本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 可信身份传播架构和兼容性
可信身份传播 AWS IAM Identity Center 与 Amazon SageMaker Studio 和其他关联 AWS 服务集成,可跨服务传播用户的身份上下文。下一页总结了可信身份传播架构以及与 SageMaker AI 的兼容性。有关可信身份传播工作原理的全面概述 AWS,请参阅[可信身份传播概述](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)。
可信身份传播架构的关键组件包括:
+ **可信身份传播**:一种在应用程序和服务之间传播用户身份上下文的方法
+ **身份上下文**:有关用户的信息
+ **身份增强型 IAM 角色会话**:身份增强型角色会话添加了身份上下文,该上下文将用户标识符传递给它所 AWS 调用的服务
+ **互联 AWS 服务**:可以识别通过可信身份传播传播传播的身份上下文的其他 AWS 服务
可信身份传播允许互联 AWS 服务根据用户的身份做出访问决策。在 Studio 内部,IAM 角色用作身份上下文的载体,而不是用于做出访问控制决策。身份上下文会传播到连接的 AWS 服务,在这些服务中,它既可以用于访问控制,也可以用于审计目的。有关更多信息,请参阅[可信身份传播注意事项](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations)。
当您使用 Studio 启用可信身份传播并通过 IAM 身份中心进行身份验证时,A SageMaker I:
+ 从 IAM Identity Center 捕获用户身份上下文
+ 创建包含用户身份上下文的身份增强型 IAM 角色会话
+ 当用户访问资源时,将身份增强型 IAM 角色会话传递给兼容的 AWS 服务
+ 使下游 AWS 服务能够根据用户身份做出访问决策和记录活动
## 兼容的 SageMaker AI 功能
可信身份传播可与以下 Studio 功能结合使用:
+ [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) 私有空间(JupyterLab 以及基于代码操作系统的代码编辑器、Visual Studio 代码——开源)
**注意**
当 Studio 启动并启用可信身份传播时,它不仅会使用您的执行角色权限,还会使用您的身份上下文。但是,在实例设置期间,以下流程将仅使用执行角色权限,而不使用身份上下文:生命周期配置 Bring-Your-Own-Image、用于用户日志转发的 CloudWatch 代理。
可信身份传播目前不支持[远程访问](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html)。
当您在 Studio 笔记本中使用代入角色操作时,代入的角色不会传播可信身份传播上下文。只有原始执行角色才能维护身份上下文。
+ [SageMaker训练](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html)
+ [SageMaker正在处理](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html)
+ [SageMaker AI 实时托管](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html)
+ [SageMaker管道](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html)
+ [SageMaker实时推理](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html)
+ [SageMaker异步推理](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html)
+ [托管式 MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html)
## 兼容的 AWS 服务
Amazon SageMaker Studio 的可信身份传播与兼容 AWS 服务集成,其中启用了可信身份传播。有关如何启用可信身份传播的示例的完整列表,请参阅[使用案例](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html)。与可信身份传播兼容的服务如下所示。
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)
+ [EC2 上的 Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)
+ [Amazon Redshift Data API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Amazon S3(通过 [Amazon S3 访问权限管控](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html))
+ [AWS Glue 连接](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)
当通过 SageMaker AI 启用可信身份传播时,启用了可信身份传播的彼此 AWS 服务就会相互连接。这些服务连接后,会识别并使用用户身份上下文来进行访问控制和审计。
## 支持的 AWS 区域
在[支持 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html) 且支持使用 IAM Identity Center 身份验证的 Studio 的环境中,Studio 支持可信身份传播。Studio 支持以下方面的可信身份传播 AWS 区域:
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2