기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 신뢰할 수 있는 ID 전파 사용 사례
IAM Identity Center 관리자는 사용자 대상 애플리케이션에서 AWS 서비스로의 신뢰할 수 있는 ID 전파를 구성하는 데 도움을 달라는 요청을 받을 수 있습니다. 이 요청을 지원하려면 다음 정보가 필요합니다.
+ 사용자가 어떤 클라이언트 대상 애플리케이션과 인터페이싱할 것인가?
+ 데이터를 쿼리하고 데이터에 대한 액세스를 승인하는 데 사용되는 AWS 서비스 것은 무엇입니까?
+ 데이터에 대한 액세스 권한을 AWS 서비스 부여하는 것은 무엇입니까?
**타사 애플리케이션 또는 맞춤 개발 애플리케이션과 관련이 없는 신뢰할 수 있는 ID 전파 사용 사례**를 활성화하는 데 있어 관리자의 역할은 다음과 같습니다.
1. [IAM Identity Center를 활성화합니다](enable-identity-center.md).
1. [기존 ID 소스를 IAM Identity Center에 연결합니다](tutorials.md).
이러한 사용 사례에 대해 신뢰할 수 있는 자격 증명 구성의 나머지 단계는 연결된 AWS 서비스 및 애플리케이션 내에서 수행됩니다. 연결된 AWS 서비스 또는 애플리케이션의 관리자는 포괄적인 서비스별 지침은 해당 사용 설명서를 참조해야 합니다.
**타사 애플리케이션 또는 맞춤 개발 애플리케이션과 관련된 신뢰할 수 있는 ID 전파 사용 사례**를 활성화하는 데 있어 관리자의 역할에는 [IAM Identity Center 활성화](enable-identity-center.md)의 단계 및 [ID 소스 연결](tutorials.md)과 다음이 포함됩니다.
1. ID 제공업체(IdP)와 타사 또는 맞춤 개발 애플리케이션의 연결을 구성합니다.
1. IAM Identity Center가 타사 또는 맞춤 개발 애플리케이션을 인식할 수 있도록 합니다.
1. IAM Identity Center에서 IdP를 신뢰할 수 있는 토큰 발급자로 구성합니다. 자세한 내용은 [신뢰할 수 있는 토큰 발급자를 사용하여 애플리케이션 사용](using-apps-with-trusted-token-issuer.md) 단원을 참조하십시오.
연결된 애플리케이션의 관리자 및는 포괄적인 서비스별 지침은 해당 사용 설명서를 참조 AWS 서비스 해야 합니다.
## 분석, 데이터 레이크하우스, 기계 학습 사용 사례
다음 분석 및 기계 학습 서비스에 신뢰할 수 있는 전파 사용 사례를 활성화할 수 있습니다.
+ **Amazon Redshift** - 지침은 [Amazon Redshift를 사용한 신뢰할 수 있는 ID 전파](tip-usecase-redshift.md) 섹션을 참조하세요.
+ **Amazon EMR** - 지침은 [Amazon EMR을 사용한 신뢰할 수 있는 ID 전파](tip-usecase-emr.md) 섹션을 참조하세요.
+ **Amazon Athena** - 지침은 [Amazon Athena를 사용한 신뢰할 수 있는 ID 전파](tip-usecase-ate.md) 섹션을 참조하세요.
+ **SageMaker Studio** - 지침은 [Amazon SageMaker Studio를 사용한 신뢰할 수 있는 ID 전파](trusted-identity-propagation-usecase-sagemaker-studio.md) 섹션을 참조하세요.
## 추가 사용 사례
다음과 같은 추가 AWS 서비스에 IAM Identity Center 및 신뢰할 수 있는 ID 전파를 활성화할 수 있습니다.
+ **Amazon Q Business** - 지침은 다음을 참조하세요.
+ [IAM Identity Center를 사용한 앱 관리 워크플로](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [IAM Identity Center를 사용한 Amazon Q Business 애플리케이션 구성](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [IAM Identity Center의 신뢰할 수 있는 ID 전파를 사용한 Amazon Q Business 구성](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** - 지침은 다음을 참조하세요.
+ [Amazon OpenSearch Service를 위한 IAM Identity Center의 신뢰할 수 있는 ID 전파 지원](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Amazon OpenSearch Service를 사용하는 중앙 집중식 OpenSearch 사용자 인터페이스(대시보드)](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family** - 지침은 다음을 참조하세요.
