기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Studio 통한 신뢰할 수 있는 ID 전파
신뢰할 수 있는 자격 증명 전파는 연결된 AWS 서비스의 관리자가 서비스 데이터에 대한 액세스 권한을 부여하고 감사하는 데 사용할 수 있는 AWS IAM Identity Center 기능입니다. 이 데이터에 대한 액세스는 그룹 연결과 같은 사용자 속성을 기반으로 합니다. 신뢰할 수 있는 자격 증명 전파를 설정하려면 연결된 AWS 서비스의 관리자와 IAM Identity Center 관리자 간의 협업이 필요합니다. 자세한 내용은 [사전 조건 및 고려 사항](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)을 참조하세요.
Amazon SageMaker Studio와 IAM Identity Center 관리자는 협력하여 신뢰할 수 있는 ID 전파를 위해 서비스를 연결할 수 있습니다. 신뢰할 수 있는 ID 전파는 다음을 단순화하여 AWS 서비스 전반의 엔터프라이즈 인증 요구 사항을 해결합니다.
+ 특정 사용자에 대한 작업을 추적하는 향상된 감사
+ 호환되는 AWS 서비스와의 통합을 통해 데이터 과학 및 기계 학습 워크로드에 대한 액세스 관리
+ 규제 산업의 규정 준수 요구 사항
Studio는 감사 목적 및 연결된 AWS 서비스를 통한 액세스 제어를 위해 신뢰할 수 있는 자격 증명 전파를 지원합니다. Studio에서 신뢰할 수 있는 ID 전파는 Studio 자체 내에서 인증 또는 권한 부여 결정을 직접 처리하지 않습니다. 대신 액세스 제어에 이 정보를 사용할 수 있는 호환 서비스에 ID 컨텍스트 정보를 전파합니다.
Studio에서 신뢰할 수 있는 자격 증명 전파를 사용하면 IAM Identity Center 자격 증명이 연결된 AWS 서비스로 전파되어 보다 세분화된 권한과 보안 거버넌스가 생성됩니다.
**Topics**
+ [신뢰할 수 있는 ID 전파 아키텍처 및 호환성](trustedidentitypropagation-compatibility.md)
+ [Studio에 신뢰할 수 있는 ID 전파 설정](trustedidentitypropagation-setup.md)
+ [CloudTrail을 사용한 모니터링 및 감사](trustedidentitypropagation-auditing.md)
+ [사용자 백그라운드 세션](trustedidentitypropagation-user-background-sessions.md)
+ [신뢰할 수 있는 자격 증명 전파가 활성화된 다른 AWS 서비스와 연결하는 방법](trustedidentitypropagation-connect-other.md)
# 신뢰할 수 있는 ID 전파 아키텍처 및 호환성
신뢰할 수 AWS IAM Identity Center 있는 자격 증명 전파는 Amazon SageMaker Studio 및 기타 연결된 AWS 서비스와 통합되어 서비스에 사용자의 자격 증명 컨텍스트를 전파합니다. 다음 페이지에는 신뢰할 수 있는 ID 전파 아키텍처와 SageMaker AI와의 호환성이 요약되어 있습니다. 신뢰할 수 있는 자격 증명 전파의 작동 방식에 대한 포괄적인 개요는 신뢰할 수 있는 자격 증명 전파 개요를 AWS참조하세요. [https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)
신뢰할 수 있는 ID 전파 아키텍처의 주요 구성 요소는 다음과 같습니다.
+ **신뢰할 수 있는 ID 전파**: 애플리케이션과 서비스 간에 사용자의 ID 컨텍스트를 전파하는 방법론
+ **ID 컨텍스트**: 사용자에 대한 정보
+ 자격 **증명 강화 IAM 역할 세션**: 자격 증명 강화 역할 세션에는 호출하는 AWS 서비스에 사용자 식별자를 전달하는 자격 증명 컨텍스트가 추가되었습니다.
+ **연결된 AWS 서비스**: 신뢰할 수 있는 자격 증명 전파를 통해 전파되는 자격 증명 컨텍스트를 인식할 수 있는 기타 AWS 서비스
신뢰할 수 있는 자격 증명 전파를 통해 연결된 AWS 서비스는 사용자의 자격 증명을 기반으로 액세스 결정을 내릴 수 있습니다. Studio 내에서 IAM 역할은 액세스 제어 결정을 내리는 대신 ID 컨텍스트의 전달자로 사용됩니다. 자격 증명 컨텍스트는 액세스 제어 및 감사 목적으로 사용할 수 있는 연결된 AWS 서비스로 전파됩니다. 자세한 내용은 [신뢰할 수 있는 ID 전파 고려 사항](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations)을 참조하세요.
