara.
Contoh kebijakan berikut dapat digunakan dalam peran yang memungkinkan pengguna EMR Studio menggunakan workgroup Athena untuk menjalankan kueri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
Kebijakan kepercayaan berikut memungkinkan EMR Studio untuk mengambil peran:
**catatan**
Izin tambahan diperlukan untuk memanfaatkan EMR Studio Workspaces dan EMR Notebooks. Lihat [Membuat kebijakan izin untuk pengguna EMR Studio untuk](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) informasi selengkapnya.
**Anda dapat menemukan informasi lebih lanjut dengan tautan berikut:**
+ [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Izin peran layanan EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Langkah 2. Buat dan konfigurasikan EMR Studio Anda
Pada langkah ini, Anda akan membuat Amazon EMR Studio di konsol EMR Studio dan menggunakan peran IAM yang Anda buat. [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1)
1. Arahkan ke konsol EMR Studio, pilih **Buat Studio** dan opsi **Pengaturan Kustom**. Anda dapat membuat bucket S3 baru atau menggunakan bucket yang sudah ada. Anda dapat mencentang kotak untuk **Enkripsi file ruang kerja dengan kunci KMS Anda sendiri**. Untuk informasi selengkapnya, lihat [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Langkah 1 Buat EMR Studio di konsol EMR.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Di bawah **Peran layanan untuk memungkinkan Studio mengakses sumber daya Anda**, pilih peran layanan yang dibuat [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1) dari menu.
1. Pilih **Pusat Identitas IAM** di bawah **Otentikasi**. Pilih peran pengguna yang dibuat di[Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1).
![\[Langkah 3 Buat EMR Studio di konsol EMR, pilih IAM Identity Center untuk metode otentikasi.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Centang kotak **propagasi identitas tepercaya**. Pilih **Hanya pengguna dan grup yang ditetapkan** di bawah bagian Akses aplikasi, yang akan memungkinkan Anda untuk memberikan hanya pengguna dan grup yang berwenang untuk mengakses studio ini.
1. *(Opsional)* - Anda dapat mengkonfigurasi VPC dan subnet jika Anda menggunakan Studio ini dengan cluster EMR.
![\[Langkah 4 Buat EMR Studio di konsol EMR, memilih pengaturan jaringan dan keamanan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Tinjau semua detail dan pilih **Buat Studio**.
1. Setelah mengonfigurasi klaster WorkGroup Athena atau EMR, masuk ke URL Studio untuk:
1. Jalankan kueri Athena dengan Editor Kueri.
1. Jalankan pekerjaan Spark di ruang kerja menggunakan Jupyter notebook.
# Perbanyakan identitas tepercaya dengan Amazon Athena
Langkah-langkah untuk mengaktifkan propagasi identitas tepercaya bergantung pada apakah pengguna Anda berinteraksi dengan aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk aplikasi yang menghadap klien - baik AWS dikelola maupun eksternal AWS - yang menggunakan Amazon Athena untuk menanyakan data Amazon S3 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants
**catatan**
Perbanyakan identitas tepercaya dengan Amazon Athena membutuhkan penggunaan Trino.
Klien Apache Spark dan SQL yang terhubung ke Amazon Athena melalui driver ODBC dan JDBC tidak didukung.
![\[Diagram propagasi identitas tepercaya menggunakan Athena, Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya dengan Athena:
+ Amazon EMR Studio
**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk Athena. Editor Kueri di EMR Studio diperlukan untuk menjalankan Kueri Athena saat propagasi identitas tepercaya diaktifkan.
+ [Mengatur Athena Workgroup](setting-up-tip-ate.md).
+ [Siapkan AWS Lake Formation](tip-tutorial-lf.md) untuk mengaktifkan kontrol akses berbutir halus untuk AWS Glue tabel berdasarkan pengguna atau grup di Pusat Identitas IAM.
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di S3.
**catatan**
Baik Lake Formation dan Amazon S3 Access Grants diperlukan untuk kontrol akses ke AWS Glue Data Catalog dan untuk hasil kueri Athena di Amazon S3.
