翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 信頼できる ID の伝播の概要
信頼できる ID の伝播は、IAM アイデンティティセンターの機能であり、 の管理者がグループの関連付けなどのユーザー属性に基づいてアクセス許可 AWS のサービス を付与できるようにします。信頼できる ID 伝達では、アイデンティティコンテキストが IAM ロールに追加され、 AWS リソースへのアクセスをリクエストしているユーザーを識別します。このコンテキストは他の に伝達されます AWS のサービス。
ID コンテキストは、 がアクセスリクエストを受信したときに認可の決定を行うために AWS のサービス 使用する情報で構成されます。この情報には、リクエスタ (IAM Identity Center ユーザーなど)、アクセスがリクエスト AWS のサービス される (Amazon Redshift など)、アクセス範囲 (読み取り専用アクセスなど) を識別するメタデータが含まれます。受信側 AWS のサービス は、このコンテキストとユーザーに割り当てられたアクセス許可を使用して、リソースへのアクセスを承認します。
## 信頼できる ID の伝播の利点
信頼できる ID の伝播により、 の管理者は、ワークフォースの企業 ID を使用して、データなどのリソースにアクセス許可 AWS のサービス を付与できます。さらに、サービスログまたは を確認することで、誰がどのデータにアクセスしたかを監査できます AWS CloudTrail。IAM アイデンティティセンター管理者の場合、信頼できる ID の伝播を有効にするように他の AWS のサービス 管理者から求められることがあります。
## 信頼できる ID の伝播の有効化
信頼できる ID の伝播を有効にするプロセスには、次の 2 つのステップが含まれます。
1. **IAM アイデンティティセンターを有効にし、既存の ID ソースを IAM アイデンティティセンターに接続する** - 既存の ID ソースでワークフォース ID を引き続き管理します。IAM アイデンティティセンターに接続すると、ユースケース AWS のサービス 内のすべての が共有できるワークフォースへの参照が作成されます。また、データ所有者が将来のユースケースで使用できるようになります。
1. **ユースケース AWS のサービス の を IAM Identity Center に接続する** - 信頼できる ID 伝達ユースケース AWS のサービス の各 の管理者は、それぞれのサービスドキュメントのガイダンスに従って、サービスを IAM Identity Center に接続します。
**注記**
ユースケースに*サードパーティー*または*お客様が開発したアプリケーション*が含まれる場合は、アプリケーションユーザーと IAM アイデンティティセンターを認証する ID プロバイダー間の信頼関係を設定することで、信頼できる ID の伝播を有効にします。これにより、アプリケーションは前述の信頼できる ID の伝播フローを活用できます。
詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
## 信頼できる ID の伝播の仕組み
次の図は、信頼できる ID の伝播の大まかなワークフローを示しています。
![\[信頼できる ID の伝播ワークフローを簡素化しました。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. ユーザーは、クイックなど、クライアント向けアプリケーションで認証します。
1. クライアント向けアプリケーションは、 を使用してデータをクエリするためのアクセス AWS のサービス をリクエストし、ユーザーに関する情報を含めます。
**注記**
信頼できる ID 伝達のユースケースには、サービスドライバー AWS のサービス を使用して とやり取りするツールが含まれます。これがユースケースに適用されるかどうかは、[ユースケースガイダンス](trustedidentitypropagation-integrations.md)で確認できます。
1. は、IAM Identity Center AWS のサービス でユーザー ID を検証し、グループの関連付けなどのユーザー属性とアクセスに必要なユーザー属性を比較します。は、ユーザーまたはそのグループに必要なアクセス許可がある限り、アクセス AWS のサービス を許可します。
1. AWS のサービス は、 AWS CloudTrail および のサービスログにユーザー識別子をログに記録する場合があります。詳細については、サービスのドキュメントを確認してください。
次の図は、信頼できる ID の伝播ワークフローで前述したステップの概要を示しています。
![\[信頼できる ID の伝播ワークフローを簡素化しました。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [信頼できる ID の伝播の利点](#benefits-trusted-identity-propagation)
+ [信頼できる ID の伝播の有効化](#enabling-tip)
+ [信頼できる ID の伝播の仕組み](#how-tip-works)
+ [前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)
+ [信頼できる ID の伝播のユースケース](trustedidentitypropagation-integrations.md)
+ [認可サービス](authorization-services.md)
# 前提条件と考慮事項
信頼できる ID の伝播を設定する前に、以下の前提条件と考慮事項を確認してください。
**Topics**
+ [前提条件](#trustedidentitypropagation-prerequisites)
+ [考慮事項](#trustedidentitypropagation-considerations)
+ [カスタマーマネージドアプリケーションの考慮事項](#trustedidentitypropagation-customer-apps)
## 前提条件
信頼できる ID の伝播を使用するには、環境が以下の前提条件を満たしていることを確認してください。
+ IAM アイデンティティセンターを有効にしてプロビジョニングする
+ 信頼できる ID 伝達を使用するには、ユーザーがアクセスする AWS アプリケーションとサービスが有効になっているのと同じ AWS リージョン で IAM Identity Center を有効にする必要があります。詳細については、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。
+ IAM アイデンティティセンター組織インスタンス推奨 — AWS Organizationsの管理アカウントで有効にする IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)を使用することをお勧めします。IAM アイデンティティセンターの組織インスタンスの管理をメンバーアカウントに[委任](organization-instances-identity-center.md)できます。IAM アイデンティティセンターの[アカウントインスタンス](account-instances-identity-center.md)を選択する場合、信頼できる ID の伝播を使用してユーザーにアクセスさせるものはすべての AWS のサービス は、IAM アイデンティティセンターを有効にするのと同じ AWS アカウント に存在する必要があります。詳細については、「[IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)」を参照してください。
+ 既存の ID プロバイダーを IAM アイデンティティセンターに接続し、ユーザーとグループを IAM アイデンティティセンターにプロビジョニングします。詳細については、「[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)」を参照してください。
+ 信頼できる ID 伝達ユースケースの AWS マネージドアプリケーションとサービスを IAM アイデンティティセンターに接続します。信頼できる ID 伝達を使用するには、 AWS マネージドアプリケーションを IAM アイデンティティセンターに接続する必要があります。
## 考慮事項
信頼できる ID の伝播を設定し使用するときは、次の考慮事項に留意してください。
+ **IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス**