Studio에서 신뢰할 수 있는 ID 전파를 활성화하고 IAM Identity Center를 통해 인증하는 경우 SageMaker AI는 다음을 수행합니다.
+ IAM Identity Center에서 사용자의 ID 컨텍스트 캡처
+ 사용자의 ID 컨텍스트를 포함하는 ID 강화 IAM 역할 세션 생성
+ 사용자가 리소스에 액세스할 때 ID 강화 IAM 역할 세션을 호환되는 AWS 서비스에 전달합니다.
+ 다운스트림 AWS 서비스가 사용자 자격 증명을 기반으로 액세스 결정 및 로그 활동을 수행할 수 있도록 합니다.
## 호환되는 SageMaker AI 기능
신뢰할 수 있는 ID 전파는 다음 Studio 기능과 함께 작동합니다.
+ [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) 프라이빗 스페이스(Code-OSS, Visual Studio Code - Open Source 기반 JupyterLab 및 Code Editor)
**참고**
Studio는 신뢰할 수 있는 ID 전파가 활성화된 상태로 시작되면 실행 역할 권한 외에도 ID 컨텍스트를 사용합니다. 그러나 인스턴스 설정 중 수명 주기 구성, 자체 이미지 가져오기, 사용자 로그 전달을 위한 CloudWatch 에이전트와 같은 프로세스는 ID 컨텍스트 없이 실행 역할 권한만 사용합니다.
[원격 액세스](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html)는 현재 신뢰할 수 있는 ID 전파에서 지원되지 않습니다.
Studio 노트북 내에서 역할 수임 작업을 사용하는 경우 수임된 역할은 신뢰할 수 있는 자격 증명 전파 컨텍스트를 전파하지 않습니다. 원래 실행 역할만 자격 증명 컨텍스트를 유지합니다.
+ [SageMaker Training](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html)
+ [SageMaker Processing](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html)
+ [SageMaker AI 실시간 호스팅](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html)
+ [SageMaker Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html)
+ [SageMaker 실시간 추론](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html)
+ [SageMaker 비동기 추론](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html)
+ [관리형 MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html)
## 호환되는 AWS 서비스
Amazon SageMaker Studio에 대한 신뢰할 수 있는 ID 전파는 신뢰할 수 있는 ID 전파가 활성화된 호환 AWS 서비스와 통합됩니다. 신뢰할 수 있는 ID를 활성화하는 방법에 대한 예시가 포함된 포괄적인 목록은 [사용 사례](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html)를 참조하세요. 신뢰할 수 있는 ID 전파 호환 서비스에는 다음이 포함됩니다.
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)
+ [Amazon EMR on EC2](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)
+ [Amazon Redshift 데이터 API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Amazon S3([Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html)를 통해)
+ [AWS Glue Connections](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)
SageMaker AI에서 신뢰할 수 있는 자격 증명 전파가 활성화되면 신뢰할 수 있는 자격 증명 전파가 활성화된 서로 다른 AWS 서비스가 연결됩니다. 연결되면 ID 컨텍스트를 인식하고 액세스 제어 및 감사에 사용합니다.
## 지원됨 AWS 리전
Studio는 [IAM Identity Center가 지원되고](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html) IAM Identity Center 인증이 지원되는 Studio에서 신뢰할 수 있는 ID 전파를 지원합니다. Studio는 AWS 리전다음에서 신뢰할 수 있는 자격 증명 전파를 지원합니다.
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2
# Studio에 신뢰할 수 있는 ID 전파 설정
Amazon SageMaker Studio에 신뢰할 수 있는 ID 전파를 설정하려면 Amazon SageMaker AI 도메인에 IAM Identity Center 인증 방법이 구성되어 있어야 합니다. 이 섹션에서는 Studio 사용자에 대해 신뢰할 수 있는 ID 전파를 활성화하고 구성하는 데 필요한 사전 조건과 단계를 안내합니다.
