Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come connettersi ad altri AWS servizi con la propagazione affidabile delle identità abilitata
Quando la propagazione delle identità affidabili è abilitata per il tuo dominio Amazon SageMaker AI, gli utenti del dominio possono connettersi ad altri servizi affidabili abilitati AWS alla propagazione delle identità. Quando la propagazione attendibile delle identità è abilitata, il contesto dell’identità viene automaticamente propagato ai servizi compatibili, consentendo un controllo granulare degli accessi e audit migliori sui flussi di lavoro di machine learning. Questa integrazione elimina la necessità di un complesso cambio di ruolo IAM e offre un'esperienza di identità unificata tra i servizi. AWS Le pagine seguenti forniscono informazioni su come connettere Amazon SageMaker Studio ad altri AWS servizi quando è abilitata la propagazione di identità affidabili.
**Topics**
+ [Connetti JupyterLab i notebook Connect Studio ad Amazon S3 Access Grants con la propagazione affidabile delle identità abilitata](trustedidentitypropagation-s3-access-grants.md)
+ [Connetti i JupyterLab notebook Connect Studio ad Amazon EMR con la propagazione delle identità affidabile abilitata](trustedidentitypropagation-emr-ec2.md)
+ [Connect i JupyterLab notebook Studio a EMR Serverless con la propagazione affidabile delle identità abilitata](trustedidentitypropagation-emr-serverless.md)
+ [Connetti i JupyterLab notebook di Studio all'API Redshift Data con la propagazione affidabile delle identità abilitata](trustedidentitypropagation-redshift-data-apis.md)
+ [Connetti JupyterLab i notebook Studio a Lake Formation e Athena con la propagazione affidabile delle identità abilitata](trustedidentitypropagation-lake-formation-athena.md)
# Connetti JupyterLab i notebook Connect Studio ad Amazon S3 Access Grants con la propagazione affidabile delle identità abilitata
Puoi utilizzare [Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) per concedere in modo flessibile il controllo granulare degli accessi basato sull’identità alle posizioni Amazon S3. In questo modo, i bucket Amazon S3 possono accedere direttamente agli utenti e ai gruppi aziendali. Le pagine seguenti forniscono informazioni e istruzioni su come utilizzare Amazon S3 Access Grants con la propagazione dell'identità affidabile per l'intelligenza artificiale. SageMaker
## Prerequisiti
Per connettere Studio a Lake Formation e Athena con la propagazione attendibile delle identità abilitata, assicurati di aver soddisfatto i prerequisiti seguenti:
+ [Configurazione della propagazione attendibile delle identità per Studio](trustedidentitypropagation-setup.md)
+ Segui le istruzioni in [Getting started with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) per configurare Amazon S3 Access Grants per il tuo bucket. Per ulteriori informazioni, consulta [Scaling data access with Amazon S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/).
**Nota**
Amazon S3 standard APIs non funziona automaticamente con Amazon S3 Access Grants. È necessario utilizzare in modo esplicito Amazon S3 Access Grants. APIs Per ulteriori informazioni, consulta [Managing access with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
**Topics**
+ [Prerequisiti](#s3-access-grants-prerequisites)
+ [Connetti Amazon S3 Access Grants ai notebook Studio JupyterLab](s3-access-grants-setup.md)
+ [Connetti JupyterLab i notebook Studio ad Amazon S3 Access Grants con lavori di formazione ed elaborazione](trustedidentitypropagation-s3-access-grants-jobs.md)
# Connetti Amazon S3 Access Grants ai notebook Studio JupyterLab
Utilizza le seguenti informazioni per concedere Amazon S3 Access Grants nei notebook Studio. JupyterLab
Dopo aver configurato Amazon S3 Access Grants, [aggiungi le autorizzazioni seguenti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) al [ruolo di esecuzione](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) del dominio o dell’utente.
+ `us-east-1` è la tua Regione AWS.
+ `111122223333` è il tuo ID Account AWS .