+ IAM アイデンティティセンターの[組織インスタンス](organization-instances-identity-center.md)は、ユースケースを複数の AWS アカウント、ユーザー、および AWS のサービスに拡張するための最も制御性と柔軟性を提供します。組織インスタンスを使用できない場合は、IAM アイデンティティセンター のアカウントインスタンスでユースケースがサポートされている可能性があります。 AWS のサービス IAM アイデンティティセンターのアカウントインスタンスをサポートするユースケースの詳細については、「[AWS IAM Identity Center で使用できる マネージドアプリケーション](awsapps-that-work-with-identity-center.md)」を参照してください。
+ **マルチアカウント許可 (アクセス許可セット) は不要です**
+ 信頼できる ID の伝播では、[マルチアカウント許可](manage-your-accounts.md) (アクセス許可セット) を設定する必要はありません。IAM アイデンティティセンターを有効にして、信頼できる ID の伝播にのみ使用できます。
## カスタマーマネージドアプリケーションの考慮事項
例えば、 Tableauやカスタム開発アプリケーションによって管理されていないクライアント向けアプリケーションをユーザーが操作した場合でも AWS、ワークフォースは信頼できる ID の伝播からメリットを得ることができます。これらのアプリケーションのユーザーは、IAM アイデンティティセンター でプロビジョニングされない場合があります。IAM Identity Center では、 AWS リソースへのユーザーアクセスをスムーズに認識および承認できるように、ユーザーを認証する ID プロバイダーと IAM Identity Center の間の信頼関係を設定できます。詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
さらに、アプリケーションの信頼できる ID の伝播を設定するには、以下が必要です。
+ アプリケーションは認証に OAuth 2.0 フレームワークを使用する必要があります。信頼できる ID の伝播は SAML 2.0 統合をサポートしていません。
+ アプリケーションは IAM アイデンティティセンターによって認識される必要があります。[ユースケース](trustedidentitypropagation-integrations.md)に固有のガイダンスに従ってください。
# 信頼できる ID の伝播のユースケース
IAM アイデンティティセンター管理者は、ユーザー向けアプリケーションから AWS のサービスへの信頼できる ID の伝播の設定を支援するように求められる場合があります。このリクエストをサポートするには、次の情報が必要です。
+ ユーザーはどのクライアント向けアプリケーションとインターフェイスしますか?
+ データのクエリとデータへのアクセスの認可に使用されるの AWS のサービス はどれですか?
+ どの がデータへのアクセス AWS のサービス を許可しますか?
**サードパーティーアプリケーションやカスタム開発アプリケーションを含まない信頼できる ID の伝播のユースケース**を有効にする役割は次のとおりです。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。
1. [既存の ID ソースを IAM アイデンティティセンターに接続します](tutorials.md)。
これらのユースケースの信頼できる ID 設定の残りのステップは、接続された AWS のサービス およびアプリケーション内で実行されます。接続された AWS のサービス またはアプリケーションの管理者は、サービス固有の包括的なガイダンスについて、それぞれのユーザーガイドを参照してください。
**サードパーティーアプリケーションまたはカスタム開発アプリケーションを含む信頼できる ID の伝播のユースケース**を有効にするためのロールには、[IAM Identity Center を有効にする](enable-identity-center.md) の手順と ID の[ソースを接続する](tutorials.md) 手順のほかに、以下が含まれます。
1. ID プロバイダー (IdP) のサードパーティーまたはカスタム開発アプリケーションへの接続を設定します。
1. IAM アイデンティティセンターを有効にして、サードパーティーまたはカスタム開発アプリケーションを認識します。
1. IAM アイデンティティセンターで信頼できるトークン発行者として IdP を設定する。詳細については、「[信頼できるトークン発行者によるアプリケーションの使用](using-apps-with-trusted-token-issuer.md)」を参照してください。
接続されたアプリケーションの管理者は、サービス固有の包括的なガイダンスについては、それぞれのユーザーガイド AWS のサービス を参照してください。
## 分析、データレイクハウス、機械学習のユースケース
次の分析および機械学習サービスを使用して、信頼できる伝播のユースケースを有効にできます。
+ **Amazon Redshift** - ガイダンスについては、「[Amazon Redshift で信頼できる ID の伝播](tip-usecase-redshift.md)」を参照してください。
+ **Amazon EMR** - ガイダンスについては、「[Amazon EMR による信頼できる ID の伝播](tip-usecase-emr.md)」を参照してください。
+ **Amazon Athena** - ガイダンスについては、「[Amazon Athena による信頼できる ID の伝播](tip-usecase-ate.md)」を参照してください。
+ **SageMaker Studio** - ガイダンスについては、「[Amazon SageMaker Studio による信頼できる ID の伝播](trusted-identity-propagation-usecase-sagemaker-studio.md)」を参照してください。
## その他のユースケース
IAM アイデンティティセンターと信頼できる ID の伝播は、次の追加 AWS のサービスを使用して有効にできます。
+ **Amazon Q Business** - ガイダンスについては、以下を参照してください。
+ [IAM アイデンティティセンターを使用したアプリケーションの管理ワークフロー](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc)。
+ [IAM アイデンティティセンターを使用した Amazon Q Business アプリケーションの設定](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html)。
+ [IAM アイデンティティセンターの信頼できる ID の伝播を使用して Amazon Q Business を設定します](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/)。
+ **Amazon OpenSearch Service** - ガイダンスについては、以下を参照してください。
+ [IAM Identity Center Trusted Identity Propagation Support for Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)。
+ [Centralized OpenSearch user interface (Dashboards) with Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)。
+ **AWS Transfer Family** - ガイダンスについては、以下を参照してください。
+ [Transfer Family ウェブアプリ](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html)。
**Topics**
+ [分析、データレイクハウス、機械学習のユースケース](#tip-data-analytic-usecases-overview)
+ [その他のユースケース](#tip-additional-usecases)
+ [Amazon Redshift で信頼できる ID の伝播](tip-usecase-redshift.md)
+ [Amazon EMR による信頼できる ID の伝播](tip-usecase-emr.md)
+ [Amazon Athena による信頼できる ID の伝播](tip-usecase-ate.md)