+ [Transfer Family 웹 앱](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [분석, 데이터 레이크하우스, 기계 학습 사용 사례](#tip-data-analytic-usecases-overview)
+ [추가 사용 사례](#tip-additional-usecases)
+ [Amazon Redshift를 사용한 신뢰할 수 있는 ID 전파](tip-usecase-redshift.md)
+ [Amazon EMR을 사용한 신뢰할 수 있는 ID 전파](tip-usecase-emr.md)
+ [Amazon Athena를 사용한 신뢰할 수 있는 ID 전파](tip-usecase-ate.md)
+ [Amazon SageMaker Studio를 사용한 신뢰할 수 있는 ID 전파](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Amazon Redshift를 사용한 신뢰할 수 있는 ID 전파
신뢰할 수 있는 자격 증명 전파를 활성화하는 단계는 사용자가 AWS 관리형 애플리케이션과 상호 작용하는지 아니면 고객 관리형 애플리케이션과 상호 작용하는지에 따라 달라집니다. 다음 다이어그램은 Amazon Redshift 또는 또는 Amazon AWS Lake Formation Amazon S3와 같은 권한 부여 서비스에서 제공하는 액세스 제어를 사용하여 Amazon Redshift 데이터를 쿼리 AWS 하는 AWS 관리형 또는 외부 클라이언트 대상 애플리케이션에 대한 신뢰할 수 있는 자격 증명 전파 구성을 보여줍니다Access Grants.
![\[Amazon Redshift, Quick, Lake Formation 및 IAM Identity Center를 사용한 신뢰할 수 있는 자격 증명 전파 다이어그램\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Amazon Redshift로의 신뢰할 수 있는 ID 전파를 활성화하면 Redshift 관리자는 IAM Identity Center에 대한 [역할을 ID 제공업체로 자동 생성하고](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html), Redshift 역할을 IAM Identity Center의 그룹에 매핑하고, [Redshift 역할 기반 액세스 제어를 사용하여 액세스 권한을 부여](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)하도록 Redshift를 구성할 수 있습니다.
## 지원되는 클라이언트 대상 애플리케이션
**AWS 관리형 애플리케이션**
다음 AWS 관리형 클라이언트 대상 애플리케이션은 Amazon Redshift로의 신뢰할 수 있는 ID 전파를 지원합니다.
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [빠른](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**참고**
Amazon Redshift Spectrum을 사용하여 AWS Glue Data Catalog의 외부 데이터베이스 또는 테이블에 액세스하는 경우 세분화된 액세스 제어를 제공하도록 [Lake Formation](tip-tutorial-lf.md) 및 [Amazon S3Access Grants](tip-tutorial-s3.md)를 설정하는 것이 좋습니다.
**고객 관리형 애플리케이션**
다음 고객 관리형 애플리케이션은 Amazon Redshift로의 신뢰할 수 있는 ID 전파를 지원합니다.
+ **Tableau**(Tableau Desktop, Tableau Server, Tableau Prep 포함)
+ Tableau 사용자에 대해 신뢰할 수 있는 ID 전파를 활성화하려면 *AWS 빅 데이터 블로그*의 [IAM Identity Center를 사용하여 Tableau 및 Okta 항목을 Amazon Redshift와 통합](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/)을 참조하세요.
+ **SQL 클라이언트**(DBeaver 및 DBVisualizer)
+ SQL 클라이언트(DBeaver 및 DBVisualizer) 사용자에 대해 신뢰할 수 있는 ID 전파를 활성화하려면 *AWS 빅 데이터 블로그*에서 [원활한 Single Sign-On을 위해 IAM Identity Center를 사용하여 Amazon Redshift Query Editor V2 및 SQL 클라이언트와 ID 제공업체(IdP) 통합](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)을 참조하세요.
# Amazon Redshift Query Editor V2를 사용한 신뢰할 수 있는 ID 전파 설정
다음 절차에서는 Amazon Redshift Query Editor V2에서 Amazon Redshift로 신뢰할 수 있는 ID 전파를 달성하는 방법을 안내합니다.
## 사전 조건
이 자습서를 시작하려면 먼저 다음을 설정해야 합니다.
1. [IAM Identity Center를 활성화합니다](enable-identity-center.md). [조직 인스턴스](organization-instances-identity-center.md)를 권장합니다. 자세한 내용은 [필수 조건 및 고려 사항](trustedidentitypropagation-overall-prerequisites.md) 단원을 참조하십시오.
1. [ID 소스의 사용자 및 그룹을 IAM Identity Center로 프로비저닝합니다](tutorials.md).