**Topics**
+ [사전 조건](#trustedidentitypropagation-setup-prerequisites)
+ [Amazon SageMaker AI 도메인에 대해 신뢰할 수 있는 자격 증명 전파 활성화](#trustedidentitypropagation-setup-enable)
+ [SageMaker AI 실행 역할 구성](#trustedidentitypropagation-setup-permissions)
## 사전 조건
SageMaker AI에 신뢰할 수 있는 ID 전파를 설정하기 전에 다음 지침에 따라 IAM Identity Center를 설정합니다.
**참고**
IAM Identity Center와 도메인이 동일한 리전에 있는지 확인합니다.
+ [IAM Identity Center 신뢰할 수 있는 ID 전파 사전 조건](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [IAM Identity Center 설정](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [Identity Center 디렉터리에 사용자 추가](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## Amazon SageMaker AI 도메인에 대해 신뢰할 수 있는 자격 증명 전파 활성화
**중요**
AWS IAM Identity Center 인증 방법이 구성된 도메인에 대해서만 신뢰할 수 있는 ID 전파를 활성화할 수 있습니다.
IAM Identity Center와 Amazon SageMaker AI 도메인은 동일한 AWS 리전에 있어야 합니다.
다음 옵션 중 하나를 사용하여 새 도메인 또는 기존 도메인에 대해 신뢰할 수 있는 ID 전파를 활성화하는 방법을 알아봅니다.
------
#### [ New domain - console ]
**SageMaker AI 콘솔을 사용하여 새 도메인에 대해 신뢰할 수 있는 자격 증명 전파 활성화**
1. [Amazon SageMaker AI 콘솔](https://console.aws.amazon.com/sagemaker)을 엽니다.
1. **도메인**으로 이동합니다.
1. [사용자 지정 도메인을 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html)합니다. 도메인에는 **AWS IAM Identity Center** 인증 방법이 구성되어 있어야 합니다.
1. **신뢰할 수 있는 ID 전파** 섹션에서 **이 도메인의 모든 사용자에 대해 신뢰할 수 있는 ID 전파 활성화**를 선택합니다.
1. 사용자 지정 생성 프로세스를 완료합니다.
------
#### [ Existing domain - console ]
**SageMaker AI 콘솔을 사용하여 기존 도메인에 대해 신뢰할 수 있는 자격 증명 전파 활성화**
**참고**
신뢰할 수 있는 자격 증명 전파가 기존 도메인에 대해 활성화된 후 제대로 작동하려면 사용자는 기존 IAM Identity Center 세션을 다시 시작해야 합니다. 이렇게 하려면 다음 중 하나를 수행합니다.
사용자는 로그아웃하고 기존 IAM Identity Center 세션에 다시 로그인해야 합니다.
관리자는 [작업 인력 사용자의 활성 세션을 종료할 수 있습니다](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
1. [Amazon SageMaker AI 콘솔](https://console.aws.amazon.com/sagemaker)을 엽니다.
1. **도메인**으로 이동합니다.
1. 기존 도메인을 선택합니다. 도메인에는 **AWS IAM Identity Center** 인증 방법이 구성되어 있어야 합니다.
1. **도메인 설정** 탭의 **인증 및 권한** 섹션에서 **편집**을 선택합니다.
1. **이 도메인의 모든 사용자에 대해 신뢰할 수 있는 ID 전파 활성화**를 선택합니다.
1. 도메인 구성을 완료합니다.
------
#### [ Existing domain - AWS CLI ]
를 사용하여 기존 도메인에 대해 신뢰할 수 있는 자격 증명 전파 활성화 AWS CLI
**참고**
신뢰할 수 있는 자격 증명 전파가 기존 도메인에 대해 활성화된 후 제대로 작동하려면 사용자는 기존 IAM Identity Center 세션을 다시 시작해야 합니다. 이렇게 하려면 다음 중 하나를 수행합니다.
사용자는 로그아웃하고 기존 IAM Identity Center 세션에 다시 로그인해야 합니다.
관리자는 [작업 인력 사용자의 활성 세션을 종료할 수 있습니다](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID`는 Amazon SageMaker AI 도메인 ID입니다. 자세한 내용은 [도메인 보기](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html)를 참조하세요.
+ `REGION`는 Amazon SageMaker AI 도메인 AWS 리전 의 입니다. 콘솔 AWS 페이지의 오른쪽 상단에서 찾을 수 있습니다.
