Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Panoramica sulla propagazione delle identità affidabili
La propagazione affidabile delle identità è una funzionalità di IAM Identity Center che consente agli amministratori di concedere autorizzazioni Servizi AWS in base agli attributi degli utenti, come le associazioni di gruppo. Con la propagazione affidabile delle identità, il contesto dell'identità viene aggiunto a un ruolo IAM per identificare l'utente che richiede l'accesso alle risorse. AWS Questo contesto viene propagato ad altri. Servizi AWS
Il contesto di identità comprende le informazioni che vengono Servizi AWS utilizzate per prendere decisioni di autorizzazione quando ricevono richieste di accesso. Queste informazioni includono metadati che identificano il richiedente (ad esempio, un utente IAM Identity Center), il Servizio AWS cui accesso è richiesto (ad esempio, Amazon Redshift) e l'ambito di accesso (ad esempio, accesso in sola lettura). La ricezione Servizio AWS utilizza questo contesto e tutte le autorizzazioni assegnate all'utente per autorizzare l'accesso alle sue risorse.
## Vantaggi della propagazione affidabile delle identità
La propagazione affidabile delle identità consente agli amministratori di Servizi AWS concedere autorizzazioni a risorse, come i dati, utilizzando le identità aziendali della forza lavoro. Inoltre, possono verificare chi ha avuto accesso a quali dati consultando i registri di servizio o. AWS CloudTrail Se sei un amministratore di IAM Identity Center, altri Servizio AWS amministratori potrebbero chiederti di abilitare la propagazione affidabile delle identità.
## Abilitare la propagazione affidabile delle identità
Il processo di abilitazione della propagazione delle identità attendibili prevede i due passaggi seguenti:
1. **Abilita IAM Identity Center e connetti la tua fonte di identità esistente a IAM Identity Center**: continuerai a gestire le identità della tua forza lavoro nella tua fonte di identità esistente; collegandola a IAM Identity Center si crea un riferimento alla tua forza lavoro che tutti, Servizi AWS nel tuo caso d'uso, possono condividere. È inoltre disponibile per i proprietari dei dati da utilizzare in casi d'uso futuri.
1. **Connetti il Servizi AWS tuo caso d'uso a IAM Identity Center**: l'amministratore di ciascuno Servizio AWS dei casi d'uso di Trusted Identity Propagation segue le indicazioni contenute nella rispettiva documentazione del servizio per connettere il servizio a IAM Identity Center.
**Nota**
Se il tuo caso d'uso riguarda un'*applicazione sviluppata da *terze parti* o da un cliente*, abiliti la propagazione dell'identità affidabile configurando una relazione di fiducia tra il provider di identità che autentica gli utenti dell'applicazione e IAM Identity Center. Ciò consente all'applicazione di sfruttare il flusso di propagazione delle identità affidabili descritto in precedenza.
Per ulteriori informazioni, consulta [Utilizzo di applicazioni con un emittente di token affidabile](using-apps-with-trusted-token-issuer.md).
## Come funziona la propagazione delle identità attendibili
Il diagramma seguente mostra il flusso di lavoro di alto livello per la propagazione delle identità affidabili:
![\[Flusso di lavoro semplificato per la propagazione delle identità affidabili.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Gli utenti si autenticano con un'applicazione rivolta al client, ad esempio Quick.
1. L'applicazione rivolta al client richiede l'accesso per utilizzare e interrogare Servizio AWS i dati e include informazioni sull'utente.
**Nota**
Alcuni casi d'uso affidabili di propagazione delle identità riguardano strumenti che interagiscono con l' Servizi AWS utilizzo di driver di servizio. Puoi scoprire se ciò si applica al tuo caso d'uso nella [guida ai casi d'uso](trustedidentitypropagation-integrations.md).
1. Servizio AWS Verifica l'identità dell'utente con IAM Identity Center e confronta gli attributi degli utenti, come le loro associazioni di gruppo, con quelli richiesti per l'accesso. Servizio AWS Autorizza l'accesso purché l'utente o il suo gruppo disponga delle autorizzazioni necessarie.
1. Servizi AWS possono registrare l'identificatore utente nei propri registri AWS CloudTrail di servizio. Consulta la documentazione del servizio per i dettagli.
L'immagine seguente fornisce una panoramica dei passaggi descritti in precedenza nel flusso di lavoro di propagazione delle identità affidabili:
![\[Flusso di lavoro semplificato per la propagazione delle identità affidabili.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Vantaggi della propagazione affidabile delle identità](#benefits-trusted-identity-propagation)
+ [Abilitare la propagazione affidabile delle identità](#enabling-tip)
+ [Come funziona la propagazione delle identità attendibili](#how-tip-works)
+ [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md)
+ [Casi d'uso affidabili per la propagazione delle identità](trustedidentitypropagation-integrations.md)
+ [Servizi di autorizzazione](authorization-services.md)
# Prerequisiti e considerazioni
Prima di configurare la propagazione delle identità affidabili, esamina i prerequisiti e le considerazioni seguenti.
**Topics**
+ [Prerequisiti](#trustedidentitypropagation-prerequisites)
+ [Considerazioni](#trustedidentitypropagation-considerations)
+ [Considerazioni per le applicazioni gestite dai clienti](#trustedidentitypropagation-customer-apps)
## Prerequisiti
Per utilizzare la propagazione affidabile delle identità, assicuratevi che l'ambiente soddisfi i seguenti prerequisiti:
+ Abilita e fornisci IAM Identity Center
+ Per utilizzare la propagazione affidabile delle identità, devi abilitare IAM Identity Center nella stessa area in Regione AWS cui sono abilitate le AWS applicazioni e i servizi a cui gli utenti accederanno. Per informazioni, consulta [Abilita IAM Identity Center](enable-identity-center.md).
+ È consigliata un'istanza organizzativa di IAM Identity Center: ti consigliamo di utilizzare un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center da abilitare nell'account di gestione di AWS Organizations. Puoi [delegare l'amministrazione](organization-instances-identity-center.md) di un'istanza organizzativa di IAM Identity Center a un account membro. Se scegli un'[istanza di account](account-instances-identity-center.md) di IAM Identity Center, tutto ciò a cui desideri Servizi AWS che gli utenti accedano con una propagazione dell'identità affidabile deve risiedere nello stesso in Account AWS cui abiliti IAM Identity Center. Per ulteriori informazioni, consulta [Istanze account del Centro identità IAM](account-instances-identity-center.md).