+ [Amazon SageMaker Studio による信頼できる ID の伝播](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Amazon Redshift で信頼できる ID の伝播
信頼できる ID の伝播を有効にする手順は、ユーザーが AWS マネージドアプリケーションとやり取りするか、カスタマーマネージドアプリケーションとやり取りするかによって異なります。次の図は、Amazon Redshift AWS または や Amazon AWS Lake Formation Amazon S3 などの認可サービスによって提供されるアクセスコントロールを使用して Amazon Redshift データをクエリ AWS する、クライアント向けアプリケーションの信頼できる ID 伝達設定を示していますAccess Grants。
![\[Amazon Redshift、Quick、Lake Formation、IAM Identity Center を使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Amazon Redshift への信頼できる ID の伝播が有効になっている場合、Redshift 管理者は、ID プロバイダーとして IAM アイデンティティセンターの[ロールを自動的に作成](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html)し、Redshift ロールを IAM アイデンティティセンターのグループにマッピングし、[Redshift ロールベースのアクセスコントロールを使用してアクセスを許可する](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)ように Redshift を設定できます。
## サポートされているクライアント向けアプリケーション
**AWS マネージドアプリケーション**
以下の AWS マネージドクライアント向けアプリケーションは、Amazon Redshift への信頼できる ID の伝播をサポートしています。
+ [Amazon RedshiftQuery Editor V2](setting-up-tip-redshift.md)
+ [クイック](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**注記**
Amazon Redshift Spectrum を使用して AWS Glue Data Catalogの外部データベースまたはテーブルにアクセスする場合は、きめ細かなアクセスコントロールを提供するように [Lake Formation](tip-tutorial-lf.md) と [Amazon S3 Access Grants](tip-tutorial-s3.md) を設定することを検討してください。
**カスタマーマネージドアプリケーション**
次のカスタマーマネージドアプリケーションは、Amazon Redshift への信頼できる ID の伝播をサポートしています。
+ **Tableau** TableauDesktop、 Tableau Server、および Tableau Prep を含む
+ Tableau のユーザーに対して信頼できる ID の伝播を有効にするには、「*AWS ビッグデータブログ*」の「[IAM アイデンティティセンターを使用した Tableau および Okta と Amazon Redshift の統合](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/)」を参照してください。
+ **SQL クライアント** (DBeaver および DBVisualizer)
+ SQL クライアント (DBeaver および DBVisualizer) のユーザーに対して信頼できる ID の伝播を有効にするには、 「*AWS ビッグデータブログ*」の「[Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。
# Amazon Redshift Query Editor V2 で信頼できる ID の伝播を設定する
次の手順では、Amazon Redshift Query Editor V2 から Amazon Redshift への信頼できる ID の伝播を実現する方法について説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
信頼できる ID 伝播を有効にするには、IAM アイデンティティセンターコンソールで IAM アイデンティティセンターコンソール 管理者が実行するタスクと、Amazon Redshift コンソールで Amazon Redshift 管理者が実行するタスクが含まれます。
## IAM アイデンティティセンター管理者が実行するタスク
IAM アイデンティティセンター管理者が次のタスクを完了する必要があります。
1. Amazon Redshift クラスターまたは Serverless インスタンスが存在するアカウントに、次のアクセス許可ポリシーを使用して **[IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)を作成します**。詳細については、「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
1. 次のポリシーの例には、このチュートリアルを完了するために必要なアクセス許可が含まれています。このポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
**アクセス許可ポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**信頼ポリシー:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. IAM アイデンティティセンターが有効になっている AWS Organizations 管理アカウントに**許可セットを作成します**。次のステップでこれを使用して、フェデレーティッドユーザーが Redshift クエリエディタ V2 にアクセスできるようにします。
1. **IAM アイデンティティセンター**コンソールに移動し、** [マルチアカウント許可]** で、**[アクセス許可セット]** を選択します。
1. **[Create permission set]** (アクセス許可セットの作成) を選択します。
1. **[カスタムアクセス許可セット]** を選択し、**[次へ]** を選択します。
1. **[AWS 管理ポリシー]** で、**`AmazonRedshiftQueryEditorV2ReadSharing`** を選択します。
1. **[インラインポリシー]** で、次のポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. **[次へ]** を選択し、アクセス許可セット名の名前を指定します。例えば、**Redshift-Query-Editor-V2**。
1. **[リレー状態 – オプション]** で、`https://your-region.console.aws.amazon.com/sqlworkbench/home` の形式を使用して、デフォルトのリレー状態をクエリエディタ V2 URL に設定します。
1. 設定を確認し、[**作成**] を選択します。
1. IAM アイデンティティセンターダッシュボードに移動し、**[概要の設定]** セクションから AWS アクセスポータル URL をコピーします。
![\[ステップ i、IAM Identity Center コンソールから AWS アクセスポータル URL をコピーします。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. 新しいシークレットブラウザウィンドウを開き、URL を貼り付けます。
これにより、 AWS アクセスポータルに移動し、IAM Identity Center ユーザーでサインインしていることを確認できます。
![\[ステップ j、ポータルにアクセスするためにサインイン AWS します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
アクセス許可セットの詳細については、「[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md)」を参照してください。
1. **Redshift クエリエディタ V2 へのフェデレーティッドユーザーのアクセスを有効にします**。
