本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon SageMaker Studio 进行可信身份传
<a name="trusted-identity-propagation-usecase-sagemaker-studio"></a>

A@@ [mazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) 与 IAM 身份中心集成，它支持[用户后台会话](user-background-sessions.md)和可信身份传播。用户后台会话允许用户在 SageMaker Studio 上启动长时间运行的作业，而无需在作业运行时保持登录状态。作业将立即在后台运行，并使用启动作业的用户的权限。即使用户关闭计算机、IAM Identity Center 登录会话过期或用户退出 AWS 访问门户，该作业仍可以继续运行。用户后台会话的默认持续时间为 7 天，但您可以指定最长 90 天的持续时间。可信身份传播支持基于用户身份或组成员身份，为 Amazon S3 存储桶等 AWS 资源提供细粒度访问权限。

下图显示了 SageMaker Studio 的可信身份传播配置，可访问存储在 Amazon S3 存储桶中的数据。IAM Identity Center 已启用用户后台会话，这允许 SageMaker Studio 训练作业在后台运行。训练数据的访问控制由 Amazon S3 Access Grants 提供。

![Studio 的可信身份传播示意图， SageMaker SageMaker Studio 训练作业在用户后台会话中运行，并访问由 Amazon S3 提供的 Amazon S3 中的训练数据Access Grants。](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)


**AWS 托管应用程序**

以下面向客户端的 AWS 托管应用程序支持可信身份传播：
+ [亚马逊 SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)

**如需启用可信身份传播和用户后台会话，请执行以下步骤：**
+ [将 SageMaker Studio 设置为面向客户端的应用程序。](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [设置 Amazon S3 Access Grants](tip-tutorial-s3.md)，以便允许临时访问 Amazon S3 中的底层数据位置。