As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Propagação de identidade confiável com o Amazon Studio SageMaker
[O Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) se integra ao IAM Identity Center e oferece suporte a [sessões em segundo plano de usuários](user-background-sessions.md) e propagação confiável de identidade. As sessões em segundo plano do usuário permitem que um usuário inicie um trabalho de longa duração no SageMaker Studio, sem que o usuário precise permanecer conectado enquanto o trabalho é executado. A tarefa é executada imediatamente e em segundo plano, usando as permissões do usuário que iniciou a tarefa. O trabalho pode continuar em execução mesmo que o usuário desligue o computador, a sessão de login do IAM Identity Center expire ou o usuário saia do AWS portal de acesso. A duração padrão da sessão para as sessões de usuários em segundo plano é de 7 dias, mas você pode especificar uma duração máxima de 90 dias. A propagação de identidade confiável permite que seja fornecido acesso refinado a recursos da AWS como buckets do Amazon S3 com base na identidade do usuário ou na associação ao grupo.
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o SageMaker Studio, com acesso aos dados armazenados em um bucket do Amazon S3. As sessões em segundo plano do usuário estão habilitadas para o IAM Identity Center, o que permite que o trabalho de treinamento do SageMaker Studio seja executado em segundo plano. O controle de acesso aos dados de treinamento é fornecido pelo Amazon S3 Access Grants.
![\[Diagrama de propagação de identidade confiável para o SageMaker Studio, com um trabalho de treinamento do SageMaker Studio em execução em uma sessão em segundo plano do usuário e acesso aos dados de treinamento no Amazon S3 fornecidos pelo Amazon S3. Access Grants\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplicativo gerenciado**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade:
+ [ SageMaker Estúdio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Para habilitar a propagação de identidade confiável e as sessões de usuários em segundo plano, siga estas etapas:**
+ [Configure o SageMaker Studio como o aplicativo voltado para o cliente.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no Amazon S3.
# Configurando a propagação de identidade confiável com o Studio SageMaker
O procedimento a seguir orienta você na configuração do SageMaker Studio para propagação confiável de identidade e sessões em segundo plano do usuário.
## Pré-requisitos
Antes de começar este tutorial, você precisará concluir as seguintes tarefas:
1. [Ative o IAM Identity Center](enable-identity-center.md). É exigida uma instância de organização. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. [Confirme se as sessões de usuários em segundo plano estão habilitadas](user-background-sessions.md) no console do IAM Identity Center. Por padrão, as sessões de usuários em segundo plano estão habilitadas e a duração da sessão é definida como 7 dias. Você pode alterar essa duração.
Para configurar a propagação de identidade confiável do SageMaker Studio, o administrador do SageMaker Studio deve executar as etapas a seguir.
## Etapa 1: Habilitar a propagação de identidade confiável em um domínio do SageMaker Studio novo ou existente
SageMaker O Studio usa domínios para organizar perfis de usuário, aplicativos e seus recursos associados. Para habilitar a propagação de identidade confiável, você deve criar um domínio do SageMaker Studio ou modificar um domínio existente conforme descrito no procedimento a seguir.
1. Abra o console do SageMaker AI, navegue até **Domínios** e siga um dos procedimentos a seguir.
+ **Crie um novo domínio do SageMaker Studio usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Escolha **Configurar para organizações** e, em seguida, faça o seguinte:
+ Escolha **AWS Identity Center** como método de autenticação.
+ Marque a caixa de seleção **Habilitar propagação de identidade confiável para todos os usuários neste domínio**.
+ **Modifique um domínio do SageMaker Studio existente.**
+ Selecione um domínio existente que use o IAM Identity Center para autenticação.
**Importante**
A propagação de identidade confiável só é suportada em domínios do SageMaker Studio que usam o IAM Identity Center para autenticação. Se o domínio usar o IAM para autenticação, você não poderá alterar o método de autenticação e, portanto, não poderá habilitar a propagação de identidade confiável.
+ [Editar configurações de domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Edite as configurações de **Autenticação e permissões** para permitir a propagação de identidade confiável.
1. Vá para a [Etapa 2: configurar o perfil de execução de domínio padrão](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Essa função é necessária para que os usuários de um domínio do SageMaker Studio acessem outros AWS serviços, como o Amazon S3.
## Etapa 2: configure o perfil de execução do domínio padrão e a política de confiança do perfil
Uma *função de execução de domínio* é uma [função do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) que um domínio do SageMaker Studio assume em nome de todos os usuários no domínio. As permissões que você atribui a essa função determinam quais ações o SageMaker Studio pode realizar.
