As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visão geral da propagação de identidades confiáveis
A propagação de identidade confiável é um atributo do IAM Identity Center que permite que os administradores de Serviços da AWS concedam permissões com base em atributos do usuário, como associações a grupos. Com a propagação de identidade confiável, o contexto de identidade é adicionado a uma função do IAM para identificar o usuário que está solicitando acesso aos AWS recursos. Esse contexto é propagado para outros Serviços da AWS.
O contexto de identidade compreende informações que são Serviços da AWS usadas para tomar decisões de autorização ao receber solicitações de acesso. Essas informações incluem metadados que identificam o solicitante (por exemplo, um usuário do IAM Identity Center), o acesso AWS service (Serviço da AWS) ao qual o acesso é solicitado (por exemplo, Amazon Redshift) e o escopo do acesso (por exemplo, acesso somente para leitura). O destinatário AWS service (Serviço da AWS) usa esse contexto e todas as permissões atribuídas ao usuário para autorizar o acesso aos seus recursos.
## Benefícios da propagação de identidade confiável
A propagação confiável de identidades permite que os administradores concedam permissões Serviços da AWS a recursos, como dados, usando as identidades corporativas de sua força de trabalho. Além disso, eles podem auditar quem acessou quais dados examinando os registros de serviço ou AWS CloudTrail. Outros administradores do AWS service (Serviço da AWS) podem solicitar ao administrador do IAM Identity Center para habilitar a propagação de identidade confiável.
## Como habilitar a propagação de identidade confiável
O processo de habilitar a propagação de identidade confiável envolve as duas etapas a seguir:
1. **Ative o IAM Identity Center e conecte sua fonte existente de identidades ao IAM Identity Center** — Você continuará gerenciando suas identidades de força de trabalho em sua fonte de identidades existente; conectá-la ao IAM Identity Center cria uma referência à sua força de trabalho que todos Serviços da AWS em seu caso de uso podem compartilhar. Também está disponível para os proprietários de dados usarem em casos de uso futuros.
1. **Conecte o Serviços da AWS em seu caso de uso ao IAM Identity Center** — O administrador de cada AWS service (Serviço da AWS) caso de uso de propagação de identidade confiável segue as orientações na respectiva documentação do serviço para conectar o serviço ao IAM Identity Center.
**nota**
Se p caso de uso envolver uma aplicação desenvolvida por *terceiros* ou pelo *cliente*, você habilita a propagação de identidade confiável configurando uma relação de confiança entre o provedor de identidade que autentica os usuários da aplicação e o IAM Identity Center. Isso permite que a aplicação aproveite o fluxo de propagação de identidade confiável descrito anteriormente.
Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
## Como funciona a propagação de identidade confiável
O diagrama a seguir mostra o fluxo de trabalho de alto nível para a propagação de identidade confiável:
![\[Fluxo de trabalho simplificado de propagação de identidade confiável.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Os usuários se autenticam com um aplicativo voltado para o cliente, por exemplo, o Quick.
1. O aplicativo voltado para o cliente solicita acesso para usar e consultar dados e inclui informações sobre o usuário. AWS service (Serviço da AWS)
**nota**
Alguns casos de uso confiável de propagação de identidade envolvem ferramentas que interagem com o Serviços da AWS uso de drivers de serviço. Você pode descobrir se isso se aplica ao caso de uso na [orientação do caso de uso](trustedidentitypropagation-integrations.md).
1. Ele AWS service (Serviço da AWS) verifica a identidade do usuário com o IAM Identity Center e compara os atributos do usuário, como suas associações de grupo, com aqueles necessários para acesso. O AWS service (Serviço da AWS) autoriza o acesso, desde que o usuário ou seu grupo tenha as permissões necessárias.
1. Serviços da AWS podem registrar o identificador do usuário em seus registros de serviço. AWS CloudTrail Consulte a documentação do serviço para obter mais detalhes.
A imagem a seguir fornece uma visão geral das etapas descritas anteriormente no fluxo de trabalho de propagação de identidade confiável:
![\[Fluxo de trabalho simplificado de propagação de identidade confiável.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Benefícios da propagação de identidade confiável](#benefits-trusted-identity-propagation)
+ [Como habilitar a propagação de identidade confiável](#enabling-tip)
+ [Como funciona a propagação de identidade confiável](#how-tip-works)
+ [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md)
+ [Casos de uso de propagação de identidades confiáveis](trustedidentitypropagation-integrations.md)
+ [Serviços de autorização](authorization-services.md)
# Pré-requisitos e considerações
Antes de configurar a propagação de identidades confiáveis, revise os seguintes pré-requisitos e considerações.
**Topics**
+ [Pré-requisitos](#trustedidentitypropagation-prerequisites)
+ [Considerações](#trustedidentitypropagation-considerations)
+ [Considerações sobre aplicações gerenciadas pelo cliente](#trustedidentitypropagation-customer-apps)
## Pré-requisitos
Para usar a propagação de identidade confiável, confirme que o ambiente atende aos pré-requisitos a seguir:
+ Habilitar e provisionar o IAM Identity Center
+ Para usar a propagação de identidade confiável, você deve habilitar o IAM Identity Center no mesmo Região da AWS local em que os AWS aplicativos e serviços que seus usuários acessarão estão habilitados. Para mais informações, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
+ Instância de organização recomendada do IAM Identity Center: recomendamos que você use uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center habilitada na conta gerencial do AWS Organizations. Você pode [delegar a administração](organization-instances-identity-center.md) de uma instância de organização do IAM Identity Center a uma conta de membro. Se você escolher uma [instância de conta](account-instances-identity-center.md) do IAM Identity Center, todos os Serviços da AWS que você deseja que os usuários acessem com propagação de identidade confiável devem residir na mesma Conta da AWS em que você habilitou o IAM Identity Center. Para obter mais informações, consulte [Instâncias de conta do Centro de Identidade do IAM](account-instances-identity-center.md).