------
## SageMaker AI 실행 역할 구성
Studio 사용자에 대해 신뢰할 수 있는 ID 전파를 활성화하려면 모든 신뢰할 수 있는 ID 전파 역할에 다음 컨텍스트 권한 세트가 필요합니다. `sts:AssumeRole` 및 `sts:SetContext` 작업을 포함하도록 모든 역할에 대한 신뢰 정책을 업데이트합니다. [역할 신뢰 정책을 업데이트](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)할 때 다음 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
# CloudTrail을 사용한 모니터링 및 감사
신뢰할 수 있는 자격 증명 전파가 활성화된 경우 AWS CloudTrail 로그에는 IAM 역할이 아닌 작업을 수행한 특정 사용자의 자격 증명 정보가 포함됩니다. 이를 통해 규정 준수 및 보안을 위한 감사 기능이 강화됩니다.
CloudTrail 로그에서 ID 정보를 보려면 다음을 수행하세요.
+ [CloudTrail 콘솔](https://console.aws.amazon.com/cloudtrail)을 엽니다.
+ 왼쪽 탐색 창에서 **이벤트 기록**을 선택합니다.
+ SageMaker AI 및 관련 서비스에서 이벤트를 선택합니다.
+ **이벤트 레코드**에서 `onBehalfOf` 키를 찾습니다. 여기에는 특정 IAM Identity Center 사용자에게 매핑할 수 있는 `userId` 키 및 기타 사용자 식별 정보가 포함됩니다.
자세한 내용은 [CloudTrail use cases for IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html)를 참조하세요.
# 사용자 백그라운드 세션
사용자가 더 이상 활성 상태가 아니더라도 사용자 백그라운드 세션은 계속됩니다. 이렇게 하면 사용자가 로그오프한 후에도 계속될 수 있는 장기 실행 작업이 가능합니다. 이는 SageMaker AI의 신뢰할 수 있는 ID 전파를 통해 활성화할 수 있습니다. 다음 페이지에서는 사용자 백그라운드 세션의 구성 옵션과 동작을 설명합니다.
**참고**
신뢰할 수 있는 ID 전파가 활성화된 경우 기존 활성 사용자 세션은 영향을 받지 않습니다. 기본 기간은 새 사용자 세션 또는 다시 시작된 세션에만 적용됩니다.
사용자 백그라운드 세션은 장기 실행 중인 SageMaker AI 워크플로 또는 영구 상태의 작업에 적용됩니다. 여기에는 실행 상태를 유지하거나 지속적인 모니터링이 필요한 SageMaker AI 리소스가 포함되지만 이에 국한되지 않습니다. 예를 들면 SageMaker Training, Processing 및 Pipelines 실행 작업이 있습니다.
**Topics**
+ [사용자 백그라운드 세션 구성](#configure-user-background-sessions)
+ [기본 사용자 백그라운드 세션 기간](#default-user-background-session-duration)
+ [Studio에서 신뢰할 수 있는 ID 전파 비활성화의 영향](#user-background-session-impact-disable-trustedidentitypropagation-studio)
+ [IAM Identity Center 콘솔에서 사용자 백그라운드 세션 비활성화의 영향](#user-background-session-impact-disable-trustedidentitypropagation-identity-center)
+ [런타임 고려 사항](#user-background-session-runtime-considerations)
## 사용자 백그라운드 세션 구성
Amazon SageMaker Studio에 대해 신뢰할 수 있는 ID 전파가 활성화되면 [IAM Identity Center의 사용자 백그라운드 세션](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)을 통해 기본 기간 한도를 구성할 수 있습니다.
## 기본 사용자 백그라운드 세션 기간
기본적으로 모든 사용자 백그라운드 세션의 기간 한도는 7일입니다. 관리자는 [IAM Identity Center 콘솔에서 이 기간을 수정](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)할 수 있습니다. 이 설정은 IAM Identity Center 인스턴스 수준에서 적용되며 해당 인스턴스 내에서 지원되는 모든 IAM Identity Center 애플리케이션 및 Studio 도메인에 영향을 미칩니다.
신뢰할 수 있는 ID 전파가 활성화되면 SageMaker AI 콘솔에서 관리자에게 다음 정보가 포함된 배너가 표시됩니다.
+ 사용자 백그라운드 세션의 기간 한도
+ 관리자가 이 구성을 변경할 수 있는 IAM Identity Center 콘솔에 대한 링크
+ 기간은 15분에서 최대 90일까지 임의의 값으로 설정할 수 있습니다.