+ Connetti il tuo provider di identità esistente a IAM Identity Center e fornisci utenti e gruppi a IAM Identity Center. Per ulteriori informazioni, consulta [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md).
+ Connetti le applicazioni e i servizi AWS gestiti nel tuo use case di propagazione dell'identità affidabile a IAM Identity Center. Per utilizzare la propagazione affidabile delle identità, le applicazioni AWS gestite devono essere connesse a IAM Identity Center.
## Considerazioni
Tieni presente le seguenti considerazioni durante la configurazione e l'utilizzo della propagazione affidabile delle identità:
+ **Istanza tra organizzazione e account di IAM Identity Center**
+ Un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center ti offrirà il massimo controllo e flessibilità per estendere i tuoi casi d'uso a più Account AWS utenti e Servizi AWS... Se non sei in grado di utilizzare un'istanza organizzativa, il tuo caso d'uso potrebbe essere supportato dalle istanze di account di IAM Identity Center. Per ulteriori informazioni su quali istanze di account di IAM Identity Center supportano Servizi AWS nel tuo caso d'uso, consulta. [AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md)
+ **Autorizzazioni per più account (set di autorizzazioni) non richieste**
+ La propagazione affidabile delle identità non richiede la configurazione di autorizzazioni per [più account (set di autorizzazioni](manage-your-accounts.md)). Puoi abilitare IAM Identity Center e utilizzarlo solo per la propagazione di identità affidabili.
## Considerazioni per le applicazioni gestite dai clienti
La vostra forza lavoro può trarre vantaggio dalla propagazione affidabile delle identità anche se gli utenti interagiscono con applicazioni rivolte ai client che non sono gestite, ad esempio AWSTableau, da applicazioni sviluppate su misura. È possibile che agli utenti di queste applicazioni non venga eseguito il provisioning in IAM Identity Center. Per consentire il riconoscimento e l'autorizzazione senza problemi dell'accesso degli utenti alle AWS risorse, IAM Identity Center consente di configurare una relazione di fiducia tra il provider di identità che autentica gli utenti e IAM Identity Center. Per ulteriori informazioni, consulta [Utilizzo di applicazioni con un emittente di token affidabile](using-apps-with-trusted-token-issuer.md).
Inoltre, la configurazione della propagazione affidabile dell'identità per l'applicazione richiederà:
+ L'applicazione deve utilizzare il framework OAuth 2.0 per l'autenticazione. La propagazione affidabile delle identità non supporta le integrazioni SAML 2.0.
+ L'applicazione deve essere riconosciuta da IAM Identity Center. Segui le linee guida specifiche per il tuo [caso d'uso](trustedidentitypropagation-integrations.md).
# Casi d'uso affidabili per la propagazione delle identità
In qualità di amministratore di IAM Identity Center, ti potrebbe essere chiesto di aiutarti a configurare la propagazione delle identità affidabili dalle applicazioni rivolte agli utenti verso. Servizi AWS Per supportare questa richiesta, avrai bisogno delle seguenti informazioni:
+ Con quale applicazione rivolta ai clienti si interfaccieranno i tuoi utenti?
+ Quali Servizi AWS vengono utilizzati per interrogare i dati e autorizzare l'accesso ai dati?
+ Cosa Servizio AWS autorizza l'accesso ai dati?
Il vostro ruolo nell'abilitare **casi d'uso affidabili di propagazione delle identità che non coinvolgono applicazioni di terze parti o applicazioni sviluppate su misura** consiste nel:
1. [Abilita IAM Identity Center](enable-identity-center.md).
1. [Connect la tua fonte di identità esistente a IAM Identity Center](tutorials.md).
I passaggi rimanenti della configurazione dell'identità affidabile per questi casi d'uso vengono eseguiti all'interno delle applicazioni Servizi AWS connesse e. Gli amministratori delle applicazioni connesse Servizi AWS o connesse devono fare riferimento alle rispettive guide per l'utente per una guida completa specifica sul servizio.
Il vostro ruolo nell'abilitare **casi d'uso affidabili di propagazione delle identità che coinvolgono applicazioni di terze parti o applicazioni sviluppate su misura include le** fasi di [connessione della fonte delle identità](tutorials.md), [Abilita IAM Identity Center](enable-identity-center.md) nonché:
1. Configurazione della connessione del tuo provider di identità (IdP) all'applicazione di terze parti o sviluppata su misura.
1. Consentire a IAM Identity Center di riconoscere l'applicazione di terze parti o sviluppata su misura.
1. Configurazione del tuo IdP come emittente di token affidabile in IAM Identity Center. Per ulteriori informazioni, consulta [Utilizzo di applicazioni con un emittente di token affidabile](using-apps-with-trusted-token-issuer.md).
Gli amministratori delle applicazioni connesse Servizi AWS devono fare riferimento alle rispettive guide per l'utente per una guida completa specifica sul servizio.
