As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Casos de uso de propagação de identidades confiáveis
Pode ser solicitado ao administrador do IAM Identity Center que ajude a configurar a propagação de identidade confiável das aplicações voltadas para os Serviços da AWS. Para apoiar essa solicitação, serão necessárias as seguintes informações:
+ Com qual aplicação voltada para o cliente os usuários interagirão?
+ Quais Serviços da AWS são usados para consultar os dados e autorizar o acesso aos dados?
+ O que AWS service (Serviço da AWS) autoriza o acesso aos dados?
A função em permitir **casos de uso de propagação de identidade confiável que não envolvam aplicações de terceiros ou aplicações desenvolvidas sob medida** é:
1. [Ative o IAM Identity Center](enable-identity-center.md).
1. [Conecte a fonte atual de identidades ao IAM Identity Center](tutorials.md).
As etapas restantes da configuração de identidade confiável para esses casos de uso são executadas nos aplicativos conectados Serviços da AWS e. Os administradores dos aplicativos conectados Serviços da AWS ou dos aplicativos devem consultar os respectivos guias do usuário para obter uma orientação abrangente e específica do serviço.
Função em permitir **casos de uso de propagação de identidade confiáveis que envolvam aplicações de terceiros ou aplicações desenvolvidas sob medida** inclui as etapas [Habilitar o IAM Identity Center](enable-identity-center.md) e a [conexão da fonte de identidades](tutorials.md), bem como:
1. Como configurar a conexão do provedor de identidade (IdP) com a aplicação de terceiros ou desenvolvida de forma personalizada.
1. Como permitir que o IAM Identity Center reconheça a aplicação de terceiros ou desenvolvida de forma personalizada.
1. Como configurar o IdP como um emissor de tokens confiáveis no IAM Identity Center Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
Os administradores dos aplicativos conectados Serviços da AWS devem consultar os respectivos guias do usuário para obter uma orientação abrangente e específica do serviço.
## Casos de uso de analytics, data lakehouse e machine learning
Você pode habilitar casos de uso de propagação confiável com os seguintes serviços de analytics e machine learning:
+ **Amazon Redshift** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon Redshift](tip-usecase-redshift.md).
+ **Amazon EMR** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon EMR](tip-usecase-emr.md).
+ **Amazon Athena** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon Athena](tip-usecase-ate.md).
+ **SageMaker Studio** - Para obter orientação, consulte[Propagação de identidade confiável com o Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Casos de uso adicionais
Você pode habilitar o IAM Identity Center e a propagação de identidade confiável com estes Serviços da AWS adicionais:
+ **Amazon Q Business** — Para obter orientação, consulte:
+ [Fluxo de trabalho administrativo para aplicações que usam o IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Como configurar uma aplicação do Amazon Q Business usando o IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configure o Amazon Q Business com a propagação de identidade confiável do IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** — para obter orientação, consulte:
+ [Suporte confiável de propagação de identidade do IAM Identity Center para Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Interface de OpenSearch usuário centralizada (painéis) com o Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family** — Para obter orientações, consulte:
+ [Aplicativos Transfer Family da web](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Casos de uso de analytics, data lakehouse e machine learning](#tip-data-analytic-usecases-overview)
+ [Casos de uso adicionais](#tip-additional-usecases)
+ [Propagação de identidade confiável com o Amazon Redshift](tip-usecase-redshift.md)
+ [Propagação de identidade confiável com o Amazon EMR](tip-usecase-emr.md)
+ [Propagação de identidade confiável com o Amazon Athena](tip-usecase-ate.md)
+ [Propagação de identidade confiável com o Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagação de identidade confiável com o Amazon Redshift
As etapas para permitir a propagação de identidade confiável dependem de seus usuários interagirem com aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente. O diagrama a seguir mostra uma configuração confiável de propagação de identidade para aplicativos voltados ao cliente — AWS gerenciados ou externos AWS — que consultam dados do Amazon Redshift com controle de acesso fornecido pelo Amazon Redshift ou por serviços de autorização, como o Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagação de identidade confiável usando Amazon Redshift, Quick, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Quando a propagação de identidade confiável para o Amazon Redshift está habilitada, os administradores do Redshift podem configurar o Redshift para [criar perfis automaticamente](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) para o IAM Identity Center como provedor de identidade, mapear perfis do Redshift para grupos no IAM Identity Center e usar o controle de acesso baseado em perfis do Redshift para conceder acesso.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Aplicações voltadas para o cliente compatíveis
**AWS aplicativos gerenciados**
Os seguintes aplicativos AWS gerenciados voltados para o cliente oferecem suporte à propagação confiável de identidade para o Amazon Redshift:
+ [Query Editor V2 do Amazon Redshift](setting-up-tip-redshift.md)
+ [Rápido](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**nota**
Se você estiver usando o Amazon Redshift Spectrum para acessar bancos de dados ou tabelas externas no AWS Glue Data Catalog, pense em [configurar o Lake Formation](tip-tutorial-lf.md) e o [Amazon S3 Access Grants](tip-tutorial-s3.md) para fornecer controle de acesso refinado.