1. AWS Organizations 管理アカウントで、**IAM Identity Center** コンソールを開きます。
1. ナビゲーションペインの [**マルチアカウント権限**] で、**AWS アカウント** を選択します。
1. AWS アカウント ページで、アクセスを割り当てる AWS アカウント を選択します。
1. 「**ユーザーまたはグループを割り当て**」を選択します。
1. **[ユーザーとグループの割り当て]** ページで、アクセス許可セットを作成するユーザーまたはグループを選択します。その後、**[Next]** を選択します。
1. **[アクセス許可セットの割り当て]** ページで、前のステップで作成したアクセス許可セットを選択します。その後、**[Next]** を選択します。
1. **[割り当てを確認と送信]** ページで選択内容を確認し、**[送信]** を選択します。
## Amazon Redshift 管理者が実行するタスク
Amazon Redshift への信頼できる ID の伝播を有効にするには、Amazon Redshift クラスター管理者または Amazon Redshift Serverless 管理者が Amazon Redshift コンソールで多数のタスクを実行する必要があります。詳細については、 *AWS ビッグデータブログ*の[「Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。
# Amazon EMR による信頼できる ID の伝播
次の図は、 AWS Lake Formation と Amazon S3 が提供するアクセスコントロールを備えた Amazon EC2 上の Amazon EMR を使用した Amazon EMR Studio の信頼できる ID 伝達設定を示していますAccess Grants。 Amazon S3
![\[Amazon EMR、Lake Formation、IAM Identity Center を使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**サポートされているクライアント向けアプリケーション**
+ Amazon EMR Studio
**信頼できる ID の伝播を有効にするには、次の手順に従います。**
+ Amazon EMR クラスターのクライアント向けアプリケーションとして [Amazon EMR Studio](setting-up-tip-emr.md) をセットアップします。
+ [Apache Spark を使用して Amazon EC2 で Amazon EMR クラスター](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html)をセットアップします。
+ *推奨*: [AWS Lake Formation](tip-tutorial-lf.md)と [Amazon S3 Access Grants](tip-tutorial-s3.md) は、S3 内の AWS Glue Data Catalog および基盤となるデータロケーションへのきめ細かなアクセスコントロールを提供します。
# Amazon EMR Studio で信頼できる ID の伝播を設定する
次の手順では、Apache Spark を実行している Amazon Athena ワークグループまたは Amazon EMR クラスターに対するクエリで、信頼できる ID の伝播用に Amazon EMR Studio を設定する方法について説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
Amazon EMR Studio からの信頼できる ID 伝播の設定を完了するには、EMR Studio 管理者が次のステップを実行する必要があります。
## ステップ 1. EMR Studio に必要な IAM ロールを作成する
このステップでは、Amazon EMR Studio 管理者は と IAM サービスロール、および EMR Studio の IAM ユーザーロールを作成します。
1. **[EMR Studio サービスロールを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** - EMR Studio はこの IAM ロールを引き受けて、ワークスペースとノートブックを安全に管理し、クラスターに接続し、データインタラクションを処理します。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動し、IAM ロールを作成します。
1. **AWS のサービス** を信頼されたエンティティとして選択し、**Amazon EMR** を選択します。次のポリシーをアタッチして、ロールのアクセス許可と信頼関係を定義します。
これのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
すべてのサービスロールのアクセス許可のリファレンスについては、「[EMR Studio サービスロールのアクセス許可](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)」を参照してください。
1. **[IAM アイデンティティセンター認証用の EMR Studio ユーザーロールを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio は、ユーザーが IAM アイデンティティセンターを通じてサインインしてワークスペース、EMR クラスター、ジョブ、git リポジトリを管理するときに、このロールを引き受けます。**このロールは、信頼できる ID の伝播ワークフローを開始するために使用されます**。
**注記**
EMR Studio ユーザーロールには、 AWS Glue Catalog. AWS Lake Formation permissions のテーブルの Amazon S3 ロケーションにアクセスするためのアクセス許可を含める必要はありません。登録されたレイクロケーションは、一時的なアクセス許可を受け取るために使用されます。
次のポリシー例は、EMR Studio のユーザーが Athena ワークグループを使用してクエリを実行できるようにするロールで使用できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
次の信頼ポリシーは、EMR Studio がロールを引き受けることを許可します。
**注記**
EMR Studio WorkSpaces と EMR Notebooks を利用するには、追加のアクセス許可が必要です。詳細については、「[EMR Studio ユーザーのアクセス許可ポリシーを作成する](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies)」を参照してください。
**詳細については、次のリンクを参照してください。**
+ [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [EMR Studio サービスロールのアクセス許可](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## ステップ 2. EMR Studio を作成および設定する
このステップでは、EMR Studio コンソールで Amazon EMR Studio を作成し、[ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成した IAM ロールを使用します。
1. EMR Studio コンソールに移動し、**[Studio の作成]** と **[カスタムセットアップ]** オプションを選択します。新しいバケットを作成するか、既存の S3 バケットを使用します。このチェックボックスをオンにすると、**独自の KMS キーを使用してワークスペースファイルを暗号化できます**。詳細については、「[AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)」を参照してください。
![\[ステップ 1 EMR コンソールに EMR Studio を作成する。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. **[Studio がリソースにアクセスできるようにするサービスロール]**で、メニューから [ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成したサービスロールを選択します。