+ Conecte o provedor de identidade existente ao IAM Identity Center e provisione os usuários e grupos no IAM Identity Center. Para obter mais informações, consulte [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).
+ Conecte os aplicativos e serviços AWS gerenciados em seu caso de uso confiável de propagação de identidade ao IAM Identity Center. Para usar a propagação de identidade confiável, os aplicativos AWS gerenciados devem estar conectados ao IAM Identity Center.
## Considerações
Ao configurar e usar a propagação de identidade confiável, leve em consideração o seguinte:
+ **Instâncias de organização versus de conta do IAM Identity Center**
+ Uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center lhe dará o máximo de controle e flexibilidade para expandir os casos de uso para vários Contas da AWS, usuários e Serviços da AWS. Se você não conseguir usar uma instância de organização, o caso de uso pode ser compatível com instâncias de conta do IAM Identity Center. Para saber mais sobre quais Serviços da AWS no caso de uso são compatíveis com instâncias de conta do IAM Identity Center, consulte [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).
+ **Permissões de várias contas (conjuntos de permissões) não exigidas**
+ A propagação de identidades confiáveis não exige que você configure [permissões de várias contas](manage-your-accounts.md) (conjuntos de permissões). Você pode habilitar o IAM Identity Center e usá-lo somente para a propagação de identidades confiáveis.
## Considerações sobre aplicações gerenciadas pelo cliente
Sua força de trabalho pode se beneficiar da propagação confiável de identidade, mesmo que seus usuários interajam com aplicativos voltados para o cliente que não são gerenciados, por exemplo AWSTableau, por seus aplicativos desenvolvidos sob medida. Os usuários dessas@aplicações podem não estar provisionados no IAM Identity Center. Para permitir o reconhecimento e a autorização fáceis do acesso do usuário aos AWS recursos, o IAM Identity Center permite que você configure uma relação confiável entre o provedor de identidade que autentica seus usuários e o IAM Identity Center. Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
Além disso, configurar a propagação de identidade confiável para a aplicação exigirá:
+ Seu aplicativo deve usar a estrutura OAuth 2.0 para autenticação. A propagação de identidade confiável não é compatível com integrações do SAML 2.0.
+ A aplicação deve ser reconhecida pelo IAM Identity Center. Siga as orientações específicas para o [caso de uso](trustedidentitypropagation-integrations.md).
# Casos de uso de propagação de identidades confiáveis
Pode ser solicitado ao administrador do IAM Identity Center que ajude a configurar a propagação de identidade confiável das aplicações voltadas para os Serviços da AWS. Para apoiar essa solicitação, serão necessárias as seguintes informações:
+ Com qual aplicação voltada para o cliente os usuários interagirão?
+ Quais Serviços da AWS são usados para consultar os dados e autorizar o acesso aos dados?
+ O que AWS service (Serviço da AWS) autoriza o acesso aos dados?
A função em permitir **casos de uso de propagação de identidade confiável que não envolvam aplicações de terceiros ou aplicações desenvolvidas sob medida** é:
1. [Ative o IAM Identity Center](enable-identity-center.md).
1. [Conecte a fonte atual de identidades ao IAM Identity Center](tutorials.md).
As etapas restantes da configuração de identidade confiável para esses casos de uso são executadas nos aplicativos conectados Serviços da AWS e. Os administradores dos aplicativos conectados Serviços da AWS ou dos aplicativos devem consultar os respectivos guias do usuário para obter uma orientação abrangente e específica do serviço.
Função em permitir **casos de uso de propagação de identidade confiáveis que envolvam aplicações de terceiros ou aplicações desenvolvidas sob medida** inclui as etapas [Habilitar o IAM Identity Center](enable-identity-center.md) e a [conexão da fonte de identidades](tutorials.md), bem como:
1. Como configurar a conexão do provedor de identidade (IdP) com a aplicação de terceiros ou desenvolvida de forma personalizada.
1. Como permitir que o IAM Identity Center reconheça a aplicação de terceiros ou desenvolvida de forma personalizada.
1. Como configurar o IdP como um emissor de tokens confiáveis no IAM Identity Center Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
Os administradores dos aplicativos conectados Serviços da AWS devem consultar os respectivos guias do usuário para obter uma orientação abrangente e específica do serviço.
## Casos de uso de analytics, data lakehouse e machine learning
Você pode habilitar casos de uso de propagação confiável com os seguintes serviços de analytics e machine learning:
+ **Amazon Redshift** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon Redshift](tip-usecase-redshift.md).
+ **Amazon EMR** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon EMR](tip-usecase-emr.md).
+ **Amazon Athena** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon Athena](tip-usecase-ate.md).
