Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di una propagazione affidabile delle identità con Studio SageMaker
La procedura seguente illustra come configurare SageMaker Studio per la propagazione affidabile delle identità e le sessioni in background degli utenti.
## Prerequisiti
Prima di iniziare con questo tutorial, dovrai completare le seguenti attività:
1. [Abilita IAM Identity Center](enable-identity-center.md). È richiesta un'istanza dell'organizzazione. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
1. Effettua [il provisioning di utenti e gruppi dalla tua fonte di identità a IAM Identity Center](tutorials.md).
1. [Verifica che le sessioni utente in background siano abilitate](user-background-sessions.md) nella console IAM Identity Center. Per impostazione predefinita, le sessioni utente in background sono abilitate e la durata della sessione è impostata su 7 giorni. È possibile modificare questa durata.
Per configurare la propagazione delle identità attendibili da SageMaker Studio, l'amministratore di SageMaker Studio deve eseguire le seguenti operazioni.
## Passaggio 1: abilitare la propagazione delle identità affidabili in un dominio Studio nuovo o esistente SageMaker
SageMaker Studio utilizza i domini per organizzare i profili utente, le applicazioni e le risorse associate. Per abilitare la propagazione affidabile delle identità, è necessario creare un dominio SageMaker Studio o modificare un dominio esistente come descritto nella procedura seguente.
1. Apri la console SageMaker AI, vai a **Domini** ed esegui una delle seguenti operazioni.
+ **Crea un nuovo dominio SageMaker Studio utilizzando [Setup for organizations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Scegliete **Configura per le organizzazioni**, quindi effettuate le seguenti operazioni:
+ Scegli **AWS Identity Center** come metodo di autenticazione.
+ Seleziona la casella di controllo **Abilita la propagazione dell'identità affidabile per tutti gli utenti di questo dominio**.
+ **Modifica un dominio SageMaker Studio esistente.**
+ Seleziona un dominio esistente che utilizza IAM Identity Center per l'autenticazione.
**Importante**
La propagazione affidabile delle identità è supportata solo nei domini SageMaker Studio che utilizzano IAM Identity Center per l'autenticazione. Se il dominio utilizza IAM per l'autenticazione, non è possibile modificare il metodo di autenticazione e quindi non è possibile abilitare la propagazione delle identità affidabili.
+ [Modifica le impostazioni del dominio.](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Modifica le impostazioni di **autenticazione e autorizzazioni** per abilitare la propagazione delle identità affidabili.
1. Passare alla [Fase 2: Configurare il ruolo di esecuzione del dominio predefinito](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Questo ruolo è necessario per gli utenti di un dominio SageMaker Studio per accedere ad altri AWS servizi come Amazon S3.
## Passaggio 2: configura il ruolo di esecuzione del dominio e la politica di attendibilità dei ruoli predefiniti
Un *ruolo di esecuzione del dominio* è un [ruolo IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) che un dominio SageMaker Studio assume per conto di tutti gli utenti del dominio. Le autorizzazioni assegnate a questo ruolo determinano le azioni che SageMaker Studio può eseguire.
1. Per creare o selezionare un ruolo di esecuzione del dominio, effettuate una delle seguenti operazioni:
+ **Crea o seleziona un ruolo utilizzando [Configurazione per le organizzazioni](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Apri la console SageMaker AI e segui le istruzioni riportate nella **fase 2: Configurazione dei ruoli e delle attività di machine** learning per creare un nuovo ruolo di esecuzione del dominio o selezionare un ruolo esistente.
+ Completa il resto dei passaggi di configurazione per creare il tuo dominio SageMaker Studio.