1. **[認証]** の下にある **[IAM アイデンティティセンター]** を選択します。[ステップ 1. EMR Studio に必要な IAM ロールを作成するステップ 2. EMR Studio を作成および設定する](#setting-up-tip-emr-step1) で作成されたユーザーロールを選択します。
![\[ステップ 3 EMR コンソールで EMR Studio を作成し、認証方法として IAM アイデンティティセンターを選択します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. **[信頼できる ID の伝播]** チェックボックスをオンにします。[アプリケーションアクセス] セクションで **[割り当てられたユーザーとグループのみ]** を選択します。これにより、このスタジオへのアクセスを許可されたユーザーとグループのみに許可できます。
1. *(オプション)* - EMR クラスターでこの Studio を使用している場合は、VPC とサブネットを設定できます。
![\[ステップ 4 EMR コンソールで EMR Studio を作成し、ネットワークとセキュリティの設定を選択します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. すべての詳細を確認し、**[Studio を作成]**を選択します。
1. Athena WorkGroup または EMR クラスターを設定したら、Studio の URL にサインインして次の操作を行います。
1. クエリエディタを使用して Athena クエリを実行します。
1. Jupyter ノートブックを使用してワークスペースで Spark ジョブを実行します。
# Amazon Athena による信頼できる ID の伝播
信頼できる ID の伝播を有効にする手順は、ユーザーが AWS マネージドアプリケーションとやり取りするか、カスタマーマネージドアプリケーションとやり取りするかによって異なります。次の図は、Amazon Athena を使用して、 と Amazon S3 が提供するアクセスコントロールを使用して Amazon S3 データをクエリ AWS AWS する、クライアント向けアプリケーションの信頼できる ID 伝達設定を示していますAmazon S3Access Grants。 AWS Lake Formation
**注記**
Amazon Athena での信頼できる ID の伝播には Trino を使用する必要があります。
ODBC および JDBC ドライバーを介して Amazon Athena に接続された Apache Spark および SQL クライアントはサポートされていません。
![\[Athena、Amazon EMR、Lake Formation、IAM アイデンティティセンターを使用した信頼できる ID の伝播の図\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、Athena での信頼できる ID の伝播をサポートしています。
+ Amazon EMR Studio
**信頼できる ID の伝播を有効にするには、次の手順に従います。**
+ [Amazon EMR Studio](setting-up-tip-emr.md)を Athena のクライアント向けアプリケーションとしてセットアップします。信頼できる ID の伝播が有効になっている場合、Athena クエリを実行するには、EMR Studio のクエリエディタが必要です。
+ [Athena ワークグループをセットアップします](setting-up-tip-ate.md)。
+ IAM アイデンティティセンターのユーザーまたはグループに基づいて、 AWS Glue テーブルのきめ細かなアクセスコントロールを有効にするように [を設定します AWS Lake Formation](tip-tutorial-lf.md)。
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
**注記**
Lake Formation と Amazon S3 Access Grantsはどちらも、Amazon S3 での Athena クエリ結果へのアクセスコントロール AWS Glue Data Catalog と Athena クエリ結果に必要です。 Amazon S3
**カスタマーマネージドアプリケーション**
*カスタム開発アプリケーションのユーザーに対して信頼できる ID 伝達を有効にするには、「 セキュリティブログ」の*[「」を参照して、信頼できる ID 伝達を使用して AWS のサービス プログラムで にアクセスします](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/)。 *AWS *
# Amazon Athena ワークグループによる信頼できる ID 伝播の設定
次の手順では、信頼できる ID の伝播用に Amazon Athena ワークグループを設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. この設定には、[Amazon EMR Studio](setting-up-tip-emr.md)、[AWS Lake Formation](tip-tutorial-lf.md)、および [Amazon S3 Access Grants](tip-tutorial-s3.md) が必要です。
## Athena による信頼できる ID の伝播の設定
Athena で信頼できる ID の伝播を設定するには、Athena 管理者が以下を行う必要があります。
1. [IAM アイデンティティセンターが有効な Athena ワークグループを使用する際の考慮事項と制限事項](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations)を確認します。
1. [IAM アイデンティティセンターが有効な Athena ワークグループを作成します](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)。
# Amazon SageMaker Studio による信頼できる ID の伝播
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) は IAM アイデンティティセンターと統合され、[ユーザーバックグラウンドセッション](user-background-sessions.md)と信頼できる ID の伝播をサポートします。ユーザーバックグラウンドセッションを使用すると、ユーザーは SageMaker Studio で長時間実行されるジョブを開始できます。ジョブの実行中にサインインしたままにする必要はありません。ジョブは、ジョブを開始したユーザーのアクセス許可を使用して、すぐにバックグラウンドで実行されます。ユーザーがコンピュータをオフにした場合、IAM Identity Center のサインインセッションの有効期限が切れた場合、またはユーザーが AWS アクセスポータルからサインアウトした場合でも、ジョブは引き続き実行できます。ユーザーバックグラウンドセッションのデフォルトのセッション期間は 7 日間ですが、最大期間として 90 日間を指定できます。信頼できる ID 伝播により、ユーザーの ID またはグループメンバーシップに基づいて Amazon S3 バケットなどの AWS リソースにきめ細かなアクセスを提供できます。
次の図は、Amazon S3 バケットに保存されているデータにアクセスできる SageMaker Studio の信頼できる ID の伝播設定を示しています。ユーザーバックグラウンドセッションは IAM アイデンティティセンター で有効になっており、SageMaker Studio トレーニングジョブをバックグラウンドで実行できます。トレーニングデータのアクセスコントロールは、Amazon S3 Access Grants によって提供されます。
![\[ユーザーバックグラウンドセッションで実行される SageMaker Studio トレーニングジョブと、Amazon S3 Access Grants が提供する Amazon S3 のトレーニングデータへのアクセスを含む、SageMaker Studio の信頼できる ID 伝播の図。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、信頼できる ID の伝播をサポートしています。
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**信頼できる ID の伝播とユーザーバックグラウンドセッションを有効にするには、次の手順に従います。**