## Casi d'uso di analisi, data lakehouse e machine learning
Puoi abilitare casi d'uso affidabili di propagazione con i seguenti servizi di analisi e apprendimento automatico:
+ **Amazon Redshift**: per indicazioni, consulta. [Propagazione affidabile delle identità con Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR**: per indicazioni, consulta. [Propagazione affidabile delle identità con Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena**: per indicazioni, consulta. [Propagazione affidabile delle identità con Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio**: per ulteriori informazioni, consulta[Propagazione affidabile delle identità con Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Casi d'uso aggiuntivi
Puoi abilitare IAM Identity Center e la propagazione delle identità affidabili con questi elementi aggiuntivi Servizi AWS:
+ **Amazon Q Business**: per indicazioni, consulta:
+ [Flusso di lavoro di amministrazione per le app che utilizzano IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Configurazione di un'applicazione Amazon Q Business utilizzando IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configura Amazon Q Business con la propagazione delle identità affidabile di IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service**: per informazioni, consulta:
+ [IAM Identity Center Trusted Identity Propagation Support per Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Interfaccia OpenSearch utente centralizzata (dashboard) con Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**- per informazioni, consulta:
+ [App web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Casi d'uso di analisi, data lakehouse e machine learning](#tip-data-analytic-usecases-overview)
+ [Casi d'uso aggiuntivi](#tip-additional-usecases)
+ [Propagazione affidabile delle identità con Amazon Redshift](tip-usecase-redshift.md)
+ [Propagazione affidabile delle identità con Amazon EMR](tip-usecase-emr.md)
+ [Propagazione affidabile delle identità con Amazon Athena](tip-usecase-ate.md)
+ [Propagazione affidabile delle identità con Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagazione affidabile delle identità con Amazon Redshift
I passaggi per abilitare la propagazione affidabile delle identità dipendono dal fatto che gli utenti interagiscano con applicazioni gestite o con applicazioni AWS gestite dai clienti. Il diagramma seguente mostra una configurazione affidabile di propagazione delle identità per applicazioni rivolte ai AWS client, AWS gestite o esterne, che interrogano i dati di Amazon Redshift con il controllo degli accessi fornito da Amazon Redshift o da servizi di autorizzazione, come Amazon S3. AWS Lake Formation Access Grants
![\[Diagramma della propagazione delle identità affidabili utilizzando Amazon Redshift, Quick, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Quando la propagazione affidabile delle identità su Amazon Redshift è abilitata, gli amministratori di Redshift possono configurare Redshift per [creare automaticamente ruoli per IAM Identity Center come provider di identità, mappare i ruoli Redshift ai](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) gruppi in IAM Identity Center e utilizzare il controllo degli accessi basato sui ruoli di Redshift per concedere l'accesso.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Applicazioni supportate rivolte ai clienti
**AWS applicazioni gestite**
Le seguenti applicazioni AWS gestite rivolte ai client supportano la propagazione affidabile delle identità su Amazon Redshift:
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Rapido](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**Nota**
Se utilizzi Amazon Redshift Spectrum per accedere a database o tabelle esterni, prendi AWS Glue Data Catalog in considerazione la possibilità di [configurare Lake](tip-tutorial-lf.md) Formation [e Access Grants Amazon S3](tip-tutorial-s3.md) per fornire un controllo granulare degli accessi.
**Applicazioni gestite dai clienti**
Le seguenti applicazioni gestite dai clienti supportano la propagazione affidabile delle identità su Amazon Redshift:
+ **Tableau**tra cui TableauDesktop, e Tableau Server Tableau Prep
+ Per abilitare la propagazione affidabile delle identità per gli utenti diTableau, consulta [Integrate Tableau and Okta with Amazon Redshift using IAM Identity](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) Center *AWS nel Big Data Blog*.
+ **Client SQL** (e) DBeaver DBVisualizer
+ *Per abilitare la propagazione affidabile delle identità per gli utenti di SQL Client (DBeaverandDBVisualizer), consulta [Integrate Identity Provider (IdP) con Amazon Redshift Query Editor V2 e SQL Client utilizzando IAM Identity Center per un Single Sign-On senza interruzioni](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) nel Big Data Blog.AWS *
# Configurazione della propagazione affidabile delle identità con Amazon Redshift Query Editor V2
La procedura seguente illustra come ottenere una propagazione affidabile delle identità da Amazon Redshift Query Editor V2 ad Amazon Redshift.
## Prerequisiti
Prima di iniziare con questo tutorial, devi configurare quanto segue:
1. [Abilita IAM Identity Center](enable-identity-center.md). [L'istanza dell'organizzazione](organization-instances-identity-center.md) è consigliata. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
1. Effettua [il provisioning di utenti e gruppi dalla tua fonte di identità a IAM Identity Center](tutorials.md).
L'abilitazione della propagazione affidabile delle identità include le attività eseguite da un amministratore IAM Identity Center nella console IAM Identity Center e le attività eseguite da un amministratore Amazon Redshift nella console Amazon Redshift.
## Attività eseguite dall'amministratore di IAM Identity Center
L'amministratore di IAM Identity Center doveva completare le seguenti attività:
1. **Crea un [ruolo IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** nell'account in cui esiste il cluster Amazon Redshift o l'istanza Serverless con la seguente politica di autorizzazione. Per ulteriori informazioni, consulta la sezione Creazione di [ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. I seguenti esempi di policy includono le autorizzazioni necessarie per completare questo tutorial. Per utilizzare questa politica, sostituisci la *italicized placeholder text* politica dell'esempio con le tue informazioni. Per ulteriori indicazioni, consulta [Creare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Modificare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Politica di autorizzazione:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Politica di fiducia:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Crea un set di autorizzazioni** nell'account di AWS Organizations gestione in cui è abilitato IAM Identity Center. Lo utilizzerai nel passaggio successivo per consentire agli utenti federati di accedere a Redshift Query Editor V2.
1. **Vai alla console **IAM Identity Center**, in Autorizzazioni **multi-account, scegli Set di autorizzazioni**.**
1. Scegli **Create permission set (Crea set di autorizzazioni)**.
1. **Scegli **Set di autorizzazioni personalizzato**, quindi scegli Avanti.**
1. In **Politiche AWS gestite**, scegli **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. In **Politica in linea**, aggiungi la seguente politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Seleziona **Avanti** e quindi fornisci un nome per il nome del set di autorizzazioni. Ad esempio, **Redshift-Query-Editor-V2**.
1. In **Relay state, facoltativo**, imposta lo stato di inoltro predefinito sull'URL di Query Editor V2, utilizzando il formato:. `https://your-region.console.aws.amazon.com/sqlworkbench/home`
1. **Controlla le impostazioni e scegli Crea.**
1. Vai alla dashboard di IAM Identity Center e copia l'URL del portale di AWS accesso dalla sezione **Riepilogo delle impostazioni**.
![\[Fase i, Copia AWS l'URL del portale di accesso dalla console IAM Identity Center.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Apri una nuova finestra del browser in incognito e incolla l'URL.
Verrai reindirizzato al tuo portale di AWS accesso, assicurandoti di accedere con un utente IAM Identity Center.
![\[Passaggio j, accedi per AWS accedere al portale.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Per ulteriori informazioni sul set di autorizzazioni, consulta[Gestisci Account AWS con set di autorizzazioni](permissionsetsconcept.md).
1. **Consenti agli utenti federati di accedere a Redshift Query** Editor V2.