**Aplikasi yang dikelola pelanggan**
*Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna *aplikasi yang dikembangkan khusus*, lihat [Akses Layanan AWS secara terprogram menggunakan propagasi identitas tepercaya](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) di Blog Keamanan.AWS *
# Menyiapkan propagasi identitas tepercaya dengan kelompok kerja Amazon Athena
Prosedur berikut memandu Anda melalui pengaturan kelompok kerja Amazon Athena untuk propagasi identitas tepercaya.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
1. Konfigurasi ini memerlukan [Amazon EMR Studio](setting-up-tip-emr.md), [AWS Lake Formation](tip-tutorial-lf.md), dan [Amazon S3 Access Grants](tip-tutorial-s3.md).
## Menyiapkan propagasi identitas tepercaya dengan Athena
Untuk mengatur propagasi identitas tepercaya dengan Athena, administrator Athena harus:
1. Tinjau [Pertimbangan dan batasan dalam menggunakan IAM Identity Center mengaktifkan kelompok kerja Athena](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Buat grup kerja Athena yang diaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) terintegrasi dengan IAM Identity Center, dan mendukung [sesi latar belakang pengguna](user-background-sessions.md) dan propagasi identitas tepercaya. Sesi latar belakang pengguna memungkinkan pengguna untuk memulai pekerjaan yang berjalan lama di SageMaker Studio, tanpa pengguna tersebut harus tetap masuk saat pekerjaan berjalan. Pekerjaan berjalan segera dan di latar belakang, menggunakan izin pengguna yang memulai pekerjaan. Pekerjaan dapat terus berjalan bahkan jika pengguna mematikan komputer mereka, sesi masuk Pusat Identitas IAM mereka kedaluwarsa, atau pengguna keluar dari portal akses. AWS Durasi sesi default untuk sesi latar belakang pengguna adalah 7 hari, tetapi Anda dapat menentukan durasi maksimum 90 hari. Propagasi identitas tepercaya memungkinkan akses berbutir halus diberikan ke AWS sumber daya seperti bucket Amazon S3 berdasarkan identitas pengguna atau keanggotaan grup.
Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk SageMaker Studio, dengan akses ke data yang disimpan dalam bucket Amazon S3. Sesi latar belakang pengguna diaktifkan untuk IAM Identity Center, yang memungkinkan pekerjaan pelatihan SageMaker Studio berjalan di latar belakang. Kontrol akses untuk data pelatihan disediakan oleh Amazon S3Access Grants.
![\[Diagram propagasi identitas tepercaya untuk SageMaker Studio, dengan pekerjaan pelatihan SageMaker Studio berjalan di sesi latar belakang pengguna, dan akses ke data pelatihan di Amazon S3 yang disediakan oleh Amazon S3. Access Grants\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya:
+ [ SageMaker Studio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Untuk mengaktifkan propagasi identitas tepercaya dan sesi latar belakang pengguna, ikuti langkah-langkah berikut:**
+ [Siapkan SageMaker Studio sebagai aplikasi yang menghadap klien.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di Amazon S3.
# Menyiapkan propagasi identitas tepercaya dengan Studio SageMaker
Prosedur berikut memandu Anda melalui pengaturan SageMaker Studio untuk propagasi identitas tepercaya dan sesi latar belakang pengguna.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus menyelesaikan tugas-tugas berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). Sebuah contoh organisasi diperlukan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
1. [Konfirmasikan bahwa sesi latar belakang pengguna diaktifkan](user-background-sessions.md) di konsol Pusat Identitas IAM. Secara default, sesi latar belakang pengguna diaktifkan dan durasi sesi diatur ke 7 hari. Anda dapat mengubah durasi ini.
Untuk menyiapkan propagasi identitas tepercaya dari SageMaker Studio, administrator SageMaker Studio harus melakukan langkah-langkah berikut.
## Langkah 1: Aktifkan propagasi identitas tepercaya di domain SageMaker Studio baru atau yang sudah ada
SageMaker Studio menggunakan domain untuk mengatur profil pengguna, aplikasi, dan sumber daya terkait. Untuk mengaktifkan propagasi identitas tepercaya, Anda harus membuat domain SageMaker Studio atau memodifikasi domain yang ada seperti yang dijelaskan dalam prosedur berikut.