+ `S3-ACCESS-GRANT-ROLE` è il tuo ruolo Amazon S3 Access Grants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Verifica che la policy di attendibilità del tuo ruolo Amazon S3 Access Grants consenta le azioni `sts:SetContext` e `sts:AssumeRole`. Di seguito è riportato un esempio di policy da utilizzare quando [aggiorni la policy di attendibilità del ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Utilizzo di Amazon S3 Access Grants per chiamare Amazon S3
Di seguito è riportato un esempio di script Python che mostra come utilizzare Amazon S3 Access Grants per chiamare Amazon S3. Ciò presuppone che tu abbia già configurato correttamente la propagazione delle identità affidabili con l'intelligenza artificiale. SageMaker
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Se utilizzi un percorso di un bucket Amazon S3 in cui non è abilitato Amazon S3 Access Grants, la chiamata non riuscirà.
Per ulteriori informazioni su altri linguaggi di programmazione, consulta [Managing access with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
# Connetti JupyterLab i notebook Studio ad Amazon S3 Access Grants con lavori di formazione ed elaborazione
Utilizza le seguenti informazioni per concedere ad Amazon S3 Access Grants l'accesso ai dati nei job di Amazon SageMaker Training and Processing.
Quando un utente con la propagazione dell'identità affidabile abilitata avvia un processo di SageMaker formazione o elaborazione che deve accedere ai dati di Amazon S3:
+ SageMaker L'intelligenza artificiale chiama Amazon S3 Access Grants per ottenere credenziali temporanee basate sull'identità dell'utente
+ Se la chiamata riesce, l’utente accede ai dati di Amazon S3 con le credenziali temporanee.
+ In caso di esito negativo, l' SageMaker IA torna a utilizzare le credenziali del ruolo IAM
**Nota**
Per impostare la concessione di tutte le autorizzazioni tramite Amazon S3 Access Grants, dovrai rimuovere le relative autorizzazioni di accesso Amazon S3 dal tuo ruolo di esecuzione e collegarle all’autorizzazione [Amazon S3 Access Grant](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) corrispondente.
**Topics**
+ [Considerazioni](#s3-access-grants-jobs-considerations)
+ [Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione](#s3-access-grants-jobs-setup)
## Considerazioni
Amazon S3 Access Grants non può essere utilizzato con la [modalità Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) sia per la SageMaker formazione che per l'elaborazione per l'input di Amazon S3.
Quando la propagazione delle identità affidabili è abilitata, non è possibile avviare un SageMaker Training Job con la seguente funzionalità
+ Debug remoto
+ Debugger
+ Profiler
Quando la propagazione attendibile delle identità è abilitata, non è possibile avviare un processo di elaborazione con la funzionalità seguente:
+ DatasetDefinition
## Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione
Dopo aver configurato Amazon S3 Access Grants, [aggiungi le autorizzazioni seguenti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) al [ruolo di esecuzione](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) del dominio o dell’utente.
+ `us-east-1` è la tua Regione AWS.
+ `111122223333` è il tuo ID Account AWS .
+ `S3-ACCESS-GRANT-ROLE` è il tuo ruolo Amazon S3 Access Grants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# Connetti i JupyterLab notebook Connect Studio ad Amazon EMR con la propagazione delle identità affidabile abilitata
La connessione dei JupyterLab notebook Amazon SageMaker Studio ai cluster Amazon EMR consente di sfruttare la potenza di calcolo distribuita di Amazon EMR per carichi di lavoro di elaborazione e analisi dei dati su larga scala. Con la propagazione attendibile delle identità abilitata, il contesto dell’identità viene propagato ad Amazon EMR, consentendo un controllo granulare degli accessi e audit trail completi. La pagina seguente fornisce istruzioni su come collegare il notebook Studio ai cluster Amazon EMR. Una volta configurata, puoi utilizzare l’opzione `Connect to Cluster` sul notebook Studio.
Per connettere Studio ad Amazon EMR con la propagazione attendibile delle identità abilitata, assicurati di aver completato le configurazioni seguenti:
+ [Configurazione della propagazione attendibile delle identità per Studio](trustedidentitypropagation-setup.md)
+ [Guida introduttiva all' AWS IAM Identity Center integrazione per Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Abilitazione delle comunicazioni tra i cluster Studio e Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Connessione al cluster Amazon EMR**
Per un elenco completo delle opzioni su come connettere il JupyterLab notebook ad Amazon EMR, consulta [Connessione a un cluster Amazon EMR.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)
# Connect i JupyterLab notebook Studio a EMR Serverless con la propagazione affidabile delle identità abilitata
Amazon EMR serverless offre un’opzione serverless per eseguire le applicazioni Apache Spark e Apache Hive senza dover gestire i cluster. Se integrato con la propagazione attendibile delle identità, EMR Serverless ridimensiona automaticamente le risorse di calcolo mantenendo il contesto dell’identità per gli audit e il controllo degli accessi. Questo approccio elimina il sovraccarico operativo della gestione dei cluster, preservando al contempo i vantaggi in termini di sicurezza offerti dal controllo degli accessi basato sull’identità. La sezione seguente fornisce informazioni su come connettere il tuo Studio con propagazione attendibile delle identità a EMR Serverless.