신뢰할 수 있는 ID 전파를 활성화하는 데에는 IAM Identity Center 콘솔에서 IAM Identity Center 관리자가 수행하는 작업과, Amazon Redshift 콘솔에서 Amazon Redshift 관리자가 수행하는 작업이 있습니다.
## IAM Identity Center 관리자가 수행하는 작업
IAM Identity Center 관리자가 완료해야 할 작업은 다음과 같습니다.
1. 다음 권한 정책을 사용하여 Amazon Redshift 클러스터 또는 Serverless 인스턴스가 있는 계정에 **[IAM 역할](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)을 생성합니다**. 자세한 내용은 [IAM 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)을 참조하세요.
1. 다음 정책 예시에는 이 자습서를 완료하는 데 필요한 권한이 포함되어 있습니다. 이 정책을 사용하려면 정책 예제의 *기울임꼴 자리 표시자 텍스트*를 본인의 정보로 대체합니다. 추가 지침은 [정책 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) 또는 [정책 편집](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)을 참조하세요.
**권한 정책:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**신뢰 정책:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. IAM Identity Center가 활성화된 AWS Organizations 관리 계정에서 **권한 세트를 생성**합니다. 다음 단계에서 이를 사용하여 페더레이션 사용자가 Redshift Query Editor V2에 액세스할 수 있도록 합니다.
1. **IAM Identity Center** 콘솔의 **다중 계정 권한**으로 이동하여 **권한 세트**를 선택합니다.
1. **권한 집합 생성**을 선택합니다.
1. **사용자 지정 권한 세트**를 선택한 후 **다음**을 선택합니다.
1. **AWS 관리형 정책**에서 **`AmazonRedshiftQueryEditorV2ReadSharing`**을 선택합니다.
1. **인라인 정책**에서 다음 정책을 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. **다음**을 선택한 후 권한 세트 이름에 이름을 입력합니다. 예를 들어 **Redshift-Query-Editor-V2**입니다.
1. **릴레이 상태 - 선택 사항**에서 `https://your-region.console.aws.amazon.com/sqlworkbench/home` 형식으로 기본 릴레이 상태를 Query Editor V2 URL로 설정합니다.
1. 설정을 검토하고 **생성**을 선택합니다.
1. IAM Identity Center 대시보드로 이동하여 **설정 요약** 섹션에서 AWS 액세스 포털 URL을 복사합니다.
![\[i단계, IAM Identity Center 콘솔에서 AWS 액세스 포털 URL 복사.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. 새 Incognito 브라우저 창을 열고 URL을 붙여 넣습니다.
그러면 AWS 액세스 포털로 이동하여 IAM Identity Center 사용자로 로그인합니다.
![\[j단계, 포털에 AWS 액세스하려면 로그인합니다.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
권한 세트에 대한 자세한 내용은 [권한 세트 AWS 계정 로 관리](permissionsetsconcept.md) 섹션을 참조하세요.
1. **Redshift Query Editor V2에 대한 페더레이션 사용자 액세스를 활성화합니다**.
1. AWS Organizations 관리 계정에서 **IAM Identity Center** 콘솔을 엽니다.
1. 탐색 창의 **다중 계정 권한**에서 **AWS 계정**을 선택합니다.
1. 페이지에서 액세스 권한을 할당할 AWS 계정 를 AWS 계정 선택합니다.
1. **사용자 또는 그룹 할당**을 선택합니다.
1. **사용자 및 그룹 할당** 페이지에서 권한 세트를 생성하려는 사용자 및/또는 그룹을 선택합니다. 그리고 **다음**을 선택합니다.
1. **권한 세트 할당** 페이지에서 이전 단계에서 생성한 권한 세트를 선택합니다. 그리고 **다음**을 선택합니다.
1. **할당 검토 및 제출** 페이지에서 선택 내용을 검토하고 **제출**을 선택합니다.
## Amazon Redshift 관리자가 수행하는 작업
Amazon Redshift로의 신뢰할 수 있는 ID 전파를 활성화하려면 Amazon Redshift 클러스터 관리자 또는 Amazon Redshift Serverless 관리자가 Amazon Redshift 콘솔에서 몇 가지 작업을 수행해야 합니다. 자세한 내용은 *AWS 빅 데이터 블로그*에서 [원활한 Single Sign-On을 위해 IAM Identity Center를 사용하여 Amazon Redshift Query Editor V2 및 SQL 클라이언트와 ID 제공업체(IdP) 통합](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)을 참조하세요.
# Amazon EMR을 사용한 신뢰할 수 있는 ID 전파
다음 다이어그램은 AWS Lake Formation 및 Amazon S3에서 제공하는 액세스 제어와 함께 Amazon EMR on Amazon EC2를 사용하는 Amazon EMR Studio에 대한 신뢰할 수 있는 자격 증명 전파 구성을 보여줍니다Access Grants.
