As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como se conectar a outros AWS serviços com a propagação de identidade confiável ativada
Quando a propagação de identidade confiável está habilitada para seu domínio Amazon SageMaker AI, os usuários do domínio podem se conectar a outros serviços confiáveis habilitados AWS para propagação de identidade. Quando a propagação de identidade confiável é habilitada, seu contexto de identidade é propagado automaticamente para serviços compatíveis, permitindo um controle de acesso refinado e uma auditoria aprimorada em seus fluxos de trabalho de machine learning. Essa integração elimina a necessidade de troca complexa de funções do IAM e fornece uma experiência de identidade unificada em todos AWS os serviços. As páginas a seguir fornecem informações sobre como conectar o Amazon SageMaker Studio a outros AWS serviços quando a propagação de identidade confiável está habilitada.
**Topics**
+ [Conecte os JupyterLab notebooks do Connect Studio aos Amazon S3 Access Grants com a propagação de identidade confiável habilitada](trustedidentitypropagation-s3-access-grants.md)
+ [Conecte os JupyterLab notebooks Connect Studio ao Amazon EMR com a propagação de identidade confiável ativada](trustedidentitypropagation-emr-ec2.md)
+ [Conecte seus JupyterLab notebooks Studio ao EMR Serverless com a propagação de identidade confiável ativada](trustedidentitypropagation-emr-serverless.md)
+ [Conecte os JupyterLab notebooks do Connect Studio à API Redshift Data com a propagação de identidade confiável ativada](trustedidentitypropagation-redshift-data-apis.md)
+ [Conecte os JupyterLab notebooks Connect Studio ao Lake Formation e ao Athena com a propagação de identidade confiável ativada](trustedidentitypropagation-lake-formation-athena.md)
# Conecte os JupyterLab notebooks do Connect Studio aos Amazon S3 Access Grants com a propagação de identidade confiável habilitada
É possível usar o recurso [Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para conceder flexivelmente um controle de acesso refinado baseado em identidade aos locais do Amazon S3. Esse recurso concede acesso aos buckets do Amazon S3 diretamente a seus usuários e grupos empresariais. As páginas a seguir fornecem informações e instruções sobre como usar o Amazon S3 Access Grants com propagação de identidade confiável para IA. SageMaker
## Pré-requisitos
Para conectar o Studio ao Lake Formation e ao Athena com a propagação de identidade confiável habilitada, atenda aos seguintes pré-requisitos:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ Siga as instruções em [Conceitos básicos da funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) para configurar o recurso Concessão de Acesso do Amazon S3 para seu bucket. Consulte [Scaling data access with Amazon S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/) para ter mais informações.
**nota**
O Amazon S3 padrão APIs não funciona automaticamente com os Amazon S3 Access Grants. Você deve usar explicitamente o Amazon S3 Access Grants. APIs Consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para ter mais informações.
**Topics**
+ [Pré-requisitos](#s3-access-grants-prerequisites)
+ [Conecte as concessões de acesso do Amazon S3 com notebooks Studio JupyterLab](s3-access-grants-setup.md)
+ [Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento](trustedidentitypropagation-s3-access-grants-jobs.md)
# Conecte as concessões de acesso do Amazon S3 com notebooks Studio JupyterLab
Use as informações a seguir para conceder concessões de acesso ao Amazon S3 em notebooks Studio JupyterLab .
Depois que o recurso Concessão de Acesso do Amazon S3 for configurado, [adicione as permissões a seguir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ao seu domínio ou [perfil de execução](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuário.
+ `us-east-1` é sua Região da AWS.
+ `111122223333` é o ID da Conta da AWS .