Per connettere Studio ad Amazon EMR serverless con la propagazione attendibile delle identità abilitata, assicurati di aver completato le configurazioni seguenti:
+ [Configurazione della propagazione attendibile delle identità per Studio](trustedidentitypropagation-setup.md)
+ [Propagazione attendibile delle identità con EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Abilitazione delle comunicazioni tra Studio ed EMR Serverless](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**Connessione all’applicazione EMR Serverless**
Per un elenco completo delle opzioni su come connettere il JupyterLab notebook a EMR Serverless, vedere [Connessione a un'applicazione EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.
# Connetti i JupyterLab notebook di Studio all'API Redshift Data con la propagazione affidabile delle identità abilitata
L’API di dati di Amazon Redshift consente di interagire con i cluster Amazon Redshift in modo programmatico senza gestire connessioni persistenti. In combinazione con la propagazione attendibile delle identità, l’API di dati di Redshift offre un accesso sicuro e basato sull’identità al data warehouse, consentendoti di eseguire query SQL e recuperare i risultati, garantendo al tempo stesso audit trail completi sulle attività degli utenti. Questa integrazione è particolarmente utile per i flussi di lavoro di data science che richiedono l’accesso ai dati strutturati archiviati in Redshift. La pagina seguente include informazioni e istruzioni su come collegare la propagazione delle identità affidabili con Amazon SageMaker Studio all'API Redshift Data.
Per connettere Studio a l’API di dati di Redshift con la propagazione attendibile delle identità abilitata, assicurati di aver completato le configurazioni seguenti:
+ [Configurazione della propagazione attendibile delle identità per Studio](trustedidentitypropagation-setup.md)
+ [Utilizzo dell’API di dati di Redshift con propagazione attendibile delle identità](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Verifica che il tuo ruolo di esecuzione disponga delle autorizzazioni necessarie per l’API di dati di Redshift. Per ulteriori informazioni, consulta [Authorizing access](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+ [Semplifica la gestione degli accessi con Amazon Redshift e AWS Lake Formation per gli utenti di un provider di identità esterno](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# Connetti JupyterLab i notebook Studio a Lake Formation e Athena con la propagazione affidabile delle identità abilitata
AWS Lake Formation e Amazon Athena collaborano per fornire una soluzione data lake completa con controllo granulare degli accessi e funzionalità di query serverless. Lake Formation centralizza la gestione delle autorizzazioni per il data lake, mentre Athena fornisce servizi di query interattivi. Se integrata con la propagazione attendibile delle identità, questa funzionalità consente ai Data Scientist di accedere solo ai dati che sono autorizzati a vedere, con tutte le query e l’accesso ai dati registrati automaticamente per scopi di conformità e audit. La pagina seguente fornisce informazioni e istruzioni su come collegare la propagazione delle identità affidabili con Amazon SageMaker Studio a Lake Formation e Athena.
Per connettere Studio a Lake Formation e Athena con la propagazione attendibile delle identità abilitata, assicurati di aver completato le configurazioni seguenti:
+ [Configurazione della propagazione attendibile delle identità per Studio](trustedidentitypropagation-setup.md)
+ [Creazione di un ruolo in Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Connessione di Lake Formation con il Centro identità IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Creazione di risorse per Lake Formation:
+ [Database](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [Tabelle](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Creazione di un gruppo di lavoro Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ Scegli **AthenaSQL** per il motore
+ Scegli **Centro identità IAM** per il metodo di autenticazione
+ Creazione di un nuovo ruolo di servizio
+ Assicurati che gli utenti del Centro identità IAM abbiano accesso alla posizione dei risultati delle query con Amazon S3 Access Grants
+ [Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)