+ **SageMaker Studio** - Para obter orientação, consulte[Propagação de identidade confiável com o Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Casos de uso adicionais
Você pode habilitar o IAM Identity Center e a propagação de identidade confiável com estes Serviços da AWS adicionais:
+ **Amazon Q Business** — Para obter orientação, consulte:
+ [Fluxo de trabalho administrativo para aplicações que usam o IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Como configurar uma aplicação do Amazon Q Business usando o IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configure o Amazon Q Business com a propagação de identidade confiável do IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** — para obter orientação, consulte:
+ [Suporte confiável de propagação de identidade do IAM Identity Center para Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Interface de OpenSearch usuário centralizada (painéis) com o Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family** — Para obter orientações, consulte:
+ [Aplicativos Transfer Family da web](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Casos de uso de analytics, data lakehouse e machine learning](#tip-data-analytic-usecases-overview)
+ [Casos de uso adicionais](#tip-additional-usecases)
+ [Propagação de identidade confiável com o Amazon Redshift](tip-usecase-redshift.md)
+ [Propagação de identidade confiável com o Amazon EMR](tip-usecase-emr.md)
+ [Propagação de identidade confiável com o Amazon Athena](tip-usecase-ate.md)
+ [Propagação de identidade confiável com o Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagação de identidade confiável com o Amazon Redshift
As etapas para permitir a propagação de identidade confiável dependem de seus usuários interagirem com aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente. O diagrama a seguir mostra uma configuração confiável de propagação de identidade para aplicativos voltados ao cliente — AWS gerenciados ou externos AWS — que consultam dados do Amazon Redshift com controle de acesso fornecido pelo Amazon Redshift ou por serviços de autorização, como o Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagação de identidade confiável usando Amazon Redshift, Quick, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Quando a propagação de identidade confiável para o Amazon Redshift está habilitada, os administradores do Redshift podem configurar o Redshift para [criar perfis automaticamente](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) para o IAM Identity Center como provedor de identidade, mapear perfis do Redshift para grupos no IAM Identity Center e usar o controle de acesso baseado em perfis do Redshift para conceder acesso.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Aplicações voltadas para o cliente compatíveis
**AWS aplicativos gerenciados**
Os seguintes aplicativos AWS gerenciados voltados para o cliente oferecem suporte à propagação confiável de identidade para o Amazon Redshift:
+ [Query Editor V2 do Amazon Redshift](setting-up-tip-redshift.md)
+ [Rápido](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**nota**
Se você estiver usando o Amazon Redshift Spectrum para acessar bancos de dados ou tabelas externas no AWS Glue Data Catalog, pense em [configurar o Lake Formation](tip-tutorial-lf.md) e o [Amazon S3 Access Grants](tip-tutorial-s3.md) para fornecer controle de acesso refinado.
**Aplicações gerenciadas pelo cliente**
As seguintes aplicações gerenciadas pelo cliente oferecem suporte à propagação de identidade confiável para o Amazon Redshift:
+ **Tableau** incluindo Tableau Desktop, Tableau Server e Tableau Prep
+ Para permitir a propagação de identidade confiável para usuários do Tableau, consulte [Integrar Tableau e Okta com o Amazon Redshift usando o IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) no *Blog de big data da AWS *.
+ **Clientes SQL** (DBeaver e DBVisualizer)
+ Para habilitar a propagação de identidade confiável para usuários de Clientes SQL (DBeaver e DBVisualizer), consulte [Integrar o Provedor de Identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o Cliente SQL usando o IAM Identity Center para logon único contínuo](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) no *Blog de big data da AWS *.
# Como configurar a propagação de identidade confiável com o Editor de Consultas V2 do Amazon Redshift
O procedimento a seguir explica como obter uma propagação de identidade confiável do Editor de Consultas V2 do Amazon Redshift para o Amazon Redshift.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
A habilitação da propagação de identidade confiável inclui tarefas executadas por um administrador do IAM Identity Center no console do IAM Identity Center e tarefas executadas por um administrador do Amazon Redshift no console do Amazon Redshift.
## Tarefas executadas pelo administrador do IAM Identity Center
As seguintes tarefas precisavam ser concluídas pelo administrador do IAM Identity Center:
1. **Crie um [perfil do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** na conta em que existe o cluster do Amazon Redshift ou a instância Serverless com a seguinte política de permissão. Para obter mais informações, consulte [Criação do Perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Os exemplos de políticas a seguir incluem as permissões necessárias para concluir este tutorial. Para usar essa política, substitua *italicized placeholder text* a política do exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Política de permissão:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Política de confiança:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Crie um conjunto de permissões** na conta gerencial do AWS Organizations em que o IAM Identity Center está habilitado. Você o usará na próxima etapa para permitir que usuários federados acessem o Editor de Consultas V2 do Redshift.
1. Acesse o console do **IAM Identity Center** e, em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha **Create permission set (Criar conjunto de permissões)**.
1. Escolha **Conjunto de permissões personalizado** e, em seguida, escolha **Avançar**.
1. Em **Políticas gerenciadas pela AWS **, escolha **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Em **Política embutida**, adicione a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Selecione **Avançar** e forneça um nome para o nome do conjunto de permissões. Por exemplo, .**Redshift-Query-Editor-V2**
1. Em **Estado de retransmissão — opcional**, defina o estado de retransmissão padrão para o URL do Editor de Consultas V2, usando o formato: `https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Revise as configurações e escolha **Criar**.
