本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 受信任身分傳播架構和相容性
<a name="trustedidentitypropagation-compatibility"></a>

信任的身分傳播 AWS IAM Identity Center 與 Amazon SageMaker Studio 和其他連線 AWS 服務整合，以跨服務傳播使用者的身分內容。下頁摘要說明受信任身分傳播架構，以及與 SageMaker AI 的相容性。如需受信任身分傳播如何運作的完整概觀 AWS，請參閱[受信任身分傳播概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)。

受信任身分傳播架構的關鍵元件包括：
+ **受信任身分傳播**：在應用程式與服務之間傳播使用者身分內容的方法
+ **身分內容**：使用者的相關資訊
+ **身分增強型 IAM 角色工作階段**：身分增強型角色工作階段具有新增的身分內容，可將使用者識別符帶到其呼叫 AWS 的服務
+ **連線 AWS 服務**：其他可辨識透過受信任身分傳播傳播之身分內容的 AWS 服務

信任的身分傳播可讓連線 AWS 的服務根據使用者的身分做出存取決策。在 Studio 本身內，IAM 角色用作身分內容的攜帶者，而不是用於做出存取控制決策。身分內容會傳播到已連線 AWS 的服務，可用於存取控制和稽核目的。如需詳細資訊，請參閱[受信任身分傳播考量](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations)。

當您使用 Studio 啟用受信任身分傳播，並透過 IAM Identity Center 驗證時，SageMaker AI：
+ 從 IAM Identity Center 擷取使用者的身分內容
+ 建立身分增強的 IAM 角色工作階段，其中包括使用者的身分內容。
+ 當使用者存取 資源時，將身分增強的 IAM 角色工作階段傳遞至相容的 AWS 服務
+ 讓下游 AWS 服務根據使用者身分進行存取決策和日誌活動

## 相容的 SageMaker AI 功能
<a name="trustedidentitypropagation-compatibility-compatible-features"></a>

受信任身分傳播會使用下列 Studio 功能：
+ [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) 私有空間 (JupyterLab 和程式碼編輯器，以 Code-OSS、Visual Studio Code - Open Source 為基礎)

**注意**  
當 Studio 在受信任身分傳播啟用的情況下啟動時，除了您的執行角色許可之外，還會使用您的身分內容。不過，在執行個體設定期間，下列程序只會使用執行角色許可，而不會使用身分內容：生命週期組態、自帶映像、CloudWatch 代理程式進行使用者日誌轉送。
受信任身分傳播目前不支援[遠端存取](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html)。
當您在 Studio 筆記本中使用擔任角色操作時，擔任的角色不會傳播受信任的身分傳播內容。只有原始執行角色會維護身分內容。
+  [SageMaker 訓練](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html) 
+  [SageMaker 處理](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html) 
+  [SageMaker AI 即時託管](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html) 
+  [SageMaker Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) 
+  [SageMaker 即時推論](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html) 
+  [SageMaker 非同步推論](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html) 
+  [受管 MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html) 

## 相容 AWS 服務
<a name="trustedidentitypropagation-compatibility-compatible-services"></a>

Amazon SageMaker Studio 的受信任身分傳播與啟用受信任身分傳播的相容 AWS 服務整合。如需完整清單以及如何啟用受信任身分傳播的範例，請參閱[使用案例](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html)。受信任身分傳播相容服務包括下列項目。
+  [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html) 
+  [EC2 上的 Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html) 
+  [EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html) 
+  [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html) 
+  [Amazon Redshift 資料 API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html) 
+ Amazon S3 (透過 [Amazon S3 存取授權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html)）
+ [AWS Glue 連線](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)

使用 SageMaker AI 啟用受信任身分傳播時，會連接 AWS 具有受信任身分傳播的其他服務。連線後，它們會識別並使用使用者的身分內容進行存取控制和稽核。

## 支援的 AWS 區域
<a name="trustedidentitypropagation-compatibility-supported-regions"></a>

Studio 支援受信任身分傳播，其中[支援 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html)，並支援具有 IAM Identity Center 驗證的 Studio。Studio 支援下列信任的身分傳播 AWS 區域：
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2