+ **Crea manualmente un ruolo di esecuzione.**
+ Apri la console IAM e [crea tu stesso il ruolo di esecuzione](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Aggiorna la policy di fiducia](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) allegata al ruolo di esecuzione del dominio in modo che includa le due azioni seguenti: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)e [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Per informazioni su come trovare il ruolo di esecuzione per il dominio SageMaker Studio, consulta [Get domain execution role](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Una *politica di fiducia* specifica l'identità che può assumere un ruolo. Questa politica è necessaria per consentire al servizio SageMaker Studio di assumere il ruolo di esecuzione del dominio. Aggiungi queste due azioni in modo che appaiano come segue nella tua politica.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Fase 3: verifica le autorizzazioni richieste di Amazon S3 Access Grant per il ruolo di esecuzione del dominio
Per utilizzare Amazon S3 Access Grants, devi avere una politica di autorizzazioni allegata (come policy in linea o come policy gestita dal cliente) al ruolo di esecuzione del dominio SageMaker Studio che contenga le seguenti autorizzazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
*Se non disponi di una policy che contenga queste autorizzazioni, segui le istruzioni in [Aggiungere e rimuovere le autorizzazioni di identità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella Guida per l'utente.AWS Identity and Access Management *
## Passaggio 4: Assegna gruppi e utenti al dominio
Assegna gruppi e utenti al dominio SageMaker Studio seguendo la procedura descritta in [Aggiungere gruppi e](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html) utenti.
## Fase 5: configurare Amazon S3 Access Grants
Per configurare Amazon S3 Access Grants, segui i passaggi descritti in Configurazione di [Amazon S3 Access Grants per la propagazione di identità affidabili tramite IAM](tip-tutorial-s3.md#tip-tutorial-s3-configure) Identity Center. Utilizza le step-by-step istruzioni per completare le seguenti attività:
1. Crea un'istanza Amazon S3 Access Grants.
1. Registra una posizione in quell'istanza.
1. Crea sovvenzioni per consentire a utenti o gruppi specifici di IAM Identity Center di accedere a posizioni o sottoinsiemi di Amazon S3 designati (ad esempio, prefissi specifici) all'interno di tali sedi.
## Fase 6: Invia un lavoro di SageMaker formazione e visualizza i dettagli della sessione in background dell'utente
In SageMaker Studio, avvia un nuovo notebook Jupyter e invia un lavoro di formazione. Mentre il processo è in esecuzione, completa i seguenti passaggi per visualizzare le informazioni sulla sessione e verificare che il contesto della sessione in background dell'utente sia attivo.
1. Apri la console Centro identità IAM.
1. Scegliere **Users (Utenti)**.
1. Nella pagina **Utenti**, scegli il nome utente dell'utente di cui desideri gestire le sessioni. Verrai indirizzato a una pagina con le informazioni dell'utente.
1. Nella pagina dell'utente, scegli la scheda **Sessioni attive**. Il numero tra parentesi accanto a **Sessioni attive indica il numero di sessioni** attive per questo utente.
1. Per cercare le sessioni in base all'Amazon Resource Name (ARN) del processo che utilizza la sessione, nell'elenco **Tipo di sessione**, scegli **Sessioni utente in background**, quindi inserisci l'ARN del lavoro nella casella di ricerca.
Di seguito è riportato un esempio di come un processo di formazione che utilizza una sessione utente in background viene visualizzato nella scheda **Sessioni attive** per un utente.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Passaggio 7: Visualizza CloudTrail i log per verificare la propagazione dell'identità affidabile in CloudTrail
Quando la propagazione delle identità attendibili è abilitata, le azioni vengono visualizzate nei registri CloudTrail degli eventi sotto l'elemento. `onBehalfOf` `userId`Riflette l'ID dell'utente IAM Identity Center che ha avviato il processo di formazione. Il seguente CloudTrail evento cattura il processo di propagazione dell'identità affidabile.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considerazioni sul runtime
Se un amministratore imposta processi **MaxRuntimeInSeconds**di formazione o elaborazione di lunga durata inferiori alla durata della sessione utente in background, SageMaker Studio esegue il lavoro per la durata minima della sessione utente in background **MaxRuntimeInSeconds **o per la durata minima della sessione utente in background.
Per ulteriori informazioni in merito **MaxRuntimeInSeconds**, consulta la guida per il `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parametro nell'*Amazon SageMaker API Reference*.