1. Buka konsol SageMaker AI, navigasikan ke **Domain**, dan lakukan salah satu hal berikut.
+ **Buat domain SageMaker Studio baru dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Pilih **Siapkan untuk organisasi**, lalu lakukan hal berikut:
+ Pilih **Pusat AWS Identitas** sebagai metode otentikasi.
+ Pilih kotak centang **Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini**.
+ **Ubah domain SageMaker Studio yang ada.**
+ Pilih domain yang sudah ada yang menggunakan IAM Identity Center untuk autentikasi.
**penting**
Propagasi identitas tepercaya hanya didukung di domain SageMaker Studio yang menggunakan IAM Identity Center untuk autentikasi. Jika domain menggunakan IAM untuk otentikasi, Anda tidak dapat mengubah metode otentikasi, dan oleh karena itu Anda tidak dapat mengaktifkan propagasi identitas tepercaya.
+ [Edit pengaturan domain](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Edit pengaturan **Autentikasi dan izin** untuk mengaktifkan propagasi identitas tepercaya.
1. Lanjutkan ke [Langkah 2: Konfigurasikan peran eksekusi domain default](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Peran ini diperlukan bagi pengguna domain SageMaker Studio untuk mengakses AWS layanan lain seperti Amazon S3.
## Langkah 2: Konfigurasikan peran eksekusi domain default dan kebijakan kepercayaan peran
*Peran eksekusi domain adalah peran* [IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) yang diasumsikan oleh domain SageMaker Studio atas nama semua pengguna dalam domain. Izin yang Anda tetapkan untuk peran ini menentukan tindakan yang dapat dilakukan SageMaker Studio.
1. Untuk membuat atau memilih peran eksekusi domain, lakukan salah satu hal berikut:
+ **Buat atau pilih peran dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Buka konsol SageMaker AI dan ikuti panduan konsol di **Langkah 2: Konfigurasikan peran dan aktivitas ML** untuk membuat peran eksekusi domain baru atau memilih peran yang sudah ada.
+ Selesaikan langkah-langkah penyiapan lainnya untuk membuat domain SageMaker Studio Anda.
+ **Buat peran eksekusi secara manual.**
+ Buka konsol IAM dan [buat peran eksekusi sendiri](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Perbarui kebijakan kepercayaan](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) yang dilampirkan ke peran eksekusi domain sehingga mencakup dua tindakan berikut: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)dan [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Untuk informasi tentang cara menemukan peran eksekusi untuk domain SageMaker Studio Anda, lihat [Mendapatkan peran eksekusi domain](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
*Kebijakan kepercayaan* menentukan identitas yang dapat mengambil peran. Kebijakan ini diperlukan untuk mengizinkan layanan SageMaker Studio mengambil peran eksekusi domain. Tambahkan kedua tindakan ini sehingga muncul sebagai berikut dalam kebijakan Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Langkah 3: Verifikasi izin Amazon S3 Access Grant yang diperlukan untuk peran eksekusi domain
Untuk menggunakan Amazon S3 Access Grants, Anda harus memiliki kebijakan izin yang dilampirkan (baik sebagai kebijakan inline atau kebijakan terkelola pelanggan) ke peran eksekusi domain SageMaker Studio Anda yang berisi izin berikut.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
*Jika Anda tidak memiliki kebijakan yang berisi izin ini, ikuti petunjuk di [Menambahkan dan menghapus izin identitas IAM di Panduan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Pengguna.AWS Identity and Access Management *
## Langkah 4: Tetapkan grup dan pengguna ke domain
Tetapkan grup dan pengguna ke domain SageMaker Studio dengan mengikuti langkah-langkah di [Tambahkan grup dan pengguna](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Langkah 5: Siapkan Hibah Akses Amazon S3
Untuk menyiapkan Hibah Akses Amazon S3, ikuti langkah-langkah dalam Mengonfigurasi Hibah Akses [Amazon S3 untuk propagasi identitas tepercaya melalui Pusat Identitas](tip-tutorial-s3.md#tip-tutorial-s3-configure) IAM. Gunakan step-by-step instruksi untuk menyelesaikan tugas-tugas berikut:
1. Buat instance Amazon S3 Access Grants.
1. Daftarkan lokasi dalam contoh itu.
1. Buat hibah untuk memungkinkan pengguna atau grup Pusat Identitas IAM tertentu mengakses lokasi atau subset Amazon S3 yang ditentukan (misalnya, awalan tertentu) di dalam lokasi tersebut.