+ [SageMaker Studio をクライアント向けアプリケーションとしてセットアップします。](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、Amazon S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
# Sagemaker Studio で信頼できる ID 伝播を設定する
次の手順では、信頼できる ID の伝播とユーザーバックグラウンドセッション用に SageMaker Studio を設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、まず以下のタスクを完了する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。組織インスタンスが必要です。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. IAM アイデンティティセンターコンソールで[ユーザーバックグラウンドセッションが有効になっていることを確認します](user-background-sessions.md)。デフォルトでは、ユーザー背景セッションは有効になっており、セッション期間は 7 日間に設定されています。この期間は、変更することができます。
SageMaker Studio から信頼できる ID の伝播を設定するには、SageMaker Studio 管理者が次のステップを実行する必要があります。
## ステップ 1: 新規または既存の SageMaker Studio ドメインで信頼できる ID の伝播を有効にする
SageMaker はドメインを使用して、ユーザープロファイル、アプリケーション、関連するリソースを整理します。信頼できる ID の伝播を有効にするには、次の手順で説明するように、SageMaker Studio ドメインを作成するか、既存のドメインを変更する必要があります。
1. SageMaker AI コンソールを開き、**[ドメイン]**に移動して、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用して、新しい SageMaker Studio ドメインを作成します。**
**[組織向けのセットアップ]**を選択し、次の操作を行います。
+ 認証方法として **AWS アイデンティティセンター** を選択します。
+ **[このドメインですべてのユーザーの信頼できる ID 伝播を有効にする]** チェックボックスをオンにします。
+ **既存の SageMaker Studio ドメインを変更します。**
+ 認証に IAM アイデンティティセンターを使用する既存のドメインを選択します。
**重要**
信頼できる ID の伝播は、認証に IAM アイデンティティセンターを使用する SageMaker Studio ドメインでのみサポートされます。ドメインが認証に IAM を使用している場合、認証方法を変更することはできないため、信頼できる ID の伝播を有効にすることはできません。
+ [ドメイン設定を編集します](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit)。**[認証とアクセス許可]** の設定を編集して、信頼できる ID の伝播を有効にします。
1. [ステップ 2: デフォルトのドメイン実行ロールを設定する](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role)に進みます。このロールは、SageMaker Studio ドメインのユーザーが Amazon S3 などの他の AWS サービスにアクセスするために必要です。
## ステップ 2: デフォルトのドメイン実行ロールとロール信頼ポリシーを設定する
*ドメイン実行ロール*は、SageMaker Studio ドメインがドメイン内のすべてのユーザーに代わって引き受ける [IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles)です。このロールに割り当てるアクセス許可によって、SageMaker Studio が実行できるアクションが決まります。
1. ドメイン実行ロールを作成または選択するには、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用してロールを作成または選択します。**
+ SageMaker AI コンソールを開き、**「ステップ 2: ロールと ML アクティビティを設定**して新しいドメイン実行ロールを作成するか、既存のロールを選択する」のコンソールガイダンスに従います。
+ 残りのセットアップステップを完了して、SageMaker Studio ドメインを作成します。
+ **実行ロールを手動で作成します。**
+ IAM コンソールを開き、[実行ロールを自分で作成します](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role)。
1. ドメイン実行ロールにアタッチされている[信頼ポリシーを更新](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)して、[https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) と [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html) の 2 つのアクションを含めます。SageMaker Studio ドメインの実行ロールを検索する方法については、「[ドメイン実行ロールを取得する](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain)」を参照してください。
*信頼ポリシー*は、ロールを引き受けることができる ID を指定します。このポリシーは、SageMaker Studio サービスがドメイン実行ロールを引き受けられるようにするために必要です。これら 2 つのアクションを追加して、ポリシーに次のように表示されるようにします。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## ステップ 3: ドメイン実行ロールに必要な Amazon S3 Access Grant アクセス許可を検証する
Amazon S3 Access Grants を使用するには、以下のアクセス許可を含むアクセス許可ポリシーを (インラインポリシーまたはカスタマー管理ポリシーとして) SageMaker Studio ドメイン実行ロールにアタッチする必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
これらのアクセス許可を含むポリシーがない場合は、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ID アクセス許可の追加と削除](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」の手順に従います。
## ステップ 4: グループとユーザーをドメインに割り当てる
「[グループとユーザーを追加する](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html)」の手順に従って、グループとユーザーを SageMaker Studio ドメインに割り当てます。
## ステップ 5: Amazon S3 Access Grants を設定する
Amazon S3 Access Grants を設定するには、[「IAM アイデンティティセンターを介した信頼できる ID 伝播のための Amazon S3 Access Grants の設定](tip-tutorial-s3.md#tip-tutorial-s3-configure)」のステップに従います。ステップバイステップの手順を使用して、以下のタスクを完了します。
1. Amazon S3 Access Grants インスタンスを作成します。
1. そのインスタンスにロケーションを登録します。
1. 特定の IAM アイデンティティセンターユーザーまたはグループが、指定された Amazon S3 ロケーションまたはそれらのロケーション内のサブセット (特定のプレフィックスなど) にアクセスできるようにする権限を作成します。
## ステップ 6: SageMaker トレーニングジョブを送信し、ユーザーバックグラウンドセッションの詳細を表示する
SageMaker Studio で、新しい Jupyter Notebook を起動し、トレーニングジョブを送信します。ジョブの実行中に、次の手順を実行してセッション情報を表示し、ユーザーのバックグラウンドセッションコンテキストがアクティブであることを確認します。