+ `S3-ACCESS-GRANT-ROLE` é o perfil do recurso Concessão de Acesso do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
A política de confiança do perfil do recurso Concessão de Acesso do Amazon S3 dever permitir as ações `sts:SetContext` e `sts:AssumeRole`. Veja a seguir um exemplo de política para quando você [atualiza sua política de confiança de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Usar o recurso Concessão de Acesso do Amazon S3 para chamar o Amazon S3
Veja a seguir um exemplo de script em Python que mostra como o recurso Concessão de Acesso do Amazon S3 pode ser usado para chamar o Amazon S3. Isso pressupõe que você já tenha configurado com êxito a propagação de identidade confiável com SageMaker IA.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Se você usar um caminho para um bucket do Amazon S3 onde o recurso Concessão de Acesso do Amazon S3 não esteja habilitado, a chamada falhará.
Para ter mais informações sobre outras linguagens de programação, consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
# Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento
Use as informações a seguir para conceder ao Amazon S3 Access Grants para acessar dados em trabalhos de SageMaker treinamento e processamento da Amazon.
Quando um usuário com propagação de identidade confiável habilitada inicia um trabalho de SageMaker treinamento ou processamento que precisa acessar os dados do Amazon S3:
+ SageMaker A IA chama o Amazon S3 Access Grants para obter credenciais temporárias com base na identidade do usuário
+ Se a operação for bem-sucedida, essas credenciais temporárias acessam os dados do Amazon S3.
+ Se não for bem-sucedida, a SageMaker IA volta a usar as credenciais da função do IAM
**nota**
Para garantir que todas as permissões sejam concedidas por meio do recurso Concessão de Acesso do Amazon S3, você precisará remover a permissão de acesso relacionada ao Amazon S3 do seu perfil de execução e anexá-la à sua [concessão de acesso do Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondente.
**Topics**
+ [Considerações](#s3-access-grants-jobs-considerations)
+ [Configurar o recurso Concessão de Acesso do Amazon S3 com tarefas de treinamento e processamento](#s3-access-grants-jobs-setup)
## Considerações
Os Amazon S3 Access Grants não podem ser usados com o [modo Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) para SageMaker treinamento e processamento de entradas do Amazon S3.
Quando a propagação de identidade confiável está habilitada, você não pode iniciar um SageMaker Training Job com o seguinte recurso
+ Depuração remota
+ Debugger
+ Profiler
Quando a propagação de identidade confiável está habilitada, não é possível iniciar uma tarefa de processamento com o seguinte recurso:
+ DatasetDefinition
## Configurar o recurso Concessão de Acesso do Amazon S3 com tarefas de treinamento e processamento
Depois que o recurso Concessão de Acesso do Amazon S3 for configurado, [adicione as permissões a seguir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ao seu domínio ou [perfil de execução](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuário.
+ `us-east-1` é sua Região da AWS.
+ `111122223333` é o ID da Conta da AWS .
+ `S3-ACCESS-GRANT-ROLE` é o perfil do recurso Concessão de Acesso do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# Conecte os JupyterLab notebooks Connect Studio ao Amazon EMR com a propagação de identidade confiável ativada
Conectar os JupyterLab notebooks Amazon SageMaker Studio aos clusters do Amazon EMR permite que você aproveite o poder de computação distribuída do Amazon EMR para cargas de trabalho analíticas e de processamento de dados em grande escala. Com a propagação de identidade confiável habilitada, seu contexto de identidade é propagado para o Amazon EMR, permitindo um controle de acesso refinado e trilhas de auditoria abrangentes. A página a seguir fornece instruções sobre como conectar seu caderno do Studio com clusters do Amazon EMR. Após a configuração, você pode usar a opção `Connect to Cluster` em seu caderno do Studio.