## Langkah 6: Kirim pekerjaan SageMaker pelatihan dan lihat detail sesi latar belakang pengguna
Di SageMaker Studio, luncurkan notebook Jupyter baru dan kirimkan pekerjaan pelatihan. Saat pekerjaan sedang berjalan, selesaikan langkah-langkah berikut untuk melihat informasi sesi dan untuk memverifikasi bahwa konteks sesi latar belakang pengguna aktif.
1. Buka konsol Pusat Identitas IAM.
1. Pilih **Pengguna**.
1. Pada halaman **Pengguna**, pilih nama pengguna pengguna yang sesinya ingin Anda kelola. Ini membawa Anda ke halaman dengan informasi pengguna.
1. Pada halaman pengguna, pilih tab **Sesi aktif**. Angka dalam tanda kurung di samping **sesi Aktif menunjukkan jumlah sesi** aktif untuk pengguna ini.
1. Untuk mencari sesi berdasarkan Nama Sumber Daya Amazon (ARN) dari pekerjaan yang menggunakan sesi, dalam daftar **Jenis sesi**, pilih Sesi **latar belakang pengguna**, lalu masukkan ARN pekerjaan di kotak pencarian.
Berikut ini adalah contoh bagaimana pekerjaan pelatihan yang menggunakan sesi latar belakang pengguna muncul di tab **sesi ctive** untuk pengguna.
![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Langkah 7: Lihat CloudTrail log untuk memverifikasi propagasi identitas tepercaya di CloudTrail
Saat propagasi identitas tepercaya diaktifkan, tindakan muncul di log CloudTrail peristiwa di bawah `onBehalfOf` elemen. Ini `userId` mencerminkan ID pengguna Pusat Identitas IAM yang memulai pekerjaan pelatihan. CloudTrail Peristiwa berikut menangkap proses propagasi identitas tepercaya.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Pertimbangan runtime
Jika administrator menetapkan pelatihan yang berjalan **MaxRuntimeInSeconds**lama atau memproses pekerjaan yang lebih rendah dari durasi sesi latar belakang pengguna, SageMaker Studio menjalankan pekerjaan untuk minimum salah satu **MaxRuntimeInSeconds **atau durasi sesi latar belakang pengguna.
Untuk informasi selengkapnya **MaxRuntimeInSeconds**, lihat panduan untuk `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parameter di *Referensi Amazon SageMaker API*.
# Layanan otorisasi
Dalam semua [kasus penggunaan analitik dan data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), Anda dapat mencapai kontrol akses berbutir halus menggunakan:
+ AWS Lake Formation - untuk panduan, lihat[Menyiapkan AWS Lake Formation dengan IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants - untuk panduan, lihat. [Menyiapkan Hibah Akses Amazon S3 dengan Pusat Identitas IAM](tip-tutorial-s3.md)
# Menyiapkan AWS Lake Formation dengan IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)adalah layanan terkelola yang menyederhanakan pembuatan dan pengelolaan data lake di AWS. Ini mengotomatiskan pengumpulan data, katalog, dan keamanan, menyediakan repositori terpusat untuk menyimpan dan menganalisis beragam tipe data. Lake Formation menawarkan kontrol akses berbutir halus dan terintegrasi dengan berbagai layanan AWS analitik, memungkinkan organisasi untuk secara efisien mengatur, mengamankan, dan memperoleh wawasan dari data lake mereka.
Ikuti langkah-langkah ini untuk mengaktifkan Lake Formation memberikan izin data berdasarkan identitas pengguna menggunakan IAM Identity Center dan propagasi identitas tepercaya.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
+ [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
## Langkah-langkah untuk mengatur propagasi identitas tepercaya
1. **Integrasikan IAM Identity Center dengan AWS Lake Formation** mengikuti panduan dalam [Menghubungkan Lake Formation dengan IAM Identity](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) Center.