1. Nell'account di AWS Organizations gestione, apri la console **IAM Identity Center**.
1. Nel pannello di navigazione, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella Account AWS pagina, seleziona l'accesso a Account AWS cui desideri assegnare l'accesso.
1. Scegli **Assegna utenti o gruppi**.
1. Nella pagina **Assegna utenti e gruppi**, scegli gli utenti e/o i gruppi per cui desideri creare il set di autorizzazioni. Quindi, seleziona **Successivo**.
1. Nella pagina **Assegna set di autorizzazioni**, scegli il set di autorizzazioni creato nel passaggio precedente. Quindi, seleziona **Successivo**.
1. **Nella pagina **Rivedi e invia le assegnazioni**, rivedi le selezioni e scegli Invia.**
## Attività eseguite da un amministratore di Amazon Redshift
Per abilitare la propagazione affidabile delle identità su Amazon Redshift è necessario che un amministratore del cluster Amazon Redshift o un amministratore di Amazon Redshift Serverless esegua una serie di attività nella console Amazon Redshift. *Per ulteriori informazioni, consulta [Integrare Identity Provider (IdP) con Amazon Redshift Query Editor V2 e SQL Client utilizzando IAM Identity Center per un Single Sign-On senza interruzioni](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) nel Big Data Blog.AWS *
# Propagazione affidabile delle identità con Amazon EMR
Il diagramma seguente mostra una configurazione di propagazione delle identità affidabile per Amazon EMR Studio che utilizza Amazon EMR su Amazon EC2 con controllo degli accessi fornito da Amazon S3. AWS Lake Formation Access Grants
![\[Diagramma della propagazione delle identità affidabili utilizzando Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Applicazioni rivolte ai clienti supportate**
+ Amazon EMR Studio
**Per abilitare la propagazione affidabile delle identità, segui questi passaggi:**
+ [Configura Amazon EMR Studio](setting-up-tip-emr.md) come applicazione rivolta ai client per il cluster Amazon EMR.
+ Configura [Amazon EMR Cluster su Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) con. Apache Spark
+ *Consigliato*: [AWS Lake Formation](tip-tutorial-lf.md)e [Amazon S3 Access Grants](tip-tutorial-s3.md) per fornire un controllo granulare degli accessi alle posizioni dei dati sottostanti in S3 AWS Glue Data Catalog e alle relative ubicazioni.
# Configurazione della propagazione affidabile delle identità con Amazon EMR Studio
La procedura seguente illustra come configurare Amazon EMR Studio per la propagazione di identità affidabili nelle query su gruppi di lavoro Amazon Athena o cluster Amazon EMR in esecuzione. Apache Spark
## Prerequisiti
Prima di iniziare con questo tutorial, devi configurare quanto segue:
1. [Abilita IAM Identity Center](enable-identity-center.md). [L'istanza dell'organizzazione](organization-instances-identity-center.md) è consigliata. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
1. Effettua [il provisioning di utenti e gruppi dalla tua fonte di identità a IAM Identity Center](tutorials.md).
Per completare la configurazione della propagazione delle identità affidabili da Amazon EMR Studio, l'amministratore di EMR Studio deve eseguire i seguenti passaggi.
## Passaggio 1. Creare i ruoli IAM richiesti per EMR Studio
In questa fase, l'Studioamministratore di Amazon EMR crea un ruolo di servizio IAM e un ruolo utente IAM per EMR. Studio
1. **[Crea un ruolo di servizio EMR Studio: EMR Studio assume questo ruolo](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM per gestire in sicurezza aree di lavoro e notebook, connettersi ai cluster e gestire le interazioni con i dati.
1. Passa alla console IAM () e crea un ruolo IAM. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Seleziona **Servizio AWS**come entità affidabile, quindi scegli **Amazon EMR**. Allega le seguenti politiche per definire le autorizzazioni e la relazione di fiducia del ruolo.
Per utilizzare queste politiche, sostituisci la *italicized placeholder text* politica dell'esempio con le tue informazioni. Per ulteriori indicazioni, consulta [Creare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Modificare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Per un riferimento di tutte le autorizzazioni dei ruoli di servizio, vedere Autorizzazioni dei ruoli di [servizio EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Crea un ruolo utente EMR Studio per l'autenticazione di IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)**: EMR Studio assume questo ruolo quando un utente accede tramite IAM Identity Center per gestire aree di lavoro, cluster EMR, job, repository git. **Questo ruolo viene utilizzato per avviare il flusso di lavoro di propagazione delle identità affidabili**.
**Nota**
Il ruolo utente di EMR Studio non deve includere le autorizzazioni per accedere alle posizioni Amazon S3 delle tabelle in Catalog. AWS Glue AWS Lake Formation le autorizzazioni e le località lacustri registrate verranno utilizzate per ricevere autorizzazioni temporanee.
La seguente policy di esempio può essere utilizzata in un ruolo che consente a un utente di EMR Studio di utilizzare i gruppi di lavoro Athena per eseguire query.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
La seguente politica di attendibilità consente a EMR Studio di assumere il ruolo:
**Nota**
Sono necessarie autorizzazioni aggiuntive per utilizzare EMR Studio Workspaces e EMR Notebooks. Per ulteriori informazioni, consulta [Creare politiche di autorizzazione per gli utenti di EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies).
**Puoi trovare ulteriori informazioni ai seguenti link:**
+ [Definisci le autorizzazioni IAM personalizzate con le policy gestite dal cliente](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Autorizzazioni per i ruoli di servizio EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Passaggio 2. Crea e configura il tuo EMR Studio
In questo passaggio, creerai un Amazon EMR Studio nella console EMR Studio e utilizzerai i ruoli IAM in cui hai creato. [Passaggio 1. Creare i ruoli IAM richiesti per EMR StudioPassaggio 2. Crea e configura il tuo EMR Studio](#setting-up-tip-emr-step1)
1. Accedere alla console EMR Studio, selezionare **Create Studio** e l'opzione **Configurazione personalizzata**. Puoi creare un nuovo bucket S3 o utilizzare un bucket esistente. Puoi selezionare la casella per **crittografare i file dell'area di lavoro con le tue** chiavi KMS. Per ulteriori informazioni, consulta [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Fase 1 Creare EMR Studio nella console EMR.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. In **Ruolo di servizio per consentire a Studio di accedere alle tue risorse**, seleziona il ruolo di servizio creato in [Passaggio 1. Creare i ruoli IAM richiesti per EMR StudioPassaggio 2. Crea e configura il tuo EMR Studio](#setting-up-tip-emr-step1) dal menu.
