Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connetti JupyterLab i notebook Connect Studio ad Amazon S3 Access Grants con la propagazione affidabile delle identità abilitata
Puoi utilizzare [Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) per concedere in modo flessibile il controllo granulare degli accessi basato sull’identità alle posizioni Amazon S3. In questo modo, i bucket Amazon S3 possono accedere direttamente agli utenti e ai gruppi aziendali. Le pagine seguenti forniscono informazioni e istruzioni su come utilizzare Amazon S3 Access Grants con la propagazione dell'identità affidabile per l'intelligenza artificiale. SageMaker
## Prerequisiti
Per connettere Studio a Lake Formation e Athena con la propagazione attendibile delle identità abilitata, assicurati di aver soddisfatto i prerequisiti seguenti:
+ [Configurazione della propagazione attendibile delle identità per Studio](trustedidentitypropagation-setup.md)
+ Segui le istruzioni in [Getting started with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) per configurare Amazon S3 Access Grants per il tuo bucket. Per ulteriori informazioni, consulta [Scaling data access with Amazon S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/).
**Nota**
Amazon S3 standard APIs non funziona automaticamente con Amazon S3 Access Grants. È necessario utilizzare in modo esplicito Amazon S3 Access Grants. APIs Per ulteriori informazioni, consulta [Managing access with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
**Topics**
+ [Prerequisiti](#s3-access-grants-prerequisites)
+ [Connetti Amazon S3 Access Grants ai notebook Studio JupyterLab](s3-access-grants-setup.md)
+ [Connetti JupyterLab i notebook Studio ad Amazon S3 Access Grants con lavori di formazione ed elaborazione](trustedidentitypropagation-s3-access-grants-jobs.md)
# Connetti Amazon S3 Access Grants ai notebook Studio JupyterLab
Utilizza le seguenti informazioni per concedere Amazon S3 Access Grants nei notebook Studio. JupyterLab
Dopo aver configurato Amazon S3 Access Grants, [aggiungi le autorizzazioni seguenti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) al [ruolo di esecuzione](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) del dominio o dell’utente.
+ `us-east-1` è la tua Regione AWS.
+ `111122223333` è il tuo ID Account AWS .
+ `S3-ACCESS-GRANT-ROLE` è il tuo ruolo Amazon S3 Access Grants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Verifica che la policy di attendibilità del tuo ruolo Amazon S3 Access Grants consenta le azioni `sts:SetContext` e `sts:AssumeRole`. Di seguito è riportato un esempio di policy da utilizzare quando [aggiorni la policy di attendibilità del ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Utilizzo di Amazon S3 Access Grants per chiamare Amazon S3
Di seguito è riportato un esempio di script Python che mostra come utilizzare Amazon S3 Access Grants per chiamare Amazon S3. Ciò presuppone che tu abbia già configurato correttamente la propagazione delle identità affidabili con l'intelligenza artificiale. SageMaker
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Se utilizzi un percorso di un bucket Amazon S3 in cui non è abilitato Amazon S3 Access Grants, la chiamata non riuscirà.
Per ulteriori informazioni su altri linguaggi di programmazione, consulta [Managing access with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
# Connetti JupyterLab i notebook Studio ad Amazon S3 Access Grants con lavori di formazione ed elaborazione
Utilizza le seguenti informazioni per concedere ad Amazon S3 Access Grants l'accesso ai dati nei job di Amazon SageMaker Training and Processing.
Quando un utente con la propagazione dell'identità affidabile abilitata avvia un processo di SageMaker formazione o elaborazione che deve accedere ai dati di Amazon S3:
+ SageMaker L'intelligenza artificiale chiama Amazon S3 Access Grants per ottenere credenziali temporanee basate sull'identità dell'utente
+ Se la chiamata riesce, l’utente accede ai dati di Amazon S3 con le credenziali temporanee.
+ In caso di esito negativo, l' SageMaker IA torna a utilizzare le credenziali del ruolo IAM
**Nota**
Per impostare la concessione di tutte le autorizzazioni tramite Amazon S3 Access Grants, dovrai rimuovere le relative autorizzazioni di accesso Amazon S3 dal tuo ruolo di esecuzione e collegarle all’autorizzazione [Amazon S3 Access Grant](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) corrispondente.
**Topics**
+ [Considerazioni](#s3-access-grants-jobs-considerations)
+ [Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione](#s3-access-grants-jobs-setup)
## Considerazioni
Amazon S3 Access Grants non può essere utilizzato con la [modalità Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) sia per la SageMaker formazione che per l'elaborazione per l'input di Amazon S3.
Quando la propagazione delle identità affidabili è abilitata, non è possibile avviare un SageMaker Training Job con la seguente funzionalità
+ Debug remoto
+ Debugger
+ Profiler
Quando la propagazione attendibile delle identità è abilitata, non è possibile avviare un processo di elaborazione con la funzionalità seguente:
+ DatasetDefinition
## Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione
Dopo aver configurato Amazon S3 Access Grants, [aggiungi le autorizzazioni seguenti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) al [ruolo di esecuzione](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) del dominio o dell’utente.
+ `us-east-1` è la tua Regione AWS.
+ `111122223333` è il tuo ID Account AWS .
+ `S3-ACCESS-GRANT-ROLE` è il tuo ruolo Amazon S3 Access Grants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------