![\[Amazon EMR, Lake Formation, IAM Identity Center를 사용한 신뢰할 수 있는 ID 전파 다이어그램\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**지원되는 클라이언트 대상 애플리케이션**
+ Amazon EMR Studio
**신뢰할 수 있는 ID 전파를 활성화하려면 다음 단계를 따릅니다.**
+ Amazon EMR 클러스터를 위한 클라이언트 대상 애플리케이션으로 [Amazon EMR Studio를 설정합니다](setting-up-tip-emr.md).
+ [Apache Spark를 사용하여 Amazon EC2에서 Amazon EMR 클러스터](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html)를 설정합니다.
+ *권장* 사항: [AWS Lake Formation](tip-tutorial-lf.md) 및 [Amazon S3Access Grants](tip-tutorial-s3.md)는 S3의 AWS Glue Data Catalog 및 기본 데이터 위치에 대한 세분화된 액세스 제어를 제공합니다.
# Amazon EMR Studio를 사용한 신뢰할 수 있는 ID 전파 설정
다음 절차에서는 Apache Spark를 실행하는 Amazon Athena 작업 그룹 또는 Amazon EMR 클러스터에 대한 쿼리에서 신뢰할 수 있는 ID 전파를 위해 Amazon EMR Studio를 설정하는 방법을 안내합니다.
## 사전 조건
이 자습서를 시작하려면 먼저 다음을 설정해야 합니다.
1. [IAM Identity Center를 활성화합니다](enable-identity-center.md). [조직 인스턴스](organization-instances-identity-center.md)를 권장합니다. 자세한 내용은 [필수 조건 및 고려 사항](trustedidentitypropagation-overall-prerequisites.md) 단원을 참조하십시오.
1. [ID 소스의 사용자 및 그룹을 IAM Identity Center로 프로비저닝합니다](tutorials.md).
Amazon EMR Studio에서 신뢰할 수 있는 ID 전파 설정을 완료하려면 EMR Studio 관리자가 다음 단계를 수행해야 합니다.
## 1단계. EMR Studio에 필요한 IAM 역할 생성
이 단계에서 Amazon EMR Studio 관리자는 EMR Studio에 대한 IAM 서비스 역할과 IAM 사용자 역할을 생성합니다.
1. **[EMR Studio 서비스 역할 생성](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** - EMR Studio는 이 IAM 역할을 수임하여 워크스페이스와 노트북을 안전하게 관리하고, 클러스터에 연결하고, 데이터 상호 작용을 처리합니다.
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))로 이동하여 IAM 역할을 생성합니다.
1. **AWS 서비스**를 신뢰할 수 있는 엔터티로 선택한 다음 **Amazon EMR**을 선택합니다. 다음 정책을 연결하여 역할의 권한 및 신뢰 관계를 정의합니다.
이러한 정책을 사용하려면 정책 예제의 *기울임꼴 자리 표시자 텍스트*를 본인의 정보로 대체합니다. 추가 지침은 [정책 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) 또는 [정책 편집](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
모든 서비스 역할 권한에 대한 참조는 [EMR Studio 서비스 역할 권한](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)을 참조하세요.
1. **[IAM Identity Center 인증을 위해 EMR Studio 사용자 역할 생성](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - 사용자가 IAM Identity Center를 통해 로그인하여 워크스페이스, EMR 클러스터, 작업, git 리포지토리를 관리할 때 EMR Studio가 이 역할을 수임합니다. **이 역할은 신뢰할 수 있는 ID 전파 워크플로를 시작하는 데 사용됩니다**.
**참고**
EMR Studio 사용자 역할에는 AWS Glue Catalog에 있는 테이블의 Amazon S3 위치에 액세스할 수 있는 권한이 포함되지 않아도 됩니다. AWS Lake Formation 권한 및 등록된 레이크 위치는 임시 권한을 받는 데 사용됩니다.
다음 예제 정책은 EMR Studio의 사용자가 Athena 작업 그룹을 사용하여 쿼리를 실행하도록 허용하는 역할에서 사용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
다음 신뢰 정책은 EMR Studio가 역할을 수임하도록 허용합니다.
**참고**
EMR Studio Workspace 및 EMR 노트북을 활용하려면 추가 권한이 필요합니다. 자세한 내용은 [EMR Studio 사용자를 위한 권한 정책 생성](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies)을 참조하세요.