1. IAM Identity Center コンソール を開きます。
1. **ユーザー** を選択します。
1. **[ユーザー]** ページで、セッションを管理したいユーザーのユーザー名を選択します。これにより、ユーザーの情報が表示されるページに移動します。
1. ユーザーのページで、**[アクティブセッション]** タブを選択します。**[アクティブセッション]** の横の括弧内の数字は、このユーザーのアクティブセッション数を示します。
1. セッションを使用しているジョブの Amazon リソースネーム (ARN) でセッションを検索するには、**[セッションタイプ]** リストで **[ユーザーバックグラウンドセッション]** を選択し、検索ボックスにジョブ ARN を入力します。
以下は、ユーザーバックグラウンドセッションを使用しているトレーニングジョブがユーザーの **[アクティブセッション]** タブにどのように表示されるかの例です。
![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## ステップ 7: CloudTrail ログを表示して CloudTrail で信頼できる ID の伝播を検証する
信頼できる ID の伝播を有効にすると、 `onBehalfOf` 要素の下の CloudTrail イベントログにアクションが表示されます。には、トレーニングジョブを開始した IAM アイデンティティセンターユーザーの ID `userId` が反映されます。次の CloudTrail イベントは、信頼できる ID の伝播プロセスをキャプチャします。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## ランタイムの考慮事項
管理者が、ユーザーバックグラウンドセッション期間よりも短い長時間実行されるトレーニングジョブまたは処理ジョブに **MaxRuntimeInSeconds** を設定すると、SageMaker Studio は **MaxRuntimeInSeconds** またはユーザーバックグラウンドセッション期間の最小値でジョブを実行します。
**MaxRuntimeInSeconds** の詳細については、「*Amazon SageMaker API リファレンス*」の「`CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)」パラメータのガイダンスを参照してください。
# 認可サービス
すべての[分析とデータレイクハウスのユースケース](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview)で、以下を使用してきめ細かなアクセスコントロールを実現できます。
+ AWS Lake Formation - ガイダンスについては、「」を参照してください[IAM Identity Center AWS Lake Formation でのセットアップ](tip-tutorial-lf.md)。
+ Amazon S3 Access Grants - ガイダンスについては、「[IAM アイデンティティセンターを使用した Amazon S3 Access Grants の設定](tip-tutorial-s3.md)」を参照してください。
# IAM Identity Center AWS Lake Formation でのセットアップ
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) は、 AWSでのデータレイクの作成と管理を簡素化するマネージドサービスです。データ収集、カタログ化、セキュリティを自動化し、さまざまなデータ型を保存および分析するための一元化されたリポジトリを提供します。Lake Formation は、きめ細かなアクセスコントロールを提供し、さまざまな AWS 分析サービスと統合することで、組織はデータレイクを効率的にセットアップ、保護し、インサイトを得ることができます。
Lake Formation が IAM アイデンティティセンターと信頼できる ID の伝播を使用してユーザー ID に基づいてデータアクセス許可を付与できるようにするには、次の手順に従います。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
+ [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
## 信頼できる ID の伝播を設定するステップ
1. 「[Lake Formation と IAM アイデンティティセンターとの接続](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) 」のガイダンスに従って、**IAM アイデンティティセンターを AWS Lake Formationと統合します**。
**重要**
** AWS Glue Data Catalog テーブルがない場合は**、 AWS Lake Formation を使用して IAM アイデンティティセンターのユーザーとグループにアクセス許可を付与するためにテーブルを作成する必要があります。詳細については、「[AWS Glue Data Catalogでのオブジェクトの作成](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html)」を参照してください。
1. **データレイクの場所を登録します**。
Glue テーブルのデータが保存されている [S3 の場所を登録](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html)します。これにより、Lake Formation はテーブルのクエリ時に必要な S3 ロケーションへの一時的なアクセスをプロビジョニングし、サービスロール (WorkGroup で設定された Athena サービスロールなど) に S3 アクセス許可を含める必要がなくなります。
1. AWS Lake Formation コンソールのナビゲーションペインの管理****セクションにある**データレイクの場所**に移動します。**[ロケーションを登録]** を選択します。
これにより、Lake Formation は S3 データロケーションにアクセスするために必要なアクセス許可を持つ一時的な IAM 認証情報をプロビジョニングできます。
![\[ステップ 1 Lake Formation コンソールでデータレイクの場所を登録する。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. **Amazon S3** パスフィールドに AWS Glue テーブルのデータロケーションの S3 パスを入力します。
1. **[IAM ロール]** セクションで、信頼された ID の伝播で使用する場合は、サービスにリンクされたロールを選択しないでください。次のアクセス許可で別のロールを作成します。
これらのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。アクセス許可ポリシーは、パスで指定された S3 の場所へのアクセスを許可する必要があります。
1. **アクセス許可ポリシー**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **信頼関係**: これには、信頼できる ID の伝播に必要な `sts:SectContext` を含める必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**注記**
ウィザードによって作成された IAM ロールはサービスにリンクされたロールであり、`sts:SetContext` は含まれません。
1. IAM ロールを作成したら、**[場所の登録]**を選択します。
## Lake Formation による信頼できる ID の伝播 AWS アカウント
AWS Lake Formation は[AWS Resource Access Manager 、 (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) を使用して 間でテーブルを共有 AWS アカウント することをサポートし、付与者アカウントと被付与者アカウントが同じ にあり AWS リージョン、同じ にあり、IAM Identity Center の同じ組織インスタンス AWS Organizationsを共有している場合、信頼できる ID 伝達と連携します。詳細については、「[Lake Formation でのクロスアカウントデータ共有](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html)」を参照してください。