**Aplicações gerenciadas pelo cliente**
As seguintes aplicações gerenciadas pelo cliente oferecem suporte à propagação de identidade confiável para o Amazon Redshift:
+ **Tableau** incluindo Tableau Desktop, Tableau Server e Tableau Prep
+ Para permitir a propagação de identidade confiável para usuários do Tableau, consulte [Integrar Tableau e Okta com o Amazon Redshift usando o IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) no *Blog de big data da AWS *.
+ **Clientes SQL** (DBeaver e DBVisualizer)
+ Para habilitar a propagação de identidade confiável para usuários de Clientes SQL (DBeaver e DBVisualizer), consulte [Integrar o Provedor de Identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o Cliente SQL usando o IAM Identity Center para logon único contínuo](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) no *Blog de big data da AWS *.
# Como configurar a propagação de identidade confiável com o Editor de Consultas V2 do Amazon Redshift
O procedimento a seguir explica como obter uma propagação de identidade confiável do Editor de Consultas V2 do Amazon Redshift para o Amazon Redshift.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
A habilitação da propagação de identidade confiável inclui tarefas executadas por um administrador do IAM Identity Center no console do IAM Identity Center e tarefas executadas por um administrador do Amazon Redshift no console do Amazon Redshift.
## Tarefas executadas pelo administrador do IAM Identity Center
As seguintes tarefas precisavam ser concluídas pelo administrador do IAM Identity Center:
1. **Crie um [perfil do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** na conta em que existe o cluster do Amazon Redshift ou a instância Serverless com a seguinte política de permissão. Para obter mais informações, consulte [Criação do Perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Os exemplos de políticas a seguir incluem as permissões necessárias para concluir este tutorial. Para usar essa política, substitua *italicized placeholder text* a política do exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Política de permissão:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Política de confiança:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Crie um conjunto de permissões** na conta gerencial do AWS Organizations em que o IAM Identity Center está habilitado. Você o usará na próxima etapa para permitir que usuários federados acessem o Editor de Consultas V2 do Redshift.
1. Acesse o console do **IAM Identity Center** e, em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha **Create permission set (Criar conjunto de permissões)**.
1. Escolha **Conjunto de permissões personalizado** e, em seguida, escolha **Avançar**.
1. Em **Políticas gerenciadas pela AWS **, escolha **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Em **Política embutida**, adicione a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Selecione **Avançar** e forneça um nome para o nome do conjunto de permissões. Por exemplo, .**Redshift-Query-Editor-V2**
1. Em **Estado de retransmissão — opcional**, defina o estado de retransmissão padrão para o URL do Editor de Consultas V2, usando o formato: `https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Revise as configurações e escolha **Criar**.
1. Navegue até o painel do IAM Identity Center e copie o URL do portal de acesso do AWS da seção **Resumo da configuração**.
![\[Etapa 1, Copie o URL do portal de AWS acesso do console do IAM Identity Center.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Abra uma nova janela de navegador anônimo e cole o URL.
Isso o levará ao seu portal de AWS acesso, garantindo que você esteja fazendo login com um usuário do IAM Identity Center.
![\[Etapa j, Faça login para AWS acessar o portal.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Para obter mais informações sobre o conjunto de permissões, consulte [Gerencie Contas da AWS com conjuntos de permissões](permissionsetsconcept.md).
1. **Permita que usuários federados acessem o Editor de Consultas V2 do Redshift**.
1. Na conta AWS Organizations de gerenciamento, abra o console **do IAM Identity Center**.
1. No painel de navegação, em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Na Contas da AWS página, selecione o Conta da AWS que você deseja atribuir acesso.