1. Scegli **IAM Identity Center** in **Authentication**. Seleziona il ruolo utente creato in[Passaggio 1. Creare i ruoli IAM richiesti per EMR StudioPassaggio 2. Crea e configura il tuo EMR Studio](#setting-up-tip-emr-step1).
![\[Fase 3 Creare EMR Studio nella console EMR, selezionando IAM Identity Center per il metodo di autenticazione.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Seleziona la casella **Trusted Identity Propagation**. Scegli **Solo utenti e gruppi assegnati** nella sezione Accesso all'applicazione, che ti consentirà di concedere solo agli utenti e ai gruppi autorizzati l'accesso a questo studio.
1. *(Facoltativo)*: puoi configurare VPC e sottorete se utilizzi questo Studio con cluster EMR.
![\[Fase 4 Creare EMR Studio nella console EMR, selezionando le impostazioni di rete e di sicurezza.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Controlla tutti i dettagli e seleziona **Create** Studio.
1. Dopo aver configurato un cluster WorkGroup Athena o EMR, accedi all'URL dello Studio per:
1. Esegui le interrogazioni Athena con l'editor di query.
1. Esegui i job Spark nell'area di lavoro usando notebook. Jupyter
# Propagazione affidabile delle identità con Amazon Athena
I passaggi per abilitare la propagazione affidabile delle identità dipendono dal fatto che gli utenti interagiscano con applicazioni gestite o con applicazioni AWS gestite dai clienti. Il diagramma seguente mostra una configurazione di propagazione dell'identità affidabile per applicazioni rivolte ai client, AWS gestite o esterne, che utilizza Amazon Athena per AWS interrogare i dati di Amazon S3 con il controllo degli accessi fornito da Amazon S3. AWS Lake Formation Access Grants
**Nota**
La propagazione affidabile delle identità con Amazon Athena richiede l'uso di Trino.
I client Apache Spark e SQL connessi ad Amazon Athena tramite driver ODBC e JDBC non sono supportati.
![\[Diagramma della propagazione delle identità affidabili utilizzando Athena, Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS applicazioni gestite**
La seguente applicazione AWS gestita rivolta ai client supporta la propagazione affidabile delle identità con Athena:
+ Amazon EMR Studio
**Per abilitare la propagazione affidabile delle identità, segui questi passaggi:**
+ [Configura Amazon EMR Studio](setting-up-tip-emr.md) come applicazione rivolta ai client per Athena. L'editor di query in EMR Studio è necessario per eseguire Athena Queries quando è abilitata la propagazione delle identità affidabili.
+ [Configura Athena](setting-up-tip-ate.md) Workgroup.
+ [Configura AWS Lake Formation](tip-tutorial-lf.md) per abilitare il controllo granulare degli accessi per le AWS Glue tabelle in base all'utente o al gruppo in IAM Identity Center.
+ [Configura Amazon S3 Access Grants](tip-tutorial-s3.md) per consentire l'accesso temporaneo alle posizioni dei dati sottostanti in S3.
**Nota**
Sia Lake Formation che Amazon S3 Access Grants sono necessari per il controllo degli accessi ai AWS Glue Data Catalog e per i risultati delle query Athena in Amazon S3.
**Applicazioni gestite dal cliente**
*Per abilitare la propagazione affidabile delle identità per gli utenti di *applicazioni sviluppate su misura*, consulta [Access Servizi AWS programmatically using trusted identity propagation](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) nel Security Blog.AWS *
# Configurazione della propagazione affidabile delle identità con i gruppi di lavoro Amazon Athena
La procedura seguente illustra come configurare i gruppi di lavoro Amazon Athena per la propagazione di identità affidabili.
## Prerequisiti
Prima di iniziare con questo tutorial, devi configurare quanto segue:
1. [Abilita IAM Identity Center](enable-identity-center.md). [L'istanza dell'organizzazione](organization-instances-identity-center.md) è consigliata. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
1. Effettua [il provisioning di utenti e gruppi dalla tua fonte di identità a IAM Identity Center](tutorials.md).
1. Questa configurazione richiede [Amazon EMR Studio](setting-up-tip-emr.md) e [Amazon S3 [AWS Lake Formation](tip-tutorial-lf.md)](tip-tutorial-s3.md)Access Grants.
## Configurazione della propagazione affidabile delle identità con Athena
Per configurare la propagazione delle identità affidabili con Athena, l'amministratore di Athena deve:
1. Esamina [le considerazioni e le limitazioni relative all'utilizzo dei gruppi di lavoro Athena abilitati per IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Crea un gruppo di lavoro Athena abilitato per IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagazione affidabile delle identità con Amazon Studio SageMaker
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) si integra con IAM Identity Center e supporta [sessioni utente in background](user-background-sessions.md) e la propagazione affidabile delle identità. Le sessioni utente in background consentono a un utente di avviare un processo di lunga durata su SageMaker Studio, senza che l'utente debba rimanere connesso durante l'esecuzione del lavoro. Il processo viene eseguito immediatamente e in background, utilizzando le autorizzazioni dell'utente che ha avviato il processo. Il processo può continuare a essere eseguito anche se l'utente spegne il computer, la sessione di accesso a IAM Identity Center scade o l'utente si disconnette dal portale di accesso. AWS La durata predefinita della sessione per le sessioni utente in background è di 7 giorni, ma è possibile specificare una durata massima di 90 giorni. La propagazione affidabile delle identità consente di fornire un accesso granulare a AWS risorse come i bucket Amazon S3 in base all'identità dell'utente o all'appartenenza al gruppo.
Il diagramma seguente mostra una configurazione di propagazione delle identità affidabile per SageMaker Studio, con accesso ai dati archiviati in un bucket Amazon S3. Le sessioni utente in background sono abilitate per IAM Identity Center, che consente l'esecuzione del processo di formazione di SageMaker Studio in background. Il controllo degli accessi per i dati di formazione è fornito da Amazon S3Access Grants.