1. Navegue até o painel do IAM Identity Center e copie o URL do portal de acesso do AWS da seção **Resumo da configuração**.
![\[Etapa 1, Copie o URL do portal de AWS acesso do console do IAM Identity Center.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Abra uma nova janela de navegador anônimo e cole o URL.
Isso o levará ao seu portal de AWS acesso, garantindo que você esteja fazendo login com um usuário do IAM Identity Center.
![\[Etapa j, Faça login para AWS acessar o portal.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Para obter mais informações sobre o conjunto de permissões, consulte [Gerencie Contas da AWS com conjuntos de permissões](permissionsetsconcept.md).
1. **Permita que usuários federados acessem o Editor de Consultas V2 do Redshift**.
1. Na conta AWS Organizations de gerenciamento, abra o console **do IAM Identity Center**.
1. No painel de navegação, em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Na Contas da AWS página, selecione o Conta da AWS que você deseja atribuir acesso.
1. Escolha **Atribuir usuários ou grupos**.
1. Na página **Atribuir usuários e grupos**, escolha os usuários e/ou grupos para os quais deseja criar o conjunto de permissões. Em seguida, escolha **Próximo**.
1. Na página **Atribuir conjuntos de permissões**, escolha o conjunto de permissões que você criou na etapa anterior. Em seguida, escolha **Próximo**.
1. Na página **Revisar e enviar atribuições**, revise as seleções e escolha **Enviar**.
## Tarefas executadas por um administrador do Amazon Redshift
A habilitação da propagação de identidade confiável para o Amazon Redshift exige que um administrador de cluster do Amazon Redshift ou administrador do Amazon Redshift sem servidor execute várias tarefas no console do Amazon Redshift. Para obter mais informações, consulte [Integrar o provedor de identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o cliente SQL usando o IAM Identity Center para um login único direto](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) no *Blog de big data da AWS *.
# Propagação de identidade confiável com o Amazon EMR
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o Amazon EMR Studio usando o Amazon EMR no Amazon EC2 com controle de acesso fornecido pelo Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagação de identidade confiável usando Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplicações voltadas para o cliente compatíveis**
+ Amazon EMR Studio
**Para habilitar a propagação de identidade confiável, siga estas etapas:**
+ [Configure o Amazon EMR Studio](setting-up-tip-emr.md) como aplicação voltada para o cliente para o cluster do Amazon EMR.
+ Configure o [Cluster do Amazon EMR no Amazon EC2 com Apache Spark](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html).
+ *Recomendado*: [AWS Lake Formation](tip-tutorial-lf.md)e o [Amazon S3 Access Grants](tip-tutorial-s3.md) para fornecer controle de acesso refinado AWS Glue Data Catalog e locais de dados subjacentes no S3.
# Como configurar a propagação de identidade confiável com o Amazon EMR Studio
O procedimento a seguir orienta você na configuração do Amazon EMR Studio para a propagação confiável de identidade em consultas em grupos de trabalho do Amazon Athena ou clusters do Amazon EMR que executam o Apache Spark.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
Para concluir a configuração da propagação de identidade confiável do Amazon EMR Studio, o administrador do EMR Studio deve executar as seguintes etapas.
## Etapa 1. Criar os perfis do IAM exigidos para o EMR Studio
Nesta etapa, o administrador do Amazon EMR Studio cria um perfil de serviço do IAM e um perfil de usuário do IAM para o EMR Studio.
1. **[Crie um perfil de serviço do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** — O EMR Studio assume esse perfil do IAM para gerenciar com segurança espaços de trabalho e notebooks, conectar-se a clusters e lidar com interações de dados.
1. Navegue até o console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) e crie uma função do IAM.
1. Selecione **AWS service (Serviço da AWS)** como entidade confiável e, em seguida, escolha **Amazon EMR**. Anexe as políticas a seguir para definir as permissões e a relação de confiança do perfil.
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Para obter uma referência de todas as permissões de perfil de serviço, consulte [Permissões de perfil de serviço do EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Crie um perfil de usuário do EMR Studio para autenticação do IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** — o EMR Studio assume esse perfil quando um usuário faz login pelo IAM Identity Center para gerenciar espaços de trabalho, clusters do EMR, tarefas e repositórios git. **Esse perfil é usado para iniciar o fluxo de trabalho de propagação de identidade confiável**.
**nota**
A função de usuário do EMR Studio não precisa incluir permissões para acessar as localizações das tabelas no Amazon S3 no Catálogo. AWS Glue AWS Lake Formation as permissões e as localizações registradas dos lagos serão usadas para receber permissões temporárias.
O exemplo de política a seguir pode ser usado em um perfil que permite que um usuário do EMR Studio use grupos de trabalho do Athena para executar consultas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
A política de confiança a seguir permite que o EMR Studio assuma o perfil:
**nota**
Permissões adicionais são necessárias para aproveitar os EMR Studio Workspaces e os EMR Notebooks. Consulte [Criar políticas de permissões para usuários do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) para obter mais informações.
**Você pode encontrar essas informações nos seguintes links:**
+ [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Permissões de função de serviço do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Etapa 2. Criar e configurar o EMR Studio
Nesta etapa, você criará um Amazon EMR Studio no console do EMR Studio e usará os perfis do IAM que você criou em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1).