1. Escolha **Atribuir usuários ou grupos**.
1. Na página **Atribuir usuários e grupos**, escolha os usuários e/ou grupos para os quais deseja criar o conjunto de permissões. Em seguida, escolha **Próximo**.
1. Na página **Atribuir conjuntos de permissões**, escolha o conjunto de permissões que você criou na etapa anterior. Em seguida, escolha **Próximo**.
1. Na página **Revisar e enviar atribuições**, revise as seleções e escolha **Enviar**.
## Tarefas executadas por um administrador do Amazon Redshift
A habilitação da propagação de identidade confiável para o Amazon Redshift exige que um administrador de cluster do Amazon Redshift ou administrador do Amazon Redshift sem servidor execute várias tarefas no console do Amazon Redshift. Para obter mais informações, consulte [Integrar o provedor de identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o cliente SQL usando o IAM Identity Center para um login único direto](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) no *Blog de big data da AWS *.
# Propagação de identidade confiável com o Amazon EMR
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o Amazon EMR Studio usando o Amazon EMR no Amazon EC2 com controle de acesso fornecido pelo Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagação de identidade confiável usando Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplicações voltadas para o cliente compatíveis**
+ Amazon EMR Studio
**Para habilitar a propagação de identidade confiável, siga estas etapas:**
+ [Configure o Amazon EMR Studio](setting-up-tip-emr.md) como aplicação voltada para o cliente para o cluster do Amazon EMR.
+ Configure o [Cluster do Amazon EMR no Amazon EC2 com Apache Spark](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html).
+ *Recomendado*: [AWS Lake Formation](tip-tutorial-lf.md)e o [Amazon S3 Access Grants](tip-tutorial-s3.md) para fornecer controle de acesso refinado AWS Glue Data Catalog e locais de dados subjacentes no S3.
# Como configurar a propagação de identidade confiável com o Amazon EMR Studio
O procedimento a seguir orienta você na configuração do Amazon EMR Studio para a propagação confiável de identidade em consultas em grupos de trabalho do Amazon Athena ou clusters do Amazon EMR que executam o Apache Spark.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
Para concluir a configuração da propagação de identidade confiável do Amazon EMR Studio, o administrador do EMR Studio deve executar as seguintes etapas.
## Etapa 1. Criar os perfis do IAM exigidos para o EMR Studio
Nesta etapa, o administrador do Amazon EMR Studio cria um perfil de serviço do IAM e um perfil de usuário do IAM para o EMR Studio.
1. **[Crie um perfil de serviço do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** — O EMR Studio assume esse perfil do IAM para gerenciar com segurança espaços de trabalho e notebooks, conectar-se a clusters e lidar com interações de dados.
1. Navegue até o console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) e crie uma função do IAM.
1. Selecione **AWS service (Serviço da AWS)** como entidade confiável e, em seguida, escolha **Amazon EMR**. Anexe as políticas a seguir para definir as permissões e a relação de confiança do perfil.
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Para obter uma referência de todas as permissões de perfil de serviço, consulte [Permissões de perfil de serviço do EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Crie um perfil de usuário do EMR Studio para autenticação do IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** — o EMR Studio assume esse perfil quando um usuário faz login pelo IAM Identity Center para gerenciar espaços de trabalho, clusters do EMR, tarefas e repositórios git. **Esse perfil é usado para iniciar o fluxo de trabalho de propagação de identidade confiável**.
**nota**
A função de usuário do EMR Studio não precisa incluir permissões para acessar as localizações das tabelas no Amazon S3 no Catálogo. AWS Glue AWS Lake Formation as permissões e as localizações registradas dos lagos serão usadas para receber permissões temporárias.
O exemplo de política a seguir pode ser usado em um perfil que permite que um usuário do EMR Studio use grupos de trabalho do Athena para executar consultas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
A política de confiança a seguir permite que o EMR Studio assuma o perfil:
**nota**
Permissões adicionais são necessárias para aproveitar os EMR Studio Workspaces e os EMR Notebooks. Consulte [Criar políticas de permissões para usuários do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) para obter mais informações.
**Você pode encontrar essas informações nos seguintes links:**
+ [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Permissões de função de serviço do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Etapa 2. Criar e configurar o EMR Studio
Nesta etapa, você criará um Amazon EMR Studio no console do EMR Studio e usará os perfis do IAM que você criou em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1).