사용자 백그라운드 세션이 만료되면 오류 메시지가 표시됩니다. IAM Identity Center 콘솔 링크를 사용하여 기간을 업데이트할 수 있습니다.
## Studio에서 신뢰할 수 있는 ID 전파 비활성화의 영향
SageMaker AI 콘솔에서 관리자가 신뢰할 수 있는 ID 전파를 처음 활성화한 후 비활성화하는 경우:
+ 사용자 백그라운드 세션이 활성화된 경우 기존 작업은 중단 없이 계속 실행됩니다.
+ 사용자 백그라운드 세션이 비활성화되면 장기 실행 SageMaker AI 워크플로 또는 영구 상태의 작업은 대화형 세션 사용으로 전환됩니다. 여기에는 실행 상태를 유지하거나 지속적인 모니터링이 필요한 SageMaker AI 리소스가 포함되지만 이에 국한되지 않습니다. Amazon SageMaker Training 및 Processing 작업을 예로 들 수 있습니다.
+ 사용자는 체크포인트에서 만료된 작업을 다시 시작할 수 있습니다.
+ 새 작업은 IAM 역할 자격 증명으로 실행되며 ID 컨텍스트를 전파하지 않습니다.
## IAM Identity Center 콘솔에서 사용자 백그라운드 세션 비활성화의 영향
IAM Identity Center 인스턴스에 대해 사용자 백그라운드 세션이 **비활성화**되면 SageMaker AI 작업은 사용자 대화형 세션을 사용합니다. 대화형 세션을 사용하면 다음과 같은 경우 SageMaker AI 작업이 15분 이내에 실패합니다.
+ 사용자가 로그아웃하는 경우
+ 관리자가 대화형 세션을 취소하는 경우
IAM Identity Center 인스턴스에 대해 사용자 백그라운드 세션이 **활성화**되면 SageMaker AI 작업은 사용자 백그라운드 세션을 사용합니다. 대화형 세션을 사용하면 다음과 같은 경우 SageMaker AI 작업이 15분 이내에 실패합니다.
+ 사용자 백그라운드 세션이 만료되는 경우
+ 관리자가 사용자 백그라운드 세션을 수동으로 취소하는 경우
다음은 SageMaker Training 작업의 예시 동작입니다. 관리자가 IAM Identity Center 콘솔에서 신뢰할 수 있는 ID 전파는 활성화하고 [사용자 백그라운드 세션](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)은 비활성화하는 경우:
+ 사용자가 로그인한 상태로 있으면 백그라운드 세션 중에 생성된 Training 작업이 대화형 세션으로 대체되지 않습니다.
+ 사용자가 로그오프하면 세션이 만료되고 대화형 세션에 따라 Training 작업이 실패합니다.
+ 사용자는 마지막 체크포인트에서 Training 작업을 다시 시작할 수 있습니다. 세션 기간은 IAM Identity Center 콘솔에서 대화형 세션 기간에 대해 설정된 기간에 따라 결정됩니다.
+ 사용자가 작업을 시작한 **후** 백그라운드 세션을 비활성화하면 작업은 기존 백그라운드 세션을 계속 사용합니다. 즉, SageMaker AI는 새 백그라운드 세션을 생성하지 않습니다.
백그라운드 세션이 IAM Identity Center 인스턴스 수준에서 활성화되었지만 [IAM Identity Center API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)를 사용하여 Studio 애플리케이션에 대해 특별히 비활성화된 경우에도 동일한 동작이 적용됩니다.
## 런타임 고려 사항
관리자가 사용자 백그라운드 세션 기간보다 짧게 장기 실행 Training 또는 Processing 작업의 `MaxRuntimeInSeconds`를 설정하면 SageMaker AI는 최소 `MaxRuntimeInSeconds` 또는 사용자 백그라운드 세션 기간 동안 작업을 실행합니다. `MaxRuntimeInSeconds`에 대한 자세한 내용은 [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)을 참조하세요. 런타임을 설정하는 방법에 대한 자세한 내용은 [IAM Identity Center의 User background sessions](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)을 참조하세요.