1. Navegue até o console do EMR Studio, selecione **Criar Studio** e a opção **Configuração personalizada**. Você pode criar um bucket S3 ou novo usar um existente. Você pode marcar a caixa **Criptografar arquivos do espaço de trabalho com as próprias chaves KMS**. Para obter mais informações, consulte [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Etapa 1: criar o EMR Studio no console do EMR.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Em **Perfil de serviço para permitir que o Studio acesse os recursos**, selecione um perfil de serviço criado em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1) no menu.
1. Escolha **IAM Identity Center** em **Autenticação**. Selecione o perfil de usuário criado em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1).
![\[Etapa 3: criar o EMR Studio no console do EMR, selecionando o IAM Identity Center como método de autenticação.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Marque a caixa **Propagação de identidade confiável**. Escolha **Somente usuários e grupos atribuídos** na seção Acesso à aplicação, o que permitirá que você conceda somente usuários e grupos autorizados a acessar este studio.
1. *(Opcional)* — Você pode configurar a VPC e a sub-rede se estiver usando este Studio com clusters do EMR.
![\[Etapa 4: criar o EMR Studio no console do EMR selecionando as configurações de rede e segurança.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Revise todos os detalhes e selecione **Criar Studio**.
1. Depois de configurar um cluster do WorkGroup Athena ou do EMR, faça login na URL do Studio para:
1. Executar consultas do Athena com o Editor de Consultas.
1. Execute as tarefas do Spark no espaço de trabalho usando o caderno Jupyter.
# Propagação de identidade confiável com o Amazon Athena
As etapas para permitir a propagação de identidade confiável dependem de seus usuários interagirem com aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente. O diagrama a seguir mostra uma configuração confiável de propagação de identidade para aplicativos voltados ao cliente — AWS gerenciados ou externos AWS — que usam o Amazon Athena para consultar dados do Amazon S3 com controle de acesso fornecido pelo Amazon S3. AWS Lake Formation Access Grants
**nota**
Propagação de identidade confiável com o Amazon Athena requer o uso do Trino.
Os clientes Apache Spark e SQL conectados ao Amazon Athena por meio de drivers ODBC e JDBC não são compatíveis.
![\[Diagrama de propagação de identidade confiável usando Athena, Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS aplicativos gerenciados**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade com o Athena:
+ Amazon EMR Studio
**Para habilitar a propagação de identidade confiável, siga estas etapas:**
+ [Configure o Amazon EMR Studio](setting-up-tip-emr.md) como aplicação voltada para o cliente para o Athena. O Editor de Consultas no EMR Studio é necessário para executar as consultas do Athena quando a propagação de identidade confiável está habilitada.
+ [Configure o Athena Workgroup](setting-up-tip-ate.md).
+ [Configure AWS Lake Formation](tip-tutorial-lf.md) para ativar o controle de acesso refinado para AWS Glue tabelas com base no usuário ou grupo no IAM Identity Center.
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no S3.
**nota**
Tanto o Lake Formation quanto o Amazon S3 Access Grants são necessários para o controle de acesso AWS Glue Data Catalog e para os resultados da consulta do Athena no Amazon S3.
**Aplicações gerenciadas pelo cliente**
*Para habilitar a propagação de identidade confiável para usuários de *aplicativos desenvolvidos sob medida*, consulte [Access Serviços da AWS programaticamente usando propagação de identidade confiável](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) no Blog de Segurança.AWS *
# Como configurar a propagação de identidade confiável com grupos de trabalho do Amazon Athena
A procedimento a seguir explica como configurar grupos de trabalho do Amazon Athena para propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. Essa configuração requer o [Amazon EMR Studio](setting-up-tip-emr.md) e a [Concessão de Acesso do Amazon S3](tip-tutorial-s3.md). [AWS Lake Formation](tip-tutorial-lf.md)
## Como configurar a propagação de identidade confiável com o Athena
Para configurar a propagação de identidade confiável com o Athena, o administrador do Athena deve:
1. Analise [Considerações e limitações do uso de grupos de trabalho do Athena habilitados para o IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Crie um grupo de trabalho do Athena habilitado para o IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagação de identidade confiável com o Amazon Studio SageMaker
[O Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) se integra ao IAM Identity Center e oferece suporte a [sessões em segundo plano de usuários](user-background-sessions.md) e propagação confiável de identidade. As sessões em segundo plano do usuário permitem que um usuário inicie um trabalho de longa duração no SageMaker Studio, sem que o usuário precise permanecer conectado enquanto o trabalho é executado. A tarefa é executada imediatamente e em segundo plano, usando as permissões do usuário que iniciou a tarefa. O trabalho pode continuar em execução mesmo que o usuário desligue o computador, a sessão de login do IAM Identity Center expire ou o usuário saia do AWS portal de acesso. A duração padrão da sessão para as sessões de usuários em segundo plano é de 7 dias, mas você pode especificar uma duração máxima de 90 dias. A propagação de identidade confiável permite que seja fornecido acesso refinado a recursos da AWS como buckets do Amazon S3 com base na identidade do usuário ou na associação ao grupo.
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o SageMaker Studio, com acesso aos dados armazenados em um bucket do Amazon S3. As sessões em segundo plano do usuário estão habilitadas para o IAM Identity Center, o que permite que o trabalho de treinamento do SageMaker Studio seja executado em segundo plano. O controle de acesso aos dados de treinamento é fornecido pelo Amazon S3 Access Grants.