1. Navegue até o console do EMR Studio, selecione **Criar Studio** e a opção **Configuração personalizada**. Você pode criar um bucket S3 ou novo usar um existente. Você pode marcar a caixa **Criptografar arquivos do espaço de trabalho com as próprias chaves KMS**. Para obter mais informações, consulte [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Etapa 1: criar o EMR Studio no console do EMR.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Em **Perfil de serviço para permitir que o Studio acesse os recursos**, selecione um perfil de serviço criado em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1) no menu.
1. Escolha **IAM Identity Center** em **Autenticação**. Selecione o perfil de usuário criado em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1).
![\[Etapa 3: criar o EMR Studio no console do EMR, selecionando o IAM Identity Center como método de autenticação.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Marque a caixa **Propagação de identidade confiável**. Escolha **Somente usuários e grupos atribuídos** na seção Acesso à aplicação, o que permitirá que você conceda somente usuários e grupos autorizados a acessar este studio.
1. *(Opcional)* — Você pode configurar a VPC e a sub-rede se estiver usando este Studio com clusters do EMR.
![\[Etapa 4: criar o EMR Studio no console do EMR selecionando as configurações de rede e segurança.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Revise todos os detalhes e selecione **Criar Studio**.
1. Depois de configurar um cluster do WorkGroup Athena ou do EMR, faça login na URL do Studio para:
1. Executar consultas do Athena com o Editor de Consultas.
1. Execute as tarefas do Spark no espaço de trabalho usando o caderno Jupyter.
# Propagação de identidade confiável com o Amazon Athena
As etapas para permitir a propagação de identidade confiável dependem de seus usuários interagirem com aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente. O diagrama a seguir mostra uma configuração confiável de propagação de identidade para aplicativos voltados ao cliente — AWS gerenciados ou externos AWS — que usam o Amazon Athena para consultar dados do Amazon S3 com controle de acesso fornecido pelo Amazon S3. AWS Lake Formation Access Grants
**nota**
Propagação de identidade confiável com o Amazon Athena requer o uso do Trino.
Os clientes Apache Spark e SQL conectados ao Amazon Athena por meio de drivers ODBC e JDBC não são compatíveis.
![\[Diagrama de propagação de identidade confiável usando Athena, Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS aplicativos gerenciados**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade com o Athena:
+ Amazon EMR Studio
**Para habilitar a propagação de identidade confiável, siga estas etapas:**
+ [Configure o Amazon EMR Studio](setting-up-tip-emr.md) como aplicação voltada para o cliente para o Athena. O Editor de Consultas no EMR Studio é necessário para executar as consultas do Athena quando a propagação de identidade confiável está habilitada.
+ [Configure o Athena Workgroup](setting-up-tip-ate.md).
+ [Configure AWS Lake Formation](tip-tutorial-lf.md) para ativar o controle de acesso refinado para AWS Glue tabelas com base no usuário ou grupo no IAM Identity Center.
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no S3.
**nota**
Tanto o Lake Formation quanto o Amazon S3 Access Grants são necessários para o controle de acesso AWS Glue Data Catalog e para os resultados da consulta do Athena no Amazon S3.
**Aplicações gerenciadas pelo cliente**
*Para habilitar a propagação de identidade confiável para usuários de *aplicativos desenvolvidos sob medida*, consulte [Access Serviços da AWS programaticamente usando propagação de identidade confiável](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) no Blog de Segurança.AWS *
# Como configurar a propagação de identidade confiável com grupos de trabalho do Amazon Athena
A procedimento a seguir explica como configurar grupos de trabalho do Amazon Athena para propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. Essa configuração requer o [Amazon EMR Studio](setting-up-tip-emr.md) e a [Concessão de Acesso do Amazon S3](tip-tutorial-s3.md). [AWS Lake Formation](tip-tutorial-lf.md)
## Como configurar a propagação de identidade confiável com o Athena
Para configurar a propagação de identidade confiável com o Athena, o administrador do Athena deve:
1. Analise [Considerações e limitações do uso de grupos de trabalho do Athena habilitados para o IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Crie um grupo de trabalho do Athena habilitado para o IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagação de identidade confiável com o Amazon Studio SageMaker
[O Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) se integra ao IAM Identity Center e oferece suporte a [sessões em segundo plano de usuários](user-background-sessions.md) e propagação confiável de identidade. As sessões em segundo plano do usuário permitem que um usuário inicie um trabalho de longa duração no SageMaker Studio, sem que o usuário precise permanecer conectado enquanto o trabalho é executado. A tarefa é executada imediatamente e em segundo plano, usando as permissões do usuário que iniciou a tarefa. O trabalho pode continuar em execução mesmo que o usuário desligue o computador, a sessão de login do IAM Identity Center expire ou o usuário saia do AWS portal de acesso. A duração padrão da sessão para as sessões de usuários em segundo plano é de 7 dias, mas você pode especificar uma duração máxima de 90 dias. A propagação de identidade confiável permite que seja fornecido acesso refinado a recursos da AWS como buckets do Amazon S3 com base na identidade do usuário ou na associação ao grupo.