Para conectar o Studio ao Amazon EMR com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Introdução à Centro de Identidade do AWS IAM integração com o Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Habilitar comunicações entre o Studio e clusters do Amazon EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Conectar-se ao cluster do Amazon EMR**
Para obter uma lista completa de opções sobre como conectar seu JupyterLab notebook ao Amazon EMR, consulte [Conecte-se a um cluster do Amazon EMR.](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)
# Conecte seus JupyterLab notebooks Studio ao EMR Serverless com a propagação de identidade confiável ativada
O Amazon EMR Sem Servidor oferece uma opção sem servidor para executar aplicações do Apache Spark e do Apache Hive sem gerenciar clusters. Quando integrado à propagação de identidade confiável, o EMR Sem Servidor escala automaticamente os recursos de computação e, ao mesmo tempo, mantém seu contexto de identidade para controle de acesso e auditoria. Essa abordagem elimina os custos operacionais indiretos do gerenciamento de clusters e preserva os benefícios de segurança do controle de acesso baseado em identidade. A seção a seguir fornece informações sobre como conectar o Studio habilitado para propagação de identidade confiável com o EMR Sem Servidor.
Para conectar o Studio ao Amazon EMR Sem Servidor com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Propagação de identidade confiável com o EMR Sem Servidor](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Habilitar comunicações entre o Studio e clusters do Amazon EMR Sem Servidor](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**Conectar-se à aplicação do EMR Sem Servidor**
Para obter uma lista completa de opções sobre como conectar seu JupyterLab notebook ao EMR Serverless, consulte [Conectar-se a um aplicativo EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless.
# Conecte os JupyterLab notebooks do Connect Studio à API Redshift Data com a propagação de identidade confiável ativada
A API de dados do Amazon Redshift permite que você interaja programaticamente com seus clusters do Amazon Redshift sem gerenciar conexões persistentes. Quando combinada com a propagação de identidade confiável, a API de dados do Redshift oferece acesso seguro e baseado em identidade ao seu data warehouse, permitindo que você execute consultas SQL e recupere resultados enquanto mantém trilhas de auditoria completas das atividades do usuário. Essa integração é particularmente valiosa para fluxos de trabalho de ciência de dados que exigem acesso a dados estruturados armazenados no Redshift. A página a seguir inclui informações e instruções sobre como conectar a propagação de identidade confiável com o Amazon SageMaker Studio à API de dados do Redshift.
Para conectar o Studio à API de dados do Redshift com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Usar a API de dados com propagação de identidade confiável](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Seu perfil de execução deve permissões relevantes para a API de dados do Redshift. Para ter mais informações, consulte [Usar acesso de autenticação](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html).
+ [Simplifique o gerenciamento de acesso com o Amazon Redshift e AWS Lake Formation para usuários em um provedor de identidade externo](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# Conecte os JupyterLab notebooks Connect Studio ao Lake Formation e ao Athena com a propagação de identidade confiável ativada
AWS Lake Formation e o Amazon Athena trabalham juntos para fornecer uma solução abrangente de data lake com controle de acesso refinado e recursos de consulta sem servidor. O Lake Formation centraliza o gerenciamento de permissões para seu data lake, enquanto o Athena fornece serviços de consulta interativos. Quando integrada à propagação de identidade confiável, essa combinação permite que os cientistas de dados acessem somente os dados que estão autorizados a ver, com todas as consultas e o acesso aos dados registrados em log automaticamente para fins de conformidade e auditoria. A página a seguir fornece informações e instruções sobre como conectar a propagação de identidade confiável com o Amazon SageMaker Studio ao Lake Formation e ao Athena
Para conectar o Studio ao Lake Formation e ao Athena com a propagação de identidade confiável habilitada, conclua as seguintes configurações:
+ [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md)
+ [Criar um perfil do Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Conectar o Lake Formation com o Centro de Identidade do IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Criar recursos do Lake Formation:
+ [Banco de dados](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [Tabelas](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Criar um grupo de trabalho do Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ Escolha o **AthenaSQL** para o mecanismo.
+ Escolha **Centro de Identidade do IAM** como método de autenticação.
+ Crie um perfil de serviço.
+ Os usuários do Centro de Identidade do IAM devem ter acesso ao local do resultado da consulta usando o recurso Concessão de Acesso do Amazon S3.
+ [Conceder permissões de banco de dados usando o método de recurso nomeado](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)