![\[Diagrama de propagação de identidade confiável para o SageMaker Studio, com um trabalho de treinamento do SageMaker Studio em execução em uma sessão em segundo plano do usuário e acesso aos dados de treinamento no Amazon S3 fornecidos pelo Amazon S3. Access Grants\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplicativo gerenciado**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade:
+ [ SageMaker Estúdio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Para habilitar a propagação de identidade confiável e as sessões de usuários em segundo plano, siga estas etapas:**
+ [Configure o SageMaker Studio como o aplicativo voltado para o cliente.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no Amazon S3.
# Configurando a propagação de identidade confiável com o Studio SageMaker
O procedimento a seguir orienta você na configuração do SageMaker Studio para propagação confiável de identidade e sessões em segundo plano do usuário.
## Pré-requisitos
Antes de começar este tutorial, você precisará concluir as seguintes tarefas:
1. [Ative o IAM Identity Center](enable-identity-center.md). É exigida uma instância de organização. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. [Confirme se as sessões de usuários em segundo plano estão habilitadas](user-background-sessions.md) no console do IAM Identity Center. Por padrão, as sessões de usuários em segundo plano estão habilitadas e a duração da sessão é definida como 7 dias. Você pode alterar essa duração.
Para configurar a propagação de identidade confiável do SageMaker Studio, o administrador do SageMaker Studio deve executar as etapas a seguir.
## Etapa 1: Habilitar a propagação de identidade confiável em um domínio do SageMaker Studio novo ou existente
SageMaker O Studio usa domínios para organizar perfis de usuário, aplicativos e seus recursos associados. Para habilitar a propagação de identidade confiável, você deve criar um domínio do SageMaker Studio ou modificar um domínio existente conforme descrito no procedimento a seguir.
1. Abra o console do SageMaker AI, navegue até **Domínios** e siga um dos procedimentos a seguir.
+ **Crie um novo domínio do SageMaker Studio usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Escolha **Configurar para organizações** e, em seguida, faça o seguinte:
+ Escolha **AWS Identity Center** como método de autenticação.
+ Marque a caixa de seleção **Habilitar propagação de identidade confiável para todos os usuários neste domínio**.
+ **Modifique um domínio do SageMaker Studio existente.**
+ Selecione um domínio existente que use o IAM Identity Center para autenticação.
**Importante**
A propagação de identidade confiável só é suportada em domínios do SageMaker Studio que usam o IAM Identity Center para autenticação. Se o domínio usar o IAM para autenticação, você não poderá alterar o método de autenticação e, portanto, não poderá habilitar a propagação de identidade confiável.
+ [Editar configurações de domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Edite as configurações de **Autenticação e permissões** para permitir a propagação de identidade confiável.
1. Vá para a [Etapa 2: configurar o perfil de execução de domínio padrão](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Essa função é necessária para que os usuários de um domínio do SageMaker Studio acessem outros AWS serviços, como o Amazon S3.
## Etapa 2: configure o perfil de execução do domínio padrão e a política de confiança do perfil
Uma *função de execução de domínio* é uma [função do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) que um domínio do SageMaker Studio assume em nome de todos os usuários no domínio. As permissões que você atribui a essa função determinam quais ações o SageMaker Studio pode realizar.
1. Para criar ou selecionar um perfil de execução de domínio, execute uma das seguintes ações:
+ **Crie ou selecione um perfil usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Abra o console de SageMaker IA e siga as orientações do console na **Etapa 2: Configurar funções e atividades de ML** para criar uma nova função de execução de domínio ou selecionar uma função existente.
+ Conclua o restante das etapas de configuração para criar seu domínio do SageMaker Studio.
+ **Crie um perfil de execução manualmente.**
+ Abra o console do IAM e [crie o perfil de execução](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Atualize a política de confiança](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) anexada ao perfil de execução do domínio para que ela inclua as duas ações a seguir: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) e [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Para obter informações sobre como encontrar a função de execução do seu domínio SageMaker Studio, consulte [Obter função de execução do domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Uma *política de confiança* especifica a identidade que pode assumir um perfil. Essa política é necessária para permitir que o serviço SageMaker Studio assuma a função de execução do domínio. Adicione essas duas ações para que elas apareçam da seguinte forma na política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Etapa 3: verificar as permissões exigidas da Concessão de Acesso do Amazon S3 para o perfil de execução do domínio
Para usar o Amazon S3 Access Grants, você deve ter uma política de permissões anexada (como uma política embutida ou uma política gerenciada pelo cliente) à sua função de execução de domínio do SageMaker Studio que contenha as seguintes permissões.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Se você não tiver uma política que contenha essas permissões, siga as instruções em [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Etapa 4: atribuir grupos e usuários ao domínio
Atribua grupos e usuários ao domínio do SageMaker Studio seguindo as etapas em [Adicionar grupos e usuários](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Etapa 5: configurar a Concessão de Acesso do Amazon S3
Para configurar a Concessão de Acesso do Amazon S3, siga as etapas em [Como configurar Concessão de Acesso do Amazon S3 para propagação de identidade confiável por meio do IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Use as step-by-step instruções para concluir as seguintes tarefas:
1. Crie instâncias de Concessão de Acesso do Amazon S3.
1. Registre um local nessa instância.
1. Crie subsídios para permitir que usuários ou grupos específicos do IAM Identity Center acessem locais ou subconjuntos designados do Amazon S3 (por exemplo, prefixos específicos) dentro desses locais.