# 신뢰할 수 있는 자격 증명 전파가 활성화된 다른 AWS 서비스와 연결하는 방법
Amazon SageMaker AI 도메인에 대해 신뢰할 수 있는 자격 증명 전파가 활성화되면 도메인 사용자는 다른 신뢰할 수 있는 자격 증명 전파 활성화 AWS 서비스에 연결할 수 있습니다. 신뢰할 수 있는 ID 전파가 활성화되면 ID 컨텍스트가 호환되는 서비스에 자동으로 전파되므로 기계 학습 워크플로 전반에서 세분화된 액세스 제어와 향상된 감사가 가능합니다. 이 통합을 통해 복잡한 IAM 역할 전환이 필요하지 않으며 AWS 서비스 전반에 걸쳐 통합된 자격 증명 환경을 제공합니다. 다음 페이지에서는 신뢰할 수 있는 자격 증명 전파가 활성화된 경우 Amazon SageMaker Studio를 다른 AWS 서비스에 연결하는 방법에 대한 정보를 제공합니다.
**Topics**
+ [신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Amazon S3 Access Grants에 연결](trustedidentitypropagation-s3-access-grants.md)
+ [신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Amazon EMR에 연결](trustedidentitypropagation-emr-ec2.md)
+ [신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 EMR Serverless에 연결](trustedidentitypropagation-emr-serverless.md)
+ [신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Redshift Data API에 연결](trustedidentitypropagation-redshift-data-apis.md)
+ [신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Lake Formation 및 Athena에 연결](trustedidentitypropagation-lake-formation-athena.md)
# 신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Amazon S3 Access Grants에 연결
[Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)를 사용하여 Amazon S3 위치에 ID 기반 세분화된 액세스 제어 권한을 유연하게 부여할 수 있습니다. 이를 통해 Amazon S3 버킷에 기업 사용자 및 그룹에 대한 직접 액세스 권한을 부여합니다. 아래 페이지에서는 SageMaker AI에 대한 신뢰할 수 있는 ID 전파와 함께 Amazon S3 Access Grants를 사용하는 방법에 대한 정보와 지침을 제공합니다.
## 사전 조건
신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio를 Lake Formation 및 Athena에 연결하려면 다음 사전 조건을 충족해야 합니다.
+ [Studio에 신뢰할 수 있는 ID 전파 설정](trustedidentitypropagation-setup.md)
+ [Amazon S3 Access Grants 시작하기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html)에 따라 버킷에 대한 Amazon S3 Access Grants를 설정합니다. 자세한 내용은 [Scaling data access with Amazon S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/)를 참조하세요.
**참고**
표준 Amazon S3 API는 Amazon S3 Access Grants에서 자동으로 작동하지 않습니다. Amazon S3 Access Grants API를 명시적으로 사용해야 합니다. 자세한 내용은 [Amazon S3 Access Grants를 통한 액세스 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)를 참조하세요.
**Topics**
+ [사전 조건](#s3-access-grants-prerequisites)
+ [Amazon S3 Access Grants를 Studio JupyterLab 노트북과 연결](s3-access-grants-setup.md)
+ [Training 및 Processing 작업에서 Studio JupyterLab 노트북을 Amazon S3 Access Grants에 연결](trustedidentitypropagation-s3-access-grants-jobs.md)
# Amazon S3 Access Grants를 Studio JupyterLab 노트북과 연결
다음 정보를 사용하여 Studio JupyterLab 노트북에서 Amazon S3 Access Grants를 부여합니다.
Amazon S3 Access Grants를 설정한 후 도메인 또는 사용자 [실행 역할](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)에 [다음 권한을 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)합니다.
+ `us-east-1`은 AWS 리전입니다.
+ `111122223333`는 AWS 계정 ID입니다.
+ `S3-ACCESS-GRANT-ROLE`은 Amazon S3 액세스 권한 부여 역할입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Amazon S3 Access Grants 역할의 신뢰 정책이 `sts:SetContext` 및 `sts:AssumeRole` 작업을 허용해야 합니다. 다음은 [역할 신뢰 정책을 업데이트](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)할 때의 정책 예시입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Amazon S3 Access Grants를 사용하여 Amazon S3 직접적으로 호출
다음은 Amazon S3 Access Grants를 사용하여 Amazon S3를 직접적으로 호출하는 방법을 보여주는 Python 스크립트 예시입니다. 여기에서는 SageMaker AI를 사용하여 신뢰할 수 있는 ID 전파를 이미 성공적으로 설정했다고 가정합니다.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Amazon S3 액세스 권한 부여가 활성화되지 않은 Amazon S3 버킷의 경로를 사용하는 경우 직접 호출이 실패합니다.