**penting**
**Jika Anda tidak memiliki AWS Glue Data Catalog tabel**, Anda harus membuatnya agar dapat digunakan untuk memberikan akses AWS Lake Formation ke pengguna dan grup Pusat Identitas IAM. Lihat [Membuat objek AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) untuk informasi selengkapnya.
1. **Daftarkan lokasi danau data**.
[Daftarkan lokasi S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) tempat data tabel Glue disimpan. Dengan melakukan ini, Lake Formation akan menyediakan akses sementara ke lokasi S3 yang diperlukan saat tabel ditanyakan, menghapus kebutuhan untuk menyertakan izin S3 dalam peran layanan (misalnya peran layanan Athena yang dikonfigurasi pada). WorkGroup
1. Arahkan ke **lokasi danau Data** di bawah bagian **Administrasi** di panel navigasi di AWS Lake Formation konsol. Pilih **Daftarkan lokasi**.
Ini akan memungkinkan Lake Formation untuk menyediakan kredensil IAM sementara dengan izin yang diperlukan untuk mengakses lokasi data S3.
![\[Langkah 1 Daftarkan lokasi danau data di konsol Lake Formation.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Masukkan jalur S3 dari lokasi data AWS Glue tabel di bidang jalur **Amazon S3**.
1. Di bagian **peran IAM**, jangan pilih peran terkait layanan jika Anda ingin menggunakannya dengan propagasi identitas tepercaya. Buat peran terpisah dengan izin berikut.
Untuk menggunakan kebijakan ini, ganti kebijakan *italicized placeholder text* dalam contoh dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). Kebijakan izin harus memberikan akses ke lokasi S3 yang ditentukan di jalur:
1. **Kebijakan izin**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Hubungan kepercayaan**: Ini harus mencakup`sts:SectContext`, yang diperlukan untuk propagasi identitas tepercaya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**catatan**
Peran IAM yang dibuat oleh wizard adalah peran terkait layanan dan tidak termasuk. `sts:SetContext`
1. Setelah membuat peran IAM, pilih **Daftar lokasi**.
## Perbanyakan identitas tepercaya dengan Lake Formation di seberang Akun AWS
AWS Lake Formation mendukung penggunaan [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) untuk berbagi tabel Akun AWS dan berfungsi dengan propagasi identitas tepercaya ketika akun pemberi dan akun penerima hibah berada di tempat yang sama Wilayah AWS, sama AWS Organizations, dan berbagi contoh organisasi yang sama dari IAM Identity Center. Lihat [berbagi data lintas akun di Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html) untuk informasi selengkapnya.
# Menyiapkan Hibah Akses Amazon S3 dengan Pusat Identitas IAM
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) memberikan fleksibilitas untuk memberikan kontrol akses butir halus berbasis identitas ke lokasi S3. Anda dapat menggunakan Amazon S3 Access Grants untuk memberikan akses bucket Amazon S3 langsung ke pengguna dan grup perusahaan Anda. Ikuti langkah-langkah ini untuk mengaktifkan S3 Access Grants dengan IAM Identity Center dan mencapai propagasi identitas tepercaya.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
+ [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
## Mengkonfigurasi Hibah Akses S3 untuk propagasi identitas tepercaya melalui IAM Identity Center
**Jika Anda sudah memiliki Access Grants instans Amazon S3 dengan lokasi terdaftar, ikuti langkah-langkah berikut:**
1. [Kaitkan instans Pusat Identitas IAM](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html) Anda.
1. [Buat hibah](#tip-tutorial-s3-create-grant).
**Jika Anda belum membuat Amazon S3Access Grants, ikuti langkah-langkah ini:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - Anda dapat membuat satu Access Grants instance S3 per. Wilayah AWS Saat Anda membuat Access Grants instance S3, pastikan untuk mencentang kotak **Add IAM Identity Center instance** dan berikan ARN dari instance IAM Identity Center Anda. Pilih **Selanjutnya**.
