As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conecte os JupyterLab notebooks do Connect Studio aos Amazon S3 Access Grants com a propagação de identidade confiável habilitada
<a name="trustedidentitypropagation-s3-access-grants"></a>

É possível usar o recurso [Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para conceder flexivelmente um controle de acesso refinado baseado em identidade aos locais do Amazon S3. Esse recurso concede acesso aos buckets do Amazon S3 diretamente a seus usuários e grupos empresariais. As páginas a seguir fornecem informações e instruções sobre como usar o Amazon S3 Access Grants com propagação de identidade confiável para IA. SageMaker 

## Pré-requisitos
<a name="s3-access-grants-prerequisites"></a>

Para conectar o Studio ao Lake Formation e ao Athena com a propagação de identidade confiável habilitada, atenda aos seguintes pré-requisitos:
+  [Configurar a propagação de identidade confiável para o Studio](trustedidentitypropagation-setup.md) 
+ Siga as instruções em [Conceitos básicos da funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) para configurar o recurso Concessão de Acesso do Amazon S3 para seu bucket. Consulte [Scaling data access with Amazon S3 Access Grants](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/) para ter mais informações.
**nota**  
O Amazon S3 padrão APIs não funciona automaticamente com os Amazon S3 Access Grants. Você deve usar explicitamente o Amazon S3 Access Grants. APIs Consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) para ter mais informações.

**Topics**
+ [Pré-requisitos](#s3-access-grants-prerequisites)
+ [Conecte as concessões de acesso do Amazon S3 com notebooks Studio JupyterLab](s3-access-grants-setup.md)
+ [Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento](trustedidentitypropagation-s3-access-grants-jobs.md)

# Conecte as concessões de acesso do Amazon S3 com notebooks Studio JupyterLab
<a name="s3-access-grants-setup"></a>

Use as informações a seguir para conceder concessões de acesso ao Amazon S3 em notebooks Studio JupyterLab .

Depois que o recurso Concessão de Acesso do Amazon S3 for configurado, [adicione as permissões a seguir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ao seu domínio ou [perfil de execução](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuário.
+ `us-east-1` é sua Região da AWS.
+ `111122223333` é o ID da Conta da AWS .
+ `S3-ACCESS-GRANT-ROLE` é o perfil do recurso Concessão de Acesso do Amazon S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForTIP",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}
```

------

A política de confiança do perfil do recurso Concessão de Acesso do Amazon S3 dever permitir as ações `sts:SetContext` e `sts:AssumeRole`. Veja a seguir um exemplo de política para quando você [atualiza sua política de confiança de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "access-grants.s3.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333",
                    "aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                }
            }
        }
    ]
}
```

------

## Usar o recurso Concessão de Acesso do Amazon S3 para chamar o Amazon S3
<a name="s3-access-grants-python-example"></a>

Veja a seguir um exemplo de script em Python que mostra como o recurso Concessão de Acesso do Amazon S3 pode ser usado para chamar o Amazon S3. Isso pressupõe que você já tenha configurado com êxito a propagação de identidade confiável com SageMaker IA.

```
import boto3
from botocore.config import Config

def get_access_grant_credentials(account_id: str, target: str, 
                                 permission: str = 'READ'):
    s3control = boto3.client('s3control')
    response = s3control.get_data_access(
        AccountId=account_id,
        Target=target,
        Permission=permission
    )
    return response['Credentials']

def create_s3_client_from_credentials(credentials) -> boto3.client:
    return boto3.client(
        's3',
        aws_access_key_id=credentials['AccessKeyId'],
        aws_secret_access_key=credentials['SecretAccessKey'],
        aws_session_token=credentials['SessionToken']
    )

# Create client
credentials = get_access_grant_credentials('111122223333',
                                        "s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)

s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```

Se você usar um caminho para um bucket do Amazon S3 onde o recurso Concessão de Acesso do Amazon S3 não esteja habilitado, a chamada falhará.

Para ter mais informações sobre outras linguagens de programação, consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).

# Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento
<a name="trustedidentitypropagation-s3-access-grants-jobs"></a>

Use as informações a seguir para conceder ao Amazon S3 Access Grants para acessar dados em trabalhos de SageMaker treinamento e processamento da Amazon.

Quando um usuário com propagação de identidade confiável habilitada inicia um trabalho de SageMaker treinamento ou processamento que precisa acessar os dados do Amazon S3:
+ SageMaker A IA chama o Amazon S3 Access Grants para obter credenciais temporárias com base na identidade do usuário
+ Se a operação for bem-sucedida, essas credenciais temporárias acessam os dados do Amazon S3.
+ Se não for bem-sucedida, a SageMaker IA volta a usar as credenciais da função do IAM

**nota**  
Para garantir que todas as permissões sejam concedidas por meio do recurso Concessão de Acesso do Amazon S3, você precisará remover a permissão de acesso relacionada ao Amazon S3 do seu perfil de execução e anexá-la à sua [concessão de acesso do Amazon S3](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) correspondente.

**Topics**
+ [Considerações](#s3-access-grants-jobs-considerations)
+ [Configurar o recurso Concessão de Acesso do Amazon S3 com tarefas de treinamento e processamento](#s3-access-grants-jobs-setup)

## Considerações
<a name="s3-access-grants-jobs-considerations"></a>

Os Amazon S3 Access Grants não podem ser usados com o [modo Pipe](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) para SageMaker treinamento e processamento de entradas do Amazon S3.

Quando a propagação de identidade confiável está habilitada, você não pode iniciar um SageMaker Training Job com o seguinte recurso
+ Depuração remota
+ Debugger
+ Profiler

Quando a propagação de identidade confiável está habilitada, não é possível iniciar uma tarefa de processamento com o seguinte recurso:
+ DatasetDefinition

## Configurar o recurso Concessão de Acesso do Amazon S3 com tarefas de treinamento e processamento
<a name="s3-access-grants-jobs-setup"></a>

Depois que o recurso Concessão de Acesso do Amazon S3 for configurado, [adicione as permissões a seguir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ao seu domínio ou [perfil de execução](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) de usuário.
+ `us-east-1` é sua Região da AWS.
+ `111122223333` é o ID da Conta da AWS .
+ `S3-ACCESS-GRANT-ROLE` é o perfil do recurso Concessão de Acesso do Amazon S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}
```

------