![\[Diagramma della propagazione delle identità affidabili per SageMaker Studio, con un processo di formazione di SageMaker Studio in esecuzione in una sessione utente in background e accesso ai dati di formazione in Amazon S3 forniti da Amazon S3. Access Grants\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS applicazione gestita**
La seguente applicazione AWS gestita rivolta ai client supporta la propagazione affidabile delle identità:
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Per abilitare la propagazione affidabile delle identità e le sessioni in background degli utenti, segui questi passaggi:**
+ [Configura SageMaker Studio come applicazione rivolta al client.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configura Amazon S3 Access Grants](tip-tutorial-s3.md) per consentire l'accesso temporaneo alle posizioni dei dati sottostanti in Amazon S3.
# Configurazione di una propagazione affidabile delle identità con Studio SageMaker
La procedura seguente illustra come configurare SageMaker Studio per la propagazione affidabile delle identità e le sessioni in background degli utenti.
## Prerequisiti
Prima di iniziare con questo tutorial, dovrai completare le seguenti attività:
1. [Abilita IAM Identity Center](enable-identity-center.md). È richiesta un'istanza dell'organizzazione. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
1. Effettua [il provisioning di utenti e gruppi dalla tua fonte di identità a IAM Identity Center](tutorials.md).
1. [Verifica che le sessioni utente in background siano abilitate](user-background-sessions.md) nella console IAM Identity Center. Per impostazione predefinita, le sessioni utente in background sono abilitate e la durata della sessione è impostata su 7 giorni. È possibile modificare questa durata.
Per configurare la propagazione delle identità attendibili da SageMaker Studio, l'amministratore di SageMaker Studio deve eseguire le seguenti operazioni.
## Passaggio 1: abilitare la propagazione delle identità affidabili in un dominio Studio nuovo o esistente SageMaker
SageMaker Studio utilizza i domini per organizzare i profili utente, le applicazioni e le risorse associate. Per abilitare la propagazione affidabile delle identità, è necessario creare un dominio SageMaker Studio o modificare un dominio esistente come descritto nella procedura seguente.
1. Apri la console SageMaker AI, vai a **Domini** ed esegui una delle seguenti operazioni.
+ **Crea un nuovo dominio SageMaker Studio utilizzando [Setup for organizations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Scegliete **Configura per le organizzazioni**, quindi effettuate le seguenti operazioni:
+ Scegli **AWS Identity Center** come metodo di autenticazione.
+ Seleziona la casella di controllo **Abilita la propagazione dell'identità affidabile per tutti gli utenti di questo dominio**.
+ **Modifica un dominio SageMaker Studio esistente.**
+ Seleziona un dominio esistente che utilizza IAM Identity Center per l'autenticazione.
**Importante**
La propagazione affidabile delle identità è supportata solo nei domini SageMaker Studio che utilizzano IAM Identity Center per l'autenticazione. Se il dominio utilizza IAM per l'autenticazione, non è possibile modificare il metodo di autenticazione e quindi non è possibile abilitare la propagazione delle identità affidabili.
+ [Modifica le impostazioni del dominio.](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Modifica le impostazioni di **autenticazione e autorizzazioni** per abilitare la propagazione delle identità affidabili.
1. Passare alla [Fase 2: Configurare il ruolo di esecuzione del dominio predefinito](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Questo ruolo è necessario per gli utenti di un dominio SageMaker Studio per accedere ad altri AWS servizi come Amazon S3.
## Passaggio 2: configura il ruolo di esecuzione del dominio e la politica di attendibilità dei ruoli predefiniti
Un *ruolo di esecuzione del dominio* è un [ruolo IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) che un dominio SageMaker Studio assume per conto di tutti gli utenti del dominio. Le autorizzazioni assegnate a questo ruolo determinano le azioni che SageMaker Studio può eseguire.
1. Per creare o selezionare un ruolo di esecuzione del dominio, effettuate una delle seguenti operazioni:
+ **Crea o seleziona un ruolo utilizzando [Configurazione per le organizzazioni](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Apri la console SageMaker AI e segui le istruzioni riportate nella **fase 2: Configurazione dei ruoli e delle attività di machine** learning per creare un nuovo ruolo di esecuzione del dominio o selezionare un ruolo esistente.
+ Completa il resto dei passaggi di configurazione per creare il tuo dominio SageMaker Studio.
+ **Crea manualmente un ruolo di esecuzione.**
+ Apri la console IAM e [crea tu stesso il ruolo di esecuzione](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Aggiorna la policy di fiducia](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) allegata al ruolo di esecuzione del dominio in modo che includa le due azioni seguenti: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)e [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Per informazioni su come trovare il ruolo di esecuzione per il dominio SageMaker Studio, consulta [Get domain execution role](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Una *politica di fiducia* specifica l'identità che può assumere un ruolo. Questa politica è necessaria per consentire al servizio SageMaker Studio di assumere il ruolo di esecuzione del dominio. Aggiungi queste due azioni in modo che appaiano come segue nella tua politica.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Fase 3: verifica le autorizzazioni richieste di Amazon S3 Access Grant per il ruolo di esecuzione del dominio
Per utilizzare Amazon S3 Access Grants, devi avere una politica di autorizzazioni allegata (come policy in linea o come policy gestita dal cliente) al ruolo di esecuzione del dominio SageMaker Studio che contenga le seguenti autorizzazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
*Se non disponi di una policy che contenga queste autorizzazioni, segui le istruzioni in [Aggiungere e rimuovere le autorizzazioni di identità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella Guida per l'utente.AWS Identity and Access Management *
## Passaggio 4: Assegna gruppi e utenti al dominio
Assegna gruppi e utenti al dominio SageMaker Studio seguendo la procedura descritta in [Aggiungere gruppi e](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html) utenti.
## Fase 5: configurare Amazon S3 Access Grants
Per configurare Amazon S3 Access Grants, segui i passaggi descritti in Configurazione di [Amazon S3 Access Grants per la propagazione di identità affidabili tramite IAM](tip-tutorial-s3.md#tip-tutorial-s3-configure) Identity Center. Utilizza le step-by-step istruzioni per completare le seguenti attività:
1. Crea un'istanza Amazon S3 Access Grants.
1. Registra una posizione in quell'istanza.
1. Crea sovvenzioni per consentire a utenti o gruppi specifici di IAM Identity Center di accedere a posizioni o sottoinsiemi di Amazon S3 designati (ad esempio, prefissi specifici) all'interno di tali sedi.