**다음 링크를 통해 자세한 내용을 확인할 수 있습니다.**
+ [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [EMR Studio 서비스 역할 권한](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## 2단계. EMR Studio 생성 및 구성
이 단계에서는 EMR Studio 콘솔에서 Amazon EMR Studio를 생성하고 [1단계. EMR Studio에 필요한 IAM 역할 생성2단계. EMR Studio 생성 및 구성](#setting-up-tip-emr-step1)에서 생성한 IAM 역할을 사용합니다.
1. EMR Studio 콘솔로 이동하여 **Studio 생성** 및 **사용자 지정 설정** 옵션을 선택합니다. 새 S3 버킷을 생성하거나 기존 버킷을 사용할 수 있습니다. **자체 KMS 키로 워크스페이스 파일 암호화** 확인란을 선택할 수 있습니다. 자세한 내용은 [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html) 단원을 참조하십시오.
![\[1단계 EMR 콘솔에서 EMR Studio 생성.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. **Studio가 리소스에 액세스할 수 있도록 하는 서비스 역할**의 메뉴에서 [1단계. EMR Studio에 필요한 IAM 역할 생성2단계. EMR Studio 생성 및 구성](#setting-up-tip-emr-step1)에서 생성된 서비스 역할을 선택합니다.
1. **인증**에서 **IAM Identity Center**를 선택합니다. [1단계. EMR Studio에 필요한 IAM 역할 생성2단계. EMR Studio 생성 및 구성](#setting-up-tip-emr-step1)에서 생성된 사용자 역할을 선택합니다.
![\[3단계 EMR 콘솔에서 인증 방법에 IAM Identity Center를 선택하여 EMR Studio 생성.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. **신뢰할 수 있는 ID 전파** 상자를 선택합니다. 애플리케이션 액세스 섹션에서 **할당된 사용자 및 그룹만**을 선택합니다. 그러면 권한이 부여된 사용자 및 그룹만이 스튜디오에 액세스할 수 있습니다.
1. *(선택 사항)* - EMR 클러스터와 함께 이 Studio를 사용하는 경우 VPC 및 서브넷을 구성할 수 있습니다.
![\[4단계 EMR 콘솔에서 네트워크 및 보안 설정을 선택하여 EMR Studio 생성.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. 모든 세부 정보를 검토하고 **Studio 생성**을 선택합니다.
1. Athena WorkGroup 또는 EMR 클러스터를 구성한 후 Studio의 URL에 로그인하여 다음을 수행합니다.
1. 쿼리 편집기로 Athena 쿼리를 실행합니다.
1. Jupyter 노트북을 사용하여 워크스페이스에서 Spark 작업을 실행합니다.
# Amazon Athena를 사용한 신뢰할 수 있는 ID 전파
신뢰할 수 있는 자격 증명 전파를 활성화하는 단계는 사용자가 AWS 관리형 애플리케이션과 상호 작용하는지 아니면 고객 관리형 애플리케이션과 상호 작용하는지에 따라 달라집니다. 다음 다이어그램은 Amazon Athena를 사용하여 AWS Lake Formation 및 Amazon S3에서 제공하는 액세스 제어를 사용하여 Amazon S3 데이터를 쿼리 AWS 하는 AWS 관리형 또는 외부 클라이언트 대상 애플리케이션에 대한 신뢰할 수 있는 자격 증명 전파 구성을 보여줍니다Amazon S3Access Grants.
**참고**
Amazon Athena를 사용한 신뢰할 수 있는 ID 전파에는 Trino를 사용해야 합니다.
ODBC 및 JDBC 드라이버를 통해 Amazon Athena에 연결된 Apache Spark 및 SQL 클라이언트는 지원되지 않습니다.
![\[Athena, Amazon EMR, Lake Formation, IAM Identity Center를 사용한 신뢰할 수 있는 ID 전파 다이어그램\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS 관리형 애플리케이션**
다음 AWS 관리형 클라이언트 연결 애플리케이션은 Athena와의 신뢰할 수 있는 ID 전파를 지원합니다.
+ Amazon EMR Studio
**신뢰할 수 있는 ID 전파를 활성화하려면 다음 단계를 따릅니다.**
+ Athena를 위한 클라이언트 대상 애플리케이션으로 [Amazon EMR Studio를 설정합니다](setting-up-tip-emr.md). 신뢰할 수 있는 ID 전파가 활성화되면 Athena 쿼리를 실행하기 위해 EMR Studio의 쿼리 편집기가 필요합니다.
+ [Athena 작업 그룹을 설정합니다](setting-up-tip-ate.md).
