View a markdown version of this page

受信任身分傳播架構和相容性 - Amazon SageMaker AI
相容的 SageMaker AI 功能相容 AWS 服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

受信任身分傳播架構和相容性

信任的身分傳播 AWS IAM Identity Center 與 Amazon SageMaker Studio 和其他連線 AWS 服務整合,以跨服務傳播使用者的身分內容。下頁摘要說明受信任身分傳播架構,以及與 SageMaker AI 的相容性。如需受信任身分傳播如何運作的完整概觀 AWS,請參閱受信任身分傳播概觀

受信任身分傳播架構的關鍵元件包括:

  • 受信任身分傳播:在應用程式與服務之間傳播使用者身分內容的方法

  • 身分內容:使用者的相關資訊

  • 身分增強型 IAM 角色工作階段:身分增強型角色工作階段具有新增的身分內容,可將使用者識別符帶到其呼叫 AWS 的服務

  • 連線 AWS 服務:其他可辨識透過受信任身分傳播傳播之身分內容的 AWS 服務

信任的身分傳播可讓連線 AWS 的服務根據使用者的身分做出存取決策。在 Studio 本身內,IAM 角色用作身分內容的攜帶者,而不是用於做出存取控制決策。身分內容會傳播到已連線 AWS 的服務,可用於存取控制和稽核目的。如需詳細資訊,請參閱受信任身分傳播考量

當您使用 Studio 啟用受信任身分傳播,並透過 IAM Identity Center 驗證時,SageMaker AI:

  • 從 IAM Identity Center 擷取使用者的身分內容

  • 建立身分增強的 IAM 角色工作階段,其中包括使用者的身分內容。

  • 當使用者存取 資源時,將身分增強的 IAM 角色工作階段傳遞至相容的 AWS 服務

  • 讓下游 AWS 服務根據使用者身分進行存取決策和日誌活動

相容的 SageMaker AI 功能

受信任身分傳播會使用下列 Studio 功能:

  • Amazon SageMaker Studio 私有空間 (JupyterLab 和程式碼編輯器,以 Code-OSS、Visual Studio Code - Open Source 為基礎)

注意

  • 當 Studio 在受信任身分傳播啟用的情況下啟動時,除了您的執行角色許可之外,還會使用您的身分內容。不過,在執行個體設定期間,下列程序只會使用執行角色許可,而不會使用身分內容:生命週期組態、自帶映像、CloudWatch 代理程式進行使用者日誌轉送。

  • 受信任身分傳播目前不支援遠端存取

  • 當您在 Studio 筆記本中使用擔任角色操作時,擔任的角色不會傳播受信任的身分傳播內容。只有原始執行角色會維護身分內容。

相容 AWS 服務

Amazon SageMaker Studio 的受信任身分傳播與啟用受信任身分傳播的相容 AWS 服務整合。如需完整清單以及如何啟用受信任身分傳播的範例,請參閱使用案例。受信任身分傳播相容服務包括下列項目。

使用 SageMaker AI 啟用受信任身分傳播時,會連接 AWS 具有受信任身分傳播的其他服務。連線後,它們會識別並使用使用者的身分內容進行存取控制和稽核。

Studio 支援受信任身分傳播,其中支援 IAM Identity Center,並支援具有 IAM Identity Center 驗證的 Studio。Studio 支援下列信任的身分傳播 AWS 區域:

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2