## Fase 6: Invia un lavoro di SageMaker formazione e visualizza i dettagli della sessione in background dell'utente
In SageMaker Studio, avvia un nuovo notebook Jupyter e invia un lavoro di formazione. Mentre il processo è in esecuzione, completa i seguenti passaggi per visualizzare le informazioni sulla sessione e verificare che il contesto della sessione in background dell'utente sia attivo.
1. Apri la console Centro identità IAM.
1. Scegliere **Users (Utenti)**.
1. Nella pagina **Utenti**, scegli il nome utente dell'utente di cui desideri gestire le sessioni. Verrai indirizzato a una pagina con le informazioni dell'utente.
1. Nella pagina dell'utente, scegli la scheda **Sessioni attive**. Il numero tra parentesi accanto a **Sessioni attive indica il numero di sessioni** attive per questo utente.
1. Per cercare le sessioni in base all'Amazon Resource Name (ARN) del processo che utilizza la sessione, nell'elenco **Tipo di sessione**, scegli **Sessioni utente in background**, quindi inserisci l'ARN del lavoro nella casella di ricerca.
Di seguito è riportato un esempio di come un processo di formazione che utilizza una sessione utente in background viene visualizzato nella scheda **Sessioni attive** per un utente.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Passaggio 7: Visualizza CloudTrail i log per verificare la propagazione dell'identità affidabile in CloudTrail
Quando la propagazione delle identità attendibili è abilitata, le azioni vengono visualizzate nei registri CloudTrail degli eventi sotto l'elemento. `onBehalfOf` `userId`Riflette l'ID dell'utente IAM Identity Center che ha avviato il processo di formazione. Il seguente CloudTrail evento cattura il processo di propagazione dell'identità affidabile.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considerazioni sul runtime
Se un amministratore imposta processi **MaxRuntimeInSeconds**di formazione o elaborazione di lunga durata inferiori alla durata della sessione utente in background, SageMaker Studio esegue il lavoro per la durata minima della sessione utente in background **MaxRuntimeInSeconds **o per la durata minima della sessione utente in background.
Per ulteriori informazioni in merito **MaxRuntimeInSeconds**, consulta la guida per il `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parametro nell'*Amazon SageMaker API Reference*.
# Servizi di autorizzazione
In tutti i [casi d'uso di analisi e data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), puoi ottenere controlli granulari degli accessi utilizzando:
+ AWS Lake Formation - per ulteriori informazioni, vedere. [Configurazione AWS Lake Formation con IAM Identity Center](tip-tutorial-lf.md)
+ Amazon S3Access Grants: per indicazioni, consulta. [Configurazione di Amazon S3 Access Grants con IAM Identity Center](tip-tutorial-s3.md)
# Configurazione AWS Lake Formation con IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)è un servizio gestito che semplifica la creazione e la gestione di data lake su AWS. Automatizza la raccolta, la catalogazione e la sicurezza dei dati, fornendo un repository centralizzato per l'archiviazione e l'analisi di diversi tipi di dati. Lake Formation offre controlli di accesso granulari e si integra con vari servizi di AWS analisi, consentendo alle organizzazioni di configurare, proteggere e ricavare informazioni in modo efficiente dai propri data lake.
Segui questi passaggi per consentire a Lake Formation di concedere le autorizzazioni per i dati in base all'identità dell'utente utilizzando IAM Identity Center e la propagazione affidabile delle identità.
## Prerequisiti
Prima di iniziare con questo tutorial, dovrai configurare quanto segue:
+ [Abilita IAM Identity Center](enable-identity-center.md). [L'istanza dell'organizzazione](organization-instances-identity-center.md) è consigliata. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
## Passaggi per configurare una propagazione affidabile delle identità
1. **Integra IAM Identity Center AWS Lake Formation** seguendo le indicazioni contenute in [Connecting Lake Formation with IAM Identity Center](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html).
**Importante**
**Se non disponi di AWS Glue Data Catalog tabelle**, devi crearle per poterle utilizzare AWS Lake Formation per concedere l'accesso agli utenti e ai gruppi di IAM Identity Center. Per ulteriori informazioni, consulta [Creazione AWS Glue Data Catalog di oggetti in](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html).
1. **Registra le posizioni dei data lake**.
[Registra le posizioni S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) in cui sono archiviati i dati delle tabelle Glue. In questo modo, Lake Formation fornirà l'accesso temporaneo alle posizioni S3 richieste quando le tabelle vengono interrogate, eliminando la necessità di includere le autorizzazioni S3 nel ruolo di servizio (ad esempio il ruolo di servizio Athena configurato su). WorkGroup
1. Passa alle **posizioni dei Data lake** nella sezione **Amministrazione** del pannello di navigazione della console. AWS Lake Formation Seleziona **Registra posizione**.
Ciò consentirà a Lake Formation di fornire credenziali IAM temporanee con le autorizzazioni necessarie per accedere alle posizioni dei dati S3.
![\[Passaggio 1 Registrare la posizione del data lake nella console Lake Formation.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Inserisci il percorso S3 delle posizioni dei dati delle AWS Glue tabelle nel campo Percorso **Amazon S3**.
1. Nella sezione relativa al **ruolo IAM**, non selezionare il ruolo collegato al servizio se desideri utilizzarlo con una propagazione affidabile delle identità. Crea un ruolo separato con le seguenti autorizzazioni.
Per utilizzare queste politiche, sostituisci la *italicized placeholder text* politica di esempio con le tue informazioni. Per ulteriori indicazioni, consulta [Creare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Modificare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). La politica di autorizzazione dovrebbe concedere l'accesso alla posizione S3 specificata nel percorso:
1. **Politica di autorizzazione**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relazione di fiducia**: ciò dovrebbe includere`sts:SectContext`, che è necessario per la propagazione di identità affidabili.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**Nota**
Il ruolo IAM creato dalla procedura guidata è un ruolo collegato al servizio e non include. `sts:SetContext`
1. **Dopo aver creato il ruolo IAM, seleziona Registra posizione.**
## Propagazione affidabile dell'identità con Lake Formation in tutto il mondo Account AWS
AWS Lake Formation supporta l'utilizzo di [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) per condividere le tabelle Account AWS e funziona con la propagazione affidabile delle identità quando l'account del concedente e l'account del beneficiario si trovano nello stesso Regione AWS, nello stesso e condividono la stessa istanza organizzativa di IAM Identity Center. AWS Organizations Per ulteriori informazioni, consulta [Condivisione dei dati tra account in Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html).