+ IAM Identity Center의 사용자 또는 그룹을 기반으로 AWS Glue 테이블에 대한 세분화된 액세스 제어를 활성화하도록 [설정합니다 AWS Lake Formation](tip-tutorial-lf.md).
+ [Amazon S3 Access Grants를 설정](tip-tutorial-s3.md)하여 S3의 기본 데이터 위치에 대한 임시 액세스를 활성화합니다.
**참고**
Lake Formation과 Amazon S3 Access Grants 모두 Amazon S3의 Athena 쿼리 결과에 대한 액세스 제어 AWS Glue Data Catalog 에 필요합니다.
**고객 관리형 애플리케이션**
*사용자 지정 개발 애플리케이션의* 사용자에 대해 신뢰할 수 있는 자격 증명 전파를 활성화하려면 *AWS 보안 블로그*의 신뢰할 수 [있는 자격 증명 전파를 사용하여 AWS 서비스 프로그래밍 방식으로 액세스를](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) 참조하세요.
# Amazon Athena 작업 그룹을 사용한 신뢰할 수 있는 ID 전파 설정
다음 절차는 신뢰할 수 있는 ID 전파를 위해 Amazon Athena 작업 그룹을 설정하는 방법을 안내합니다.
## 사전 조건
이 자습서를 시작하려면 먼저 다음을 설정해야 합니다.
1. [IAM Identity Center를 활성화합니다](enable-identity-center.md). [조직 인스턴스](organization-instances-identity-center.md)를 권장합니다. 자세한 내용은 [필수 조건 및 고려 사항](trustedidentitypropagation-overall-prerequisites.md) 단원을 참조하십시오.
1. [ID 소스의 사용자 및 그룹을 IAM Identity Center로 프로비저닝합니다](tutorials.md).
1. 이 구성에는 [Amazon EMR Studio](setting-up-tip-emr.md), [AWS Lake Formation](tip-tutorial-lf.md), [Amazon S3 Access Grants](tip-tutorial-s3.md)가 필요합니다.
## Athena를 사용한 신뢰할 수 있는 ID 전파 설정
Athena를 사용하여 신뢰할 수 있는 ID 전파를 설정하려면 Athena 관리자는 다음을 수행해야 합니다.
1. [IAM Identity Center 지원 Athena 작업 그룹 사용 시 고려 사항 및 제한 사항](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations)을 검토합니다.
1. [IAM Identity Center 지원 Athena 작업 그룹을 생성합니다](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Amazon SageMaker Studio를 사용한 신뢰할 수 있는 ID 전파
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html)는 IAM Identity Center와 통합되어 [사용자 백그라운드 세션](user-background-sessions.md) 및 신뢰할 수 있는 ID 전파를 지원합니다. 사용자 백그라운드 세션을 사용하면 사용자가 작업을 실행하는 동안 로그인 상태를 유지할 필요 없이 SageMaker Studio에서 장기 실행 작업을 시작할 수 있습니다. 작업은 작업을 시작한 사용자의 권한을 사용하여 백그라운드에서 즉시 실행됩니다. 사용자가 컴퓨터를 끄거나, IAM Identity Center 로그인 세션이 만료되거나, 사용자가 AWS 액세스 포털에서 로그아웃하더라도 작업은 계속 실행될 수 있습니다. 사용자 백그라운드 세션의 기본 세션 기간은 7일이지만 최대 90일의 기간을 지정할 수 있습니다. 신뢰할 수 있는 ID 전파는 사용자의 자격 증명 또는 그룹 멤버십을 기반으로 Amazon S3 버킷과 같은 AWS 리소스에 제공되는 세분화된 액세스를 지원합니다.
다음 다이어그램은 SageMaker Studio가 Amazon S3 버킷에 저장된 데이터에 액세스하기 위한 신뢰할 수 있는 ID 전파의 구성을 보여줍니다. 사용자 백그라운드 세션이 IAM Identity Center에 대해 활성화되어 SageMaker Studio 훈련 작업을 백그라운드에서 실행할 수 있게 해줍니다. 훈련 데이터에 대한 액세스 제어는 Amazon S3 Access Grants에서 제공합니다.
![\[사용자 백그라운드 세션에서 실행되는 SageMaker Studio 훈련 작업과 Amazon S3 Access Grants에서 제공하는 Amazon S3의 훈련 데이터에 대한 액세스를 보여주는 Amazon S3 SageMaker Studio의 신뢰할 수 있는 ID 전파 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS 관리형 애플리케이션**
다음 AWS 관리형 클라이언트 대상 애플리케이션은 신뢰할 수 있는 ID 전파를 지원합니다.