다른 프로그래밍 언어에 대한 자세한 내용은 [Amazon S3 Access Grants를 통한 액세스 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)를 참조하세요.
# Training 및 Processing 작업에서 Studio JupyterLab 노트북을 Amazon S3 Access Grants에 연결
다음 정보를 사용하여 Amazon S3 Access Grants에 Amazon SageMaker Training 및 Processing 작업의 데이터에 액세스할 수 있는 권한을 부여합니다.
신뢰할 수 있는 ID 전파가 활성화된 사용자가 Amazon S3 데이터에 액세스해야 하는 SageMaker Training 또는 Processing 작업을 시작하는 경우:
+ SageMaker AI는 Amazon S3 Access Grants를 직접적으로 호출하여 사용자의 ID를 기반으로 임시 자격 증명을 가져옵니다.
+ 성공하면 이러한 임시 자격 증명이 Amazon S3 데이터에 액세스합니다.
+ 실패하면 SageMaker AI는 IAM 역할 자격 증명 사용으로 대체합니다.
**참고**
모든 권한이 Amazon S3 Access Grants를 통해 부여되도록 하려면 실행 역할과 관련된 Amazon S3 액세스 권한을 제거하고 해당 [Amazon S3 Access Grant](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant)에 연결해야 합니다.
**Topics**
+ [고려 사항](#s3-access-grants-jobs-considerations)
+ [Training 및 Processing 작업에서 Amazon S3 Access Grants 설정](#s3-access-grants-jobs-setup)
## 고려 사항
Amazon S3 Access Grants는 Amazon S3 입력에 대한 SageMaker Training 및 Processing 모두에 [파이프 모드](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html)로 사용할 수 없습니다.
신뢰할 수 있는 ID 전파가 활성화된 경우 다음 기능을 사용하여 SageMaker Training 작업을 시작할 수 없습니다.
+ 원격 디버깅
+ 디버거
+ 프로파일러
신뢰할 수 있는 ID 전파가 활성화된 경우 다음 기능을 사용하여 Processing 작업을 시작할 수 없습니다.
+ DatasetDefinition
## Training 및 Processing 작업에서 Amazon S3 Access Grants 설정
Amazon S3 Access Grants를 설정한 후 도메인 또는 사용자 [실행 역할](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)에 [다음 권한을 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)합니다.
+ `us-east-1`은 AWS 리전입니다.
+ `111122223333`는 AWS 계정 ID입니다.
+ `S3-ACCESS-GRANT-ROLE`은 Amazon S3 액세스 권한 부여 역할입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# 신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Amazon EMR에 연결
Amazon SageMaker Studio JupyterLab 노트북을 Amazon EMR 클러스터에 연결하면 대규모 데이터 처리 및 분석 워크로드에 Amazon EMR의 분산 컴퓨팅 성능을 활용할 수 있습니다. 신뢰할 수 있는 ID 전파를 활성화하면 ID 컨텍스트가 Amazon EMR로 전파되므로 세분화된 액세스 제어 및 포괄적인 감사 추적이 가능합니다. 다음 페이지에서는 Studio 노트북을 Amazon EMR 클러스터에 연결하는 방법에 대한 지침을 제공합니다. 설정을 마치면 Studio 노트북에서 `Connect to Cluster` 옵션을 사용할 수 있습니다.
신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio를 Amazon EMR에 연결하려면 다음 설정을 완료해야 합니다.
+ [Studio에 신뢰할 수 있는 ID 전파 설정](trustedidentitypropagation-setup.md)
+ [Amazon EMR AWS IAM Identity Center 통합 시작하기](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Enable communications between Studio and Amazon EMR clusters](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Amazon EMR 클러스터에 연결**
JupyterLab 노트북을 Amazon EMR에 연결하는 방법에 대한 전체 옵션 목록은 [Amazon EMR 클러스터에 연결하기](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)를 참조하세요.