Gambar berikut menunjukkan halaman Access Grants instans Create S3 di konsol Amazon Access Grants S3:
![\[Buat halaman Access Grants instans S3 di konsol S3 Access Grants.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Daftarkan lokasi** - Setelah Anda [membuat Access Grants instans Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Wilayah AWS di akun Anda, Anda [mendaftarkan lokasi S3 dalam contoh](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) itu. Access GrantsLokasi S3 memetakan default S3 region (`S3://`), bucket, atau awalan ke peran IAM. S3 Access Grants mengasumsikan peran Amazon S3 ini untuk menjual kredensil sementara kepada penerima hibah yang mengakses lokasi tertentu. Anda harus terlebih dahulu mendaftarkan setidaknya satu lokasi di Access Grants instans S3 Anda sebelum Anda dapat membuat hibah akses.
Untuk **cakupan Lokasi**, tentukan`s3://`, yang mencakup semua bucket Anda di Wilayah tersebut. Ini adalah ruang lingkup lokasi yang direkomendasikan untuk sebagian besar kasus penggunaan. Jika Anda memiliki kasus penggunaan manajemen akses lanjutan, Anda dapat mengatur cakupan lokasi ke bucket `s3://bucket` atau awalan tertentu dalam bucket`s3://bucket/prefix-with-path`. Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
**catatan**
Pastikan lokasi S3 dari AWS Glue tabel yang ingin Anda berikan aksesnya disertakan dalam jalur ini.
Prosedur ini mengharuskan Anda untuk mengonfigurasi peran IAM untuk lokasi. Peran ini harus mencakup izin untuk mengakses cakupan lokasi. Anda dapat menggunakan wizard konsol S3 untuk membuat peran. Anda harus menentukan ARN Access Grants instans S3 Anda dalam kebijakan untuk peran IAM ini. Nilai default `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default` ARN Access Grants instans S3 Anda adalah.
Contoh kebijakan izin berikut memberikan izin Amazon S3 ke peran IAM yang Anda buat. Dan contoh kebijakan kepercayaan yang mengikutinya memungkinkan prinsipal Access Grants layanan S3 untuk mengambil peran IAM.
1. **Kebijakan izin**
Untuk menggunakan kebijakan ini, ganti kebijakan *italicized placeholder text* dalam contoh dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Kebijakan kepercayaan**
Dalam kebijakan kepercayaan peran IAM, berikan akses utama layanan S3 Access Grants (`access-grants.s3.amazonaws.com`) ke peran IAM yang Anda buat. Untuk melakukannya, Anda dapat membuat file JSON yang berisi pernyataan berikut ini. Untuk menambahkan kebijakan kepercayaan ke akun Anda, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Buat Hibah Akses Amazon S3
Jika Anda memiliki Access Grants instans Amazon S3 dengan lokasi terdaftar dan Anda telah mengaitkan instans Pusat Identitas IAM Anda dengannya, Anda dapat [membuat](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html) hibah. Di halaman **Create Grant** konsol S3, lengkapi yang berikut ini:
**Buat hibah**
1. Pilih lokasi yang dibuat pada langkah sebelumnya. Anda dapat mengurangi cakupan hibah dengan menambahkan sub-awalan. Sub-awalan dapat berupa`bucket`,`bucket/prefix`, atau objek dalam ember. Untuk informasi selengkapnya, lihat [Subprefix](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
1. Di bawah **Izin dan akses**, pilih **Baca** dan atau **Tulis** tergantung pada kebutuhan Anda.
1. Pada **tipe Granter**, pilih **Directory Identity form IAM Identity** Center.
1. Berikan **ID Pengguna atau Grup** Pusat Identitas IAM. Anda dapat menemukan pengguna dan grup IDs di konsol Pusat Identitas IAM di bawah [bagian **Pengguna** dan **Grup**](howtoviewandchangepermissionset.md). Pilih **Selanjutnya**.
1. Pada halaman **Review and Finish**, tinjau pengaturan untuk S3 Access Grant dan kemudian pilih **Create Grant**.
Gambar berikut menunjukkan halaman Buat Hibah di konsol Amazon S3Access Grants:
![\[Buat halaman Grant di konsol Amazon S3 Access Grants.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)