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**신뢰할 수 있는 ID 전파 및 사용자 백그라운드 세션을 활성화하려면 다음 단계를 따릅니다.**
+ [SageMaker Studio를 클라이언트 대상 애플리케이션으로 설정합니다.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Amazon S3 Access Grants를 설정](tip-tutorial-s3.md)하여 Amazon S3의 기본 데이터 위치에 대한 임시 액세스를 활성화합니다.
# SageMaker Studio를 사용한 신뢰할 수 있는 ID 전파 설정
다음 절차는 신뢰할 수 있는 ID 전파 및 사용자 백그라운드 세션을 위해 SageMaker Studio를 설정하는 방법을 안내합니다.
## 사전 조건
이 자습서를 시작하려면 먼저 다음 작업을 완료해야 합니다.
1. [IAM Identity Center를 활성화합니다](enable-identity-center.md). 조직 인스턴스가 필요합니다. 자세한 내용은 [필수 조건 및 고려 사항](trustedidentitypropagation-overall-prerequisites.md) 단원을 참조하십시오.
1. [ID 소스의 사용자 및 그룹을 IAM Identity Center로 프로비저닝합니다](tutorials.md).
1. IAM Identity Center 콘솔에서 [사용자 백그라운드 세션이 활성화되어 있는지 확인합니다](user-background-sessions.md). 기본적으로 사용자 백그라운드 세션은 활성화되어 있고 세션 기간은 7일로 설정되어 있습니다. 이 기간은 변경할 수 있습니다.
SageMaker Studio에서 신뢰할 수 있는 ID 전파를 설정하려면 SageMaker Studio 관리자가 다음 단계를 수행해야 합니다.
## 1단계: 신규 또는 기존 SageMaker Studio 도메인에서 신뢰할 수 있는 ID 전파 활성화
SageMaker Studio는 도메인을 사용하여 사용자 프로필, 애플리케이션 및 관련 리소스를 구성합니다. 신뢰할 수 있는 ID 전파를 활성화하려면 다음 절차에 설명된 것과 같이 SageMaker Studio 도메인을 생성하거나 기존 도메인을 수정해야 합니다.
1. SageMaker AI 콘솔을 열고 **도메인**으로 이동한 후 다음 중 하나를 수행합니다.
+ **[조직용 설정](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) 사용하여 새 SageMaker Studio 도메인을 생성합니다.**
**조직용 설정**을 선택한 후 다음을 수행합니다.
+ 인증 방법으로 **AWS Identity Center**를 선택합니다.
+ **이 도메인의 모든 사용자에 대해 신뢰할 수 있는 ID 전파 활성화** 확인란을 선택합니다.
+ **기존 SageMaker Studio 도메인을 수정합니다.**
+ 인증에 IAM Identity Center를 사용하는 기존 도메인을 선택합니다.
**중요**
신뢰할 수 있는 ID 전파는 인증에 IAM Identity Center를 사용하는 SageMaker Studio 도메인에서만 지원됩니다. 도메인이 인증에 IAM을 사용하는 경우 인증 방법을 변경할 수 없으므로 신뢰할 수 있는 ID 전파를 활성화할 수 없습니다.
+ [도메인 설정을 편집합니다](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). **인증 및 권한** 설정을 편집하여 신뢰할 수 있는 ID 전파를 활성화합니다.
1. [2단계: 기본 도메인 실행 역할 구성](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role)으로 진행합니다. 이 역할은 SageMaker Studio 도메인 사용자가 Amazon S3와 같은 다른 AWS 서비스에 액세스하는 데 필요합니다.
## 2단계: 기본 도메인 실행 역할 및 역할 신뢰 정책 구성
*도메인 실행 역할*은 SageMaker Studio 도메인이 도메인의 모든 사용자를 대신하여 수임하는 [IAM 역할](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles)입니다. 이 역할에 할당하는 권한에 따라 SageMaker Studio가 수행할 수 있는 작업이 결정됩니다.
1. 도메인 실행 역할을 생성하거나 선택하려면 다음 중 하나를 수행합니다.
+ **[조직용 설정](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) 사용하여 역할을 생성하거나 선택합니다.**
+ SageMaker AI 콘솔을 열고 **2단계: 역할 및 ML 활동 구성**의 콘솔 지침에 따라 새 도메인 실행 역할을 생성하거나 기존 역할을 선택합니다.
+ 나머지 설정 단계를 완료하여 SageMaker Studio 도메인을 생성합니다.