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o SageMaker Studio, com acesso aos dados armazenados em um bucket do Amazon S3. As sessões em segundo plano do usuário estão habilitadas para o IAM Identity Center, o que permite que o trabalho de treinamento do SageMaker Studio seja executado em segundo plano. O controle de acesso aos dados de treinamento é fornecido pelo Amazon S3 Access Grants.
![\[Diagrama de propagação de identidade confiável para o SageMaker Studio, com um trabalho de treinamento do SageMaker Studio em execução em uma sessão em segundo plano do usuário e acesso aos dados de treinamento no Amazon S3 fornecidos pelo Amazon S3. Access Grants\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplicativo gerenciado**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade:
+ [ SageMaker Estúdio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Para habilitar a propagação de identidade confiável e as sessões de usuários em segundo plano, siga estas etapas:**
+ [Configure o SageMaker Studio como o aplicativo voltado para o cliente.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no Amazon S3.
# Configurando a propagação de identidade confiável com o Studio SageMaker
O procedimento a seguir orienta você na configuração do SageMaker Studio para propagação confiável de identidade e sessões em segundo plano do usuário.
## Pré-requisitos
Antes de começar este tutorial, você precisará concluir as seguintes tarefas:
1. [Ative o IAM Identity Center](enable-identity-center.md). É exigida uma instância de organização. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. [Confirme se as sessões de usuários em segundo plano estão habilitadas](user-background-sessions.md) no console do IAM Identity Center. Por padrão, as sessões de usuários em segundo plano estão habilitadas e a duração da sessão é definida como 7 dias. Você pode alterar essa duração.
Para configurar a propagação de identidade confiável do SageMaker Studio, o administrador do SageMaker Studio deve executar as etapas a seguir.
## Etapa 1: Habilitar a propagação de identidade confiável em um domínio do SageMaker Studio novo ou existente
SageMaker O Studio usa domínios para organizar perfis de usuário, aplicativos e seus recursos associados. Para habilitar a propagação de identidade confiável, você deve criar um domínio do SageMaker Studio ou modificar um domínio existente conforme descrito no procedimento a seguir.
1. Abra o console do SageMaker AI, navegue até **Domínios** e siga um dos procedimentos a seguir.
+ **Crie um novo domínio do SageMaker Studio usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Escolha **Configurar para organizações** e, em seguida, faça o seguinte:
+ Escolha **AWS Identity Center** como método de autenticação.
+ Marque a caixa de seleção **Habilitar propagação de identidade confiável para todos os usuários neste domínio**.
+ **Modifique um domínio do SageMaker Studio existente.**
+ Selecione um domínio existente que use o IAM Identity Center para autenticação.
**Importante**
A propagação de identidade confiável só é suportada em domínios do SageMaker Studio que usam o IAM Identity Center para autenticação. Se o domínio usar o IAM para autenticação, você não poderá alterar o método de autenticação e, portanto, não poderá habilitar a propagação de identidade confiável.
+ [Editar configurações de domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Edite as configurações de **Autenticação e permissões** para permitir a propagação de identidade confiável.
1. Vá para a [Etapa 2: configurar o perfil de execução de domínio padrão](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Essa função é necessária para que os usuários de um domínio do SageMaker Studio acessem outros AWS serviços, como o Amazon S3.
## Etapa 2: configure o perfil de execução do domínio padrão e a política de confiança do perfil
Uma *função de execução de domínio* é uma [função do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) que um domínio do SageMaker Studio assume em nome de todos os usuários no domínio. As permissões que você atribui a essa função determinam quais ações o SageMaker Studio pode realizar.