1. Para criar ou selecionar um perfil de execução de domínio, execute uma das seguintes ações:
+ **Crie ou selecione um perfil usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Abra o console de SageMaker IA e siga as orientações do console na **Etapa 2: Configurar funções e atividades de ML** para criar uma nova função de execução de domínio ou selecionar uma função existente.
+ Conclua o restante das etapas de configuração para criar seu domínio do SageMaker Studio.
+ **Crie um perfil de execução manualmente.**
+ Abra o console do IAM e [crie o perfil de execução](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Atualize a política de confiança](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) anexada ao perfil de execução do domínio para que ela inclua as duas ações a seguir: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) e [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Para obter informações sobre como encontrar a função de execução do seu domínio SageMaker Studio, consulte [Obter função de execução do domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Uma *política de confiança* especifica a identidade que pode assumir um perfil. Essa política é necessária para permitir que o serviço SageMaker Studio assuma a função de execução do domínio. Adicione essas duas ações para que elas apareçam da seguinte forma na política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Etapa 3: verificar as permissões exigidas da Concessão de Acesso do Amazon S3 para o perfil de execução do domínio
Para usar o Amazon S3 Access Grants, você deve ter uma política de permissões anexada (como uma política embutida ou uma política gerenciada pelo cliente) à sua função de execução de domínio do SageMaker Studio que contenha as seguintes permissões.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Se você não tiver uma política que contenha essas permissões, siga as instruções em [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Etapa 4: atribuir grupos e usuários ao domínio
Atribua grupos e usuários ao domínio do SageMaker Studio seguindo as etapas em [Adicionar grupos e usuários](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Etapa 5: configurar a Concessão de Acesso do Amazon S3
Para configurar a Concessão de Acesso do Amazon S3, siga as etapas em [Como configurar Concessão de Acesso do Amazon S3 para propagação de identidade confiável por meio do IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Use as step-by-step instruções para concluir as seguintes tarefas:
1. Crie instâncias de Concessão de Acesso do Amazon S3.
1. Registre um local nessa instância.
1. Crie subsídios para permitir que usuários ou grupos específicos do IAM Identity Center acessem locais ou subconjuntos designados do Amazon S3 (por exemplo, prefixos específicos) dentro desses locais.
## Etapa 6: enviar um trabalho de SageMaker treinamento e visualizar os detalhes da sessão em segundo plano do usuário
No SageMaker Studio, lance um novo notebook Jupyter e envie um trabalho de treinamento. Enquanto a tarefa estiver em execução, conclua as etapas a seguir para visualizar as informações da sessão e verificar se o contexto da sessão de usuário em segundo plano está ativo.
1. Abra o console do IAM Identity Center.
1. Selecione **Usuários**.
1. Na página **Usuários**, escolha o nome do usuário cujas sessões você deseja gerenciar. Isso leva você a uma página com as informações do usuário.
1. Na página do usuário, escolha a aba **Sessões ativas**. O número entre parênteses ao lado de **Sessões ativas** indica o número de sessões ativas desse usuário.
1. Para pesquisar sessões pelo nome do recurso da Amazon (ARN) da tarefa que está usando a sessão, na lista **Tipo de sessão**, escolha **Sessões de usuários em segundo plano** e insira o ARN da tarefa na caixa de pesquisa.
Veja a seguir um exemplo de como uma tarefa de treinamento usando uma sessão de usuário em segundo plano aparece na aba **Sessões ativas** para um usuário.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Etapa 7: Exibir os CloudTrail registros para verificar a propagação de identidade confiável no CloudTrail
Quando a propagação de identidade confiável está ativada, as ações aparecem nos registros de CloudTrail eventos abaixo do `onBehalfOf` elemento. O `userId` reflete a ID do usuário do IAM Identity Center que iniciou a tarefa de treinamento. O CloudTrail evento a seguir captura o processo de propagação de identidade confiável.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considerações sobre runtime
Se um administrador definir trabalhos **MaxRuntimeInSeconds**de treinamento ou processamento de longa duração que sejam inferiores à duração da sessão em segundo plano do usuário, o SageMaker Studio executará o trabalho pelo mínimo de uma **MaxRuntimeInSeconds **ou da duração da sessão em segundo plano do usuário.
Para obter mais informações sobre **MaxRuntimeInSeconds**, consulte a orientação para o `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parâmetro na *Amazon SageMaker API Reference*.