# 신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 EMR Serverless에 연결
Amazon EMR Serverless는 클러스터를 관리하지 않고도 Apache Spark 및 Apache Hive 애플리케이션을 실행할 수 있는 서버리스 옵션을 제공합니다. 신뢰할 수 있는 ID 전파와 통합되면 EMR Serverless는 액세스 제어 및 감사를 위해 ID 컨텍스트를 유지하면서 컴퓨팅 리소스를 자동으로 규모를 조정합니다. 이 접근 방식은 ID 기반 액세스 제어의 보안 이점을 유지하면서 클러스터 관리의 운영 오버헤드를 제거합니다. 다음 섹션에서는 신뢰할 수 있는 ID 전파가 활성화된 Studio를 EMR Serverless와 연결하는 방법에 대한 정보를 제공합니다.
신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio를 Amazon EMR Serverless에 연결하려면 다음 설정을 완료해야 합니다.
+ [Studio에 신뢰할 수 있는 ID 전파 설정](trustedidentitypropagation-setup.md)
+ [Trusted identity propagation with EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Enable communications between Studio and EMR Serverless](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**EMR Serverless 애플리케이션에 연결**
JupyterLab 노트북을 EMR Serverless에 연결하는 방법에 대한 전체 옵션 목록은 [Connect to an EMR Serverless application](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html)을 참조하세요.
# 신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Redshift Data API에 연결
Amazon Redshift Data API를 사용하면 영구 연결을 관리하지 않고도 프로그래밍 방식으로 Amazon Redshift 클러스터와 상호 작용할 수 있습니다. 신뢰할 수 있는 ID 전파와 결합하면 Redshift Data API는 데이터 웨어하우스에 대한 안전한 ID 기반 액세스를 제공하므로 사용자 활동에 대한 전체 감사 추적을 유지하면서 SQL 쿼리를 실행하고 결과를 검색할 수 있습니다. 이 통합은 Redshift에 저장된 정형 데이터에 액세스해야 하는 데이터 과학 워크플로에 특히 유용합니다. 다음 페이지에는 Amazon SageMaker Studio에서 신뢰할 수 있는 ID 전파를 Redshift Data API에 연결하는 방법에 대한 정보와 지침이 포함되어 있습니다.
신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio를 Redshift Data API에 연결하려면 다음 설정을 완료해야 합니다.
+ [Studio에 신뢰할 수 있는 ID 전파 설정](trustedidentitypropagation-setup.md)
+ [Using Redshift Data API with trusted identity propagation](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ 실행 역할에 Redshift Data API에 대한 관련 권한이 있는지 확인합니다. 자세한 내용은 [액세스 권한 부여](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html)를 참조하세요.
+ [Amazon Redshift 및 외부 자격 증명 공급자의 사용자를 AWS Lake Formation 위한 액세스 관리 간소화](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# 신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio JupyterLab 노트북을 Lake Formation 및 Athena에 연결
AWS Lake Formation 및 Amazon Athena는 협력하여 세분화된 액세스 제어 및 서버리스 쿼리 기능을 갖춘 포괄적인 데이터 레이크 솔루션을 제공합니다. Lake Formation은 데이터 레이크에 대한 권한 관리를 중앙 집중화하는 한편 Athena는 대화형 쿼리 서비스를 제공합니다. 이 조합을 신뢰할 수 있는 ID 전파와 통합하면 데이터 과학자가 조회 권한이 있는 데이터에만 액세스할 수 있으며 모든 쿼리 및 데이터 액세스는 규정 준수 및 감사 목적으로 자동 로깅됩니다. 아래 페이지에서는 Amazon SageMaker Studio에서 신뢰할 수 있는 ID 전파를 Lake Formation 및 Athena에 연결하는 방법에 대한 정보와 지침을 제공합니다.
신뢰할 수 있는 ID 전파가 활성화된 상태에서 Studio를 Lake Formation 및 Athena에 연결하려면 다음 설정을 완료해야 합니다.
+ [Studio에 신뢰할 수 있는 ID 전파 설정](trustedidentitypropagation-setup.md)
+ [Create a Lake Formation role](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Connect Lake Formation with IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Lake Formation 리소스 생성:
+ [데이터베이스](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [테이블](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Athena 작업 그룹 만들기](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ 엔진으로 **AthenaSQL**을 선택합니다.
+ 인증 방법으로 **IAM Identity Center**를 선택합니다.
+ 새 서비스 역할을 생성합니다.
+ IAM Identity Center 사용자가 Amazon S3 Access Grants를 사용하여 쿼리 결과 위치에 액세스할 수 있어야 합니다.
+ [Granting database permissions using the named resource method](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)