## Etapa 6: enviar um trabalho de SageMaker treinamento e visualizar os detalhes da sessão em segundo plano do usuário
No SageMaker Studio, lance um novo notebook Jupyter e envie um trabalho de treinamento. Enquanto a tarefa estiver em execução, conclua as etapas a seguir para visualizar as informações da sessão e verificar se o contexto da sessão de usuário em segundo plano está ativo.
1. Abra o console do IAM Identity Center.
1. Selecione **Usuários**.
1. Na página **Usuários**, escolha o nome do usuário cujas sessões você deseja gerenciar. Isso leva você a uma página com as informações do usuário.
1. Na página do usuário, escolha a aba **Sessões ativas**. O número entre parênteses ao lado de **Sessões ativas** indica o número de sessões ativas desse usuário.
1. Para pesquisar sessões pelo nome do recurso da Amazon (ARN) da tarefa que está usando a sessão, na lista **Tipo de sessão**, escolha **Sessões de usuários em segundo plano** e insira o ARN da tarefa na caixa de pesquisa.
Veja a seguir um exemplo de como uma tarefa de treinamento usando uma sessão de usuário em segundo plano aparece na aba **Sessões ativas** para um usuário.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Etapa 7: Exibir os CloudTrail registros para verificar a propagação de identidade confiável no CloudTrail
Quando a propagação de identidade confiável está ativada, as ações aparecem nos registros de CloudTrail eventos abaixo do `onBehalfOf` elemento. O `userId` reflete a ID do usuário do IAM Identity Center que iniciou a tarefa de treinamento. O CloudTrail evento a seguir captura o processo de propagação de identidade confiável.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considerações sobre runtime
Se um administrador definir trabalhos **MaxRuntimeInSeconds**de treinamento ou processamento de longa duração que sejam inferiores à duração da sessão em segundo plano do usuário, o SageMaker Studio executará o trabalho pelo mínimo de uma **MaxRuntimeInSeconds **ou da duração da sessão em segundo plano do usuário.
Para obter mais informações sobre **MaxRuntimeInSeconds**, consulte a orientação para o `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parâmetro na *Amazon SageMaker API Reference*.
# Serviços de autorização
Em todos os [casos de uso de analytics e data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), você pode obter controles de acesso refinados usando:
+ AWS Lake Formation - para obter orientação, consulte[Configuração AWS Lake Formation com o IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants — Para obter orientação, consulte. [Como configurar a Concessão de Acesso do Amazon S3 com o IAM Identity Center](tip-tutorial-s3.md)
# Configuração AWS Lake Formation com o IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) é um serviço gerenciado que simplifica a criação e o gerenciamento de data lakes na AWS. Ele automatiza a coleta, catalogação e segurança de dados, fornecendo um repositório centralizado para armazenar e analisar diversos tipos de dados. O Lake Formation oferece controles de acesso refinados e se integra a vários serviços de AWS análise, permitindo que as organizações configurem, protejam e obtenham insights de seus data lakes com eficiência.
Siga estas etapas para permitir que o Lake Formation conceda permissões de dados com base na identidade do usuário usando o IAM Identity Center e a propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
+ [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
## Etapas para configurar a propagação de identidade confiável
1. **Integre o IAM Identity Center ao AWS Lake Formation** seguindo as orientações em [Como conectar o Lake Formation ao IAM Identity Center](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html).
**Importante**
**Se você não tiver tabelas AWS Glue Data Catalog **, deverá criá-las para usar o AWS Lake Formation para conceder acesso aos usuários e grupos do IAM Identity Center. Consulte [Como criar objetos no AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) para obter mais informações.
1. **Registre os locais de data lake**.
[Registre os locais do S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) em que os dados das tabelas Glue são armazenados. Ao fazer isso, o Lake Formation provisionará acesso temporário aos locais necessários do S3 quando as tabelas forem consultadas, eliminando a necessidade de incluir permissões do S3 na função de serviço (por exemplo, a função de serviço Athena configurada no). WorkGroup
1. Navegue até os **locais do Data Lake** na seção **Administração** no painel de navegação do AWS Lake Formation console. Selecione **Registrar local**.
Isso permitirá que o Lake Formation provisione credenciais temporárias do IAM com as permissões necessárias para acessar os locais de dados do S3.
![\[Etapa 1: registrar o local do data lake no console do Lake Formation.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Insira o caminho S3 dos locais de dados das tabelas AWS Glue no campo **Caminho do Amazon S3**.
1. Na seção **Perfil do IAM**, não selecione o perfil vinculado ao serviço se quiser usá-lo com a propagação de identidade confiável. Crie um perfil separado com as seguintes permissões.
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). A política de permissão deve conceder acesso ao local do S3 especificado no caminho:
1. **Política de permissão**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relação de confiança**: deve incluir `sts:SectContext`, exigido para a propagação de identidade confiável.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**nota**
O perfil do IAM criado pelo assistente é um perfil vinculado ao serviço e não inclui `sts:SetContext`.