# IAM アイデンティティセンターを使用した Amazon S3 Access Grants の設定
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) は、ID ベースのきめ細かなアクセスコントロールを S3 ロケーションに付与する柔軟性を提供します。Amazon S3 Access Grants を使用すると、企業のユーザーやグループに Amazon S3 バケットアクセスを直接付与できます。IAM アイデンティティセンターで S3 Access Grants を有効にし、信頼できる ID の伝播を実現するには、次の手順に従います。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
+ [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
## IAM アイデンティティセンターを介した信頼できる ID 伝播のための S3 Access Grants の設定
**登録された場所を持つ Amazon S3 Access Grantsインスタンスが既にある場合は、次の手順に従います。**
1. [IAM アイデンティティセンターインスタンスを関連付けます](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html)。
1. [許可を作成します](#tip-tutorial-s3-create-grant)。
**Amazon S3 Access Grants をまだ作成していない場合は、次の手順に従います。**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - ごとに 1 つの S3 Access Grantsインスタンスを作成できます AWS リージョン。S3 Access Grants インスタンスを作成するときは、**[IAM アイデンティティセンターインスタンスの追加]** チェックボックスをオンにし、IAM アイデンティティセンターインスタンスの ARN を指定してください。**[次へ]** を選択してください。
次の図は、Amazon S3 Access Grants コンソールにおける [S3 Access Grants インスタンスを作成する] ページを示しています。
![\[S3 Access Grants コンソールにおける [S3 Access Grants インスタンスページを作成する] ページ。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **ロケーションの登録** - アカウントの に [ Amazon S3 Access Grantsインスタンスを作成](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html)したら、そのインスタンスに [S3 ロケーションを登録](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) AWS リージョン します。S3 Access Grants のロケーションは、デフォルトの S3 ロケーション (`S3://`)、バケット、またはプレフィックスを IAM ロールにマッピングします。S3 Access Grants は、この Amazon S3 ロールを引き受けて、その特定の場所にアクセスする被付与者に一時的な認証情報を提供します。アクセス権限を作成する前に、まず S3 Access Grants インスタンスに少なくとも 1 つのロケーションを登録する必要があります。
**[ロケーションスコープ]** には、そのリージョン内のすべてのバケットを含む `s3://` を指定します。これは、ほとんどのユースケースで推奨されるロケーションスコープです。高度なアクセス管理のユースケースがある場合は、バケット `s3://bucket/prefix-with-path` 内の特定のバケット `s3://bucket` またはプレフィックスにロケーションスコープを設定できます。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[ロケーションの登録](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html)」を参照してください。
**注記**
アクセスを許可する AWS Glue テーブルの S3 ロケーションがこのパスに含まれていることを確認します。
この手順では、 ロケーションの IAM ロールを設定する必要があります。このロールには、ロケーションスコープにアクセスするためのアクセス許可が含まれている必要があります。このロールは、S3 コンソールウィザードを使用して作成できます。この IAM ロールのポリシーで S3 Access Grants インスタンス ARN を指定する必要があります。S3 Access Grants インスタンス ARN のデフォルト値は `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default` です。
次のアクセス許可ポリシーの例では、作成した IAM ロールに対するアクセス許可を Amazon S3 に付与します。また、それに続く信頼ポリシーの例では、S3 Access Grants サービスプリンシパルが IAM ロールを引き受けることを許可します。
1. **アクセス許可ポリシー**
これらのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **信頼ポリシー**
IAM ロールの信頼ポリシーで、作成した IAM ロールに対して、S3 Access Grants サービス (`access-grants.s3.amazonaws.com`) のプリンシパルアクセス権を付与します。これを実行するために、次のステートメントを含む JSON ファイルを作成できます。アカウントに信頼ポリシーを追加するには、「[カスタム信頼ポリシーを使用したロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Amazon S3 Access Grants を作成する
登録された場所を持つ Amazon S3 Access Grants インスタンスがあり、IAM アイデンティティセンターインスタンスを関連付けている場合は、[アクセス許可を作成できます](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html)。S3 コンソールの**[アクセス許可の作成]** ページで、以下を完了します。
**許可を作成する**
1. 前のステップで作成したロケーションを選択します。サブプレフィックスを追加することで、アクセス許可の範囲を縮小できます。サブプレフィックスは、バケット内の `bucket`、`bucket/prefix`、または オブジェクトです。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[サブプレフィックス](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix)」を参照してください。
1. **[アクセス許可とアクセス]** で、必要に応じて **[読み取り]** または**[書き込み]**を選択します。
1. **[付与者のタイプ]**で、**ディレクトリアイデンティティフォーム IAM アイデンティティセンター**を選択します。
1. IAM アイデンティティセンターの**ユーザー ID またはグループ ID** を指定します。ユーザー ID とグループ ID は、IAM アイデンティティセンターコンソールの[**[ユーザー]** と **[グループ]** セクション](howtoviewandchangepermissionset.md)にあります。**[次へ]** を選択してください。
1. **[確認して完了]** ページで、S3 Access Grant の設定を確認し、**[アクセス許可の作成]** を選択します。
次の図は、Amazon S3 Access Grants コンソールの [アクセス許可の作成] ページを示しています。
![\[Amazon S3 Access Grants コンソールで [アクセス許可の作成] ページを作成します。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)