# Configurazione di Amazon S3 Access Grants con IAM Identity Center
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) offre la flessibilità necessaria per garantire un controllo granulare degli accessi basato sull'identità alle sedi S3. Puoi usare Amazon S3 Access Grants per concedere l'accesso ai bucket Amazon S3 direttamente ai tuoi utenti e gruppi aziendali. Segui questi passaggi per abilitare S3 Access Grants con IAM Identity Center e ottenere una propagazione affidabile delle identità.
## Prerequisiti
Prima di iniziare con questo tutorial, devi configurare quanto segue:
+ [Abilita IAM Identity Center](enable-identity-center.md). [L'istanza dell'organizzazione](organization-instances-identity-center.md) è consigliata. Per ulteriori informazioni, consulta [Prerequisiti e considerazioni](trustedidentitypropagation-overall-prerequisites.md).
## Configurazione di S3 Access Grants per la propagazione affidabile delle identità tramite IAM Identity Center
**Se hai già un'Access Grantsistanza Amazon S3 con una posizione registrata, segui questi passaggi:**
1. [Associa la tua istanza IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Crea una sovvenzione](#tip-tutorial-s3-create-grant).
**Se non hai Access Grants ancora creato un Amazon S3, segui questi passaggi:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html): puoi creare un'istanza S3 Access Grants per volta. Regione AWS Quando crei l'Access Grantsistanza S3, assicurati di selezionare la casella **Aggiungi istanza IAM Identity Center** e di fornire l'ARN della tua istanza IAM Identity Center. Seleziona **Avanti**.
L'immagine seguente mostra la pagina Crea Access Grants istanza S3 nella console Amazon Access Grants S3:
![\[Crea la pagina dell'Access Grantsistanza S3 nella console S3 Access Grants.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Registra una posizione**: dopo aver creato e [creato un'Access Grantsistanza Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Regione AWS in un account, [registri una posizione S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) in quell'istanza. Una Access Grants posizione S3 associa la regione S3 predefinita (`S3://`), un bucket o un prefisso a un ruolo IAM. S3 Access Grants assume questo ruolo di Amazon S3 per fornire credenziali temporanee al beneficiario che accede a quella particolare posizione. Devi prima registrare almeno una posizione nella tua Access Grants istanza S3 prima di poter creare una concessione di accesso.
Per l'**ambito Location**, specifica`s3://`, che include tutti i bucket in quella regione. Questo è l'ambito di localizzazione consigliato per la maggior parte dei casi d'uso. Se disponi di un caso d'uso avanzato per la gestione degli accessi, puoi impostare l'ambito della posizione su un bucket `s3://bucket` o un prefisso specifico all'interno di un bucket. `s3://bucket/prefix-with-path` Per ulteriori informazioni, consulta [Registrare una sede](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
**Nota**
Assicurati che le posizioni S3 delle AWS Glue tabelle a cui desideri concedere l'accesso siano incluse in questo percorso.
La procedura richiede la configurazione di un ruolo IAM per la posizione. Questo ruolo dovrebbe includere le autorizzazioni per accedere all'ambito della posizione. Puoi utilizzare la procedura guidata della console S3 per creare il ruolo. Dovrai specificare l'ARN dell'Access Grantsistanza S3 nelle policy per questo ruolo IAM. Il valore predefinito dell'`arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`ARN dell'Access Grantsistanza S3 è.
Il seguente esempio di policy di autorizzazione fornisce ad Amazon S3 le autorizzazioni per il ruolo IAM che hai creato. E l'esempio di policy di fiducia che segue consente al responsabile del Access Grants servizio S3 di assumere il ruolo IAM.
1. **Policy di autorizzazione**
Per utilizzare queste politiche, sostituisci la *italicized placeholder text* politica dell'esempio con le tue informazioni. Per ulteriori indicazioni, consulta [Creare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Modificare un criterio](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Policy di trust**
Nella policy di attendibilità del ruolo IAM, concedi al principale del servizio S3 Access Grants (`access-grants.s3.amazonaws.com`) l'accesso al ruolo IAM creato. A tal fine, è possibile creare un file JSON contenente le seguenti istruzioni. Per aggiungere la policy di attendibilità all'account, consulta [Creare un ruolo utilizzando policy di attendibilità personalizzati](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Crea una concessione di accesso per Amazon S3
Se disponi di un'Access Grantsistanza Amazon S3 con una posizione registrata e hai associato la tua istanza IAM Identity Center ad essa, puoi [creare una concessione](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). Nella pagina **Create Grant** della console S3, completa quanto segue:
**Creazione di una concessione**
1. Seleziona la posizione creata nel passaggio precedente. È possibile ridurre l'ambito della concessione aggiungendo un prefisso secondario. Il sottoprefisso può essere un `bucket``bucket/prefix`, o un oggetto nel bucket. Per ulteriori informazioni, consulta [Subprefix](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) nella Guida per l'*utente di Amazon Simple Storage Service*.
1. In **Autorizzazioni e accesso**, seleziona **Leggi** o **Scrivi a seconda delle tue** esigenze.
1. Nel **tipo Granter**, scegli **Directory Identity da IAM Identity Center**.
1. Fornisci l'ID **utente o di gruppo** di IAM Identity Center. Puoi trovare l'utente e il gruppo IDs nella console IAM Identity Center [nelle sezioni **Utente** e **gruppo**](howtoviewandchangepermissionset.md). Seleziona **Avanti**.
1. Nella pagina **Revisione e conclusione**, rivedi le impostazioni per S3Access Grant, quindi seleziona **Create Grant**.
L'immagine seguente mostra la pagina Create Grant nella console Amazon S3: Access Grants
![\[Crea una pagina di concessione nella console Amazon S3 Access Grants.\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)