1. Para criar ou selecionar um perfil de execução de domínio, execute uma das seguintes ações:
+ **Crie ou selecione um perfil usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Abra o console de SageMaker IA e siga as orientações do console na **Etapa 2: Configurar funções e atividades de ML** para criar uma nova função de execução de domínio ou selecionar uma função existente.
+ Conclua o restante das etapas de configuração para criar seu domínio do SageMaker Studio.
+ **Crie um perfil de execução manualmente.**
+ Abra o console do IAM e [crie o perfil de execução](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Atualize a política de confiança](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) anexada ao perfil de execução do domínio para que ela inclua as duas ações a seguir: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) e [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Para obter informações sobre como encontrar a função de execução do seu domínio SageMaker Studio, consulte [Obter função de execução do domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Uma *política de confiança* especifica a identidade que pode assumir um perfil. Essa política é necessária para permitir que o serviço SageMaker Studio assuma a função de execução do domínio. Adicione essas duas ações para que elas apareçam da seguinte forma na política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Etapa 3: verificar as permissões exigidas da Concessão de Acesso do Amazon S3 para o perfil de execução do domínio
Para usar o Amazon S3 Access Grants, você deve ter uma política de permissões anexada (como uma política embutida ou uma política gerenciada pelo cliente) à sua função de execução de domínio do SageMaker Studio que contenha as seguintes permissões.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Se você não tiver uma política que contenha essas permissões, siga as instruções em [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Etapa 4: atribuir grupos e usuários ao domínio
Atribua grupos e usuários ao domínio do SageMaker Studio seguindo as etapas em [Adicionar grupos e usuários](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Etapa 5: configurar a Concessão de Acesso do Amazon S3
Para configurar a Concessão de Acesso do Amazon S3, siga as etapas em [Como configurar Concessão de Acesso do Amazon S3 para propagação de identidade confiável por meio do IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Use as step-by-step instruções para concluir as seguintes tarefas:
1. Crie instâncias de Concessão de Acesso do Amazon S3.
1. Registre um local nessa instância.
1. Crie subsídios para permitir que usuários ou grupos específicos do IAM Identity Center acessem locais ou subconjuntos designados do Amazon S3 (por exemplo, prefixos específicos) dentro desses locais.
## Etapa 6: enviar um trabalho de SageMaker treinamento e visualizar os detalhes da sessão em segundo plano do usuário
No SageMaker Studio, lance um novo notebook Jupyter e envie um trabalho de treinamento. Enquanto a tarefa estiver em execução, conclua as etapas a seguir para visualizar as informações da sessão e verificar se o contexto da sessão de usuário em segundo plano está ativo.
1. Abra o console do IAM Identity Center.
1. Selecione **Usuários**.
1. Na página **Usuários**, escolha o nome do usuário cujas sessões você deseja gerenciar. Isso leva você a uma página com as informações do usuário.
1. Na página do usuário, escolha a aba **Sessões ativas**. O número entre parênteses ao lado de **Sessões ativas** indica o número de sessões ativas desse usuário.
1. Para pesquisar sessões pelo nome do recurso da Amazon (ARN) da tarefa que está usando a sessão, na lista **Tipo de sessão**, escolha **Sessões de usuários em segundo plano** e insira o ARN da tarefa na caixa de pesquisa.
Veja a seguir um exemplo de como uma tarefa de treinamento usando uma sessão de usuário em segundo plano aparece na aba **Sessões ativas** para um usuário.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Etapa 7: Exibir os CloudTrail registros para verificar a propagação de identidade confiável no CloudTrail
Quando a propagação de identidade confiável está ativada, as ações aparecem nos registros de CloudTrail eventos abaixo do `onBehalfOf` elemento. O `userId` reflete a ID do usuário do IAM Identity Center que iniciou a tarefa de treinamento. O CloudTrail evento a seguir captura o processo de propagação de identidade confiável.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considerações sobre runtime
Se um administrador definir trabalhos **MaxRuntimeInSeconds**de treinamento ou processamento de longa duração que sejam inferiores à duração da sessão em segundo plano do usuário, o SageMaker Studio executará o trabalho pelo mínimo de uma **MaxRuntimeInSeconds **ou da duração da sessão em segundo plano do usuário.
Para obter mais informações sobre **MaxRuntimeInSeconds**, consulte a orientação para o `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parâmetro na *Amazon SageMaker API Reference*.