1. Depois de criar o perfil do IAM, selecione **Registrar local**.
## Propagação de identidade confiável com Lake Formation em todo o lado Contas da AWS
AWS Lake Formation suporta o uso [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) para compartilhar tabelas Contas da AWS e funciona com propagação de identidade confiável quando a conta do concedente e a conta do beneficiário estão na mesma Região da AWS, na mesma e compartilham a mesma AWS Organizations instância organizacional do IAM Identity Center. Consulte [Compartilhamento de dados entre contas no Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html) para obter mais informações.
# Como configurar a Concessão de Acesso do Amazon S3 com o IAM Identity Center
O [Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) oferece a flexibilidade de conceder controle de acesso refinado baseado em identidade aos locais do S3. Você pode usar o Amazon S3 Access Grants para conceder acesso ao bucket do Amazon S3 diretamente aos usuários e grupos corporativos. Siga estas etapas para habilitar o S3 Access Grants com o IAM Identity Center e obter uma propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
+ [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
## Como configurar a Concessão de acesso do S3 para propagação de identidade confiável por meio do IAM Identity Center
**Se você já tiver uma instância do Amazon S3 Access Grants com um local registrado, siga estas etapas:**
1. [Associe a instância do IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Crie uma concessão](#tip-tutorial-s3-create-grant)
**Se você ainda não criou uma Amazon S3 Access Grants, siga estas etapas:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - Você pode criar uma Access Grants instância S3 por. Região da AWS Ao criar a instância de S3 Access Grants, certifique-se de marcar a caixa **Adicionar instância do IAM Identity Center** e fornecer o ARN da instância do IAM Identity Center. Escolha **Próximo**.
A imagem a seguir mostra a página Criar instância de S3 Access Grants no console do Amazon S3 Access Grants:
![\[Página Criar instância de S3 Access Grants no console da Concessão de Acesso do S3.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Registre um local** - Depois de criar e [criar uma Access Grants instância do Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Região da AWS em sua conta, você [registra um local do S3 nessa](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) instância. Um local do S3 Access Grants mapeia a região padrão do S3 (`S3://`), um bucket ou um prefixo a um perfil do (IAM). O S3 Access Grants assume esse perfil do Amazon S3 para distribuir credenciais temporárias ao beneficiário que está acessando esse local específico. Primeiro, é necessário registrar pelo menos um local na instância do S3 Access Grants para poder criar uma concessão de acesso.
Para **Escopo do loca**, especifique `s3://`, o que inclui todos os buckets nessa região. Esse é o escopo de local recomendado para a maioria dos casos de uso. Se você tiver um caso de uso de gerenciamento de acesso avançado, poderá definir o escopo do local para um bucket `s3://bucket` ou prefixo específico dentro de um bucket `s3://bucket/prefix-with-path`. Para obter mais informações, consulte [Registrar um local](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) no *Guia do usuário do Amazon Simple Storage Service*.
**nota**
Certifique-se de que as localizações S3 das AWS Glue tabelas às quais você deseja conceder acesso estejam incluídas nesse caminho.
O procedimento exige que você configure um perfil do IAM para o local. Esse perfil deve incluir permissões para acessar o escopo do local. Você pode usar o assistente do console do S3 para criar o perfil. Você precisará especificar o ARN da instância do S3 Access Grants nas políticas desse perfil do IAM. O valor padrão do ARN da instância do S3 Access Grants é `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
O exemplo de política de permissões a seguir concede permissões ao Amazon S3 para o perfil do IAM que você criou. E a política de confiança de exemplo a seguir permite que a entidade principal de serviço do S3 Access Grants assuma o perfil do IAM.
1. **Política de permissão**
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Política de confiança**
Na política de confiança do perfil do IAM, dê à entidade principal do serviço Concessão de Acesso do S3 (`access-grants.s3.amazonaws.com`) acesso ao perfil do IAM que você criou. Para fazer isso, você pode criar um arquivo JSON que contém as instruções a seguir. Para adicionar a política de confiança à sua conta, consulte [Criar uma função usando políticas de confiança personalizadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Criar uma Concessão de Acesso do Amazon S3
Se você tiver uma instância do Amazon S3 Access Grants com um local registrado e tiver associado a instância do IAM Identity Center a ela, poderá [criar uma concessão](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). Na página **Criar concessão** do console do S3, conclua o seguinte:
**Criar uma concessão**
1. Selecione o local criado na etapa anterior. Você pode reduzir o escopo da concessão adicionando um subprefixo. O subprefixo pode ser um `bucket`, `bucket/prefix` ou um objeto no bucket. Para obter mais informações, acesse [Subprefixo](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) no *Guia do usuário do Amazon Simple Storage Service*.
1. Em **Permissões e acesso**, selecione **Ler** e/ou **Gravar** de acordo com as necessidades.
1. Em **Tipo de concedente**, escolha **Identidade de diretório no IAM Identity Center**.
1. Forneça o **ID de usuário ou grupo** do IAM Identity Center. Você pode encontrar o usuário e o grupo IDs no console do IAM Identity Center [nas seções **Usuário** e **Grupo**](howtoviewandchangepermissionset.md). Escolha **Próximo**.
1. Na página **Revisar e concluir**, revise as configurações do S3 Access Grant e selecione **Criar concessão**.
A imagem a seguir mostra a página Criar concessão no console do Amazon S3 Access Grants:
![\[Crie uma página de concessão no console da Concessão de Acesso do Amazon S3\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)