+ **수동으로 실행 역할을 생성합니다.**
+ IAM 콘솔을 열고 [실행 역할을 직접 생성합니다](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. 두 가지 작업, 즉 [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) 및 [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html)가 포함되도록 도메인 실행 역할에 연결된 [신뢰 정책을 업데이트](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)합니다. SageMaker Studio 도메인의 실행 역할을 찾는 방법에 대한 자세한 내용은 [도메인 실행 역할 가져오기](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain)를 참조하세요.
*신뢰 정책*은 역할을 맡을 수 있는 ID를 지정합니다. 이 정책은 SageMaker Studio 서비스가 도메인 실행 역할을 수임하도록 허용하는 데 필요합니다. 정책에 다음과 같이 표시되도록 이 두 가지 작업을 추가합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## 3단계: 도메인 실행 역할에 필요한 Amazon S3 Access Grant 권한 확인
Amazon S3 Access Grants를 사용하려면 다음 권한이 포함된 권한 정책이 SageMaker Studio 도메인 실행 역할에 (인라인 정책 또는 고객 관리형 정책으로) 연결되어 있어야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
이러한 권한이 포함된 정책이 없는 경우 *AWS Identity and Access Management 사용 설명서*의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)의 지침을 따릅니다.
## 4단계: 도메인에 그룹 및 사용자 할당
[그룹 및 사용자 추가](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html)의 단계에 따라 그룹 및 사용자를 SageMaker Studio 도메인에 할당합니다.
## 5단계: Amazon S3 Access Grants 설정
Amazon S3 Access Grants를 설정하려면 [IAM Identity Center를 통한 신뢰할 수 있는 ID 전파를 위해 Amazon S3 Access Grants 구성](tip-tutorial-s3.md#tip-tutorial-s3-configure)의 단계를 따릅니다. 단계별 지침에 따라 다음 작업을 완료합니다.
1. Amazon S3 Access Grants 인스턴스를 생성합니다.
1. 해당 인스턴스에 위치를 등록합니다.
1. 권한 부여를 생성하여 특정 IAM Identity Center 사용자 또는 그룹이 해당 위치 내의 지정된 Amazon S3 위치 또는 하위 집합(예: 특정 접두사)에 액세스할 수 있도록 허용합니다.
## 6단계: SageMaker 훈련 작업 제출 및 사용자 백그라운드 세션 세부 정보 보기
SageMaker Studio에서 새 Jupyter Notebook을 시작하고 훈련 작업을 제출합니다. 작업이 실행되는 동안 다음 단계를 완료하여 세션 정보를 표시하고 사용자 백그라운드 세션 컨텍스트가 활성 상태인지 확인합니다.
1. IAM Identity Center 콘솔을 엽니다.
1. **사용자**를 선택하세요.
1. **사용자** 페이지에서 세션을 관리할 사용자의 ID를 선택합니다. 그러면 사용자 정보가 있는 페이지로 이동합니다.
1. 사용자 페이지에서 **활성 세션** 탭을 선택합니다. **활성 세션** 옆에 있는 괄호 안의 숫자는 이 사용자의 활성 세션 수를 나타냅니다.
1. 세션을 사용하는 작업의 Amazon 리소스 이름(ARN)으로 세션을 검색하려면 **세션 유형** 목록에서 **사용자 백그라운드 세션**을 선택한 다음 검색 상자에 작업 ARN을 입력합니다.
다음은 사용자 백그라운드 세션을 사용하는 훈련 작업이 사용자의 **활성 세션** 탭에 어떻게 표시되는지를 보여주는 예시입니다.
![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## 7단계: CloudTrail 로그를 표시하여 CloudTrail 내 신뢰할 수 있는 ID 전파 확인
신뢰할 수 있는 ID 전파가 활성화되면 `onBehalfOf` 요소 아래의 CloudTrail 이벤트 로그에 작업이 나타납니다. `userId`는 훈련 작업을 시작한 IAM Identity Center 사용자의 ID가 나타냅니다. 다음 CloudTrail 이벤트에 신뢰할 수 있는 ID 전파 프로세스가 캡처되어 있습니다.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## 런타임 고려 사항
관리자가 사용자 백그라운드 세션 기간보다 짧은 장기 실행 훈련 또는 처리 작업에 대해 **MaxRuntimeInSeconds**를 설정하면 SageMaker Studio는 **MaxRuntimeInSeconds** 또는 사용자 백그라운드 세션 기간 중 최소 기간 동안 작업을 실행합니다.
**MaxRuntimeInSeconds**에 대한 자세한 내용은 *Amazon SageMaker API Reference*의 `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition) 섹션을 참조하세요.