可信身份传播架构和兼容性 - 亚马逊 SageMaker AI
兼容的 SageMaker AI 功能可兼容的 Amazon 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可信身份传播架构和兼容性

可信身份传播Amazon IAM Identity Center与 Amazon SageMaker Studio 和其他关联Amazon服务集成,可跨服务传播用户的身份上下文。下一页总结了可信身份传播架构以及与 SageMaker AI 的兼容性。有关可信身份传播工作原理的全面概述Amazon,请参阅可信身份传播概述

可信身份传播架构的关键组件包括:

  • 可信身份传播:一种在应用程序和服务之间传播用户身份上下文的方法

  • 身份上下文:有关用户的信息

  • 身份增强型 IAM 角色会话:身份增强型角色会话添加了身份上下文,该上下文将用户标识符传递给它所Amazon调用的服务

  • 互联Amazon服务:可以识别通过可信身份传播传播传播的身份上下文的其他Amazon服务

可信身份传播允许互联Amazon服务根据用户的身份做出访问决策。在 Studio 内部,IAM 角色用作身份上下文的载体,而不是用于做出访问控制决策。身份上下文会传播到连接的Amazon服务,在这些服务中,它既可以用于访问控制,也可以用于审计目的。有关更多信息,请参阅可信身份传播注意事项

当您使用 Studio 启用可信身份传播并通过 IAM 身份中心进行身份验证时,A SageMaker I:

  • 从 IAM Identity Center 捕获用户身份上下文

  • 创建包含用户身份上下文的身份增强型 IAM 角色会话

  • 当用户访问资源时,将身份增强型 IAM 角色会话传递给兼容的Amazon服务

  • 使下游Amazon服务能够根据用户身份做出访问决策和记录活动

兼容的 SageMaker AI 功能

可信身份传播可与以下 Studio 功能结合使用:

  • Amazon SageMaker Studio 私有空间(JupyterLab 以及基于代码操作系统的代码编辑器、Visual Studio 代码——开源)

注意

  • 当 Studio 启动并启用可信身份传播时,它不仅会使用您的执行角色权限,还会使用您的身份上下文。但是,在实例设置期间,以下流程将仅使用执行角色权限,而不使用身份上下文:生命周期配置 Bring-Your-Own-Image、用于用户日志转发的 CloudWatch 代理。

  • 可信身份传播目前不支持远程访问

  • 当您在 Studio 笔记本中使用代入角色操作时,代入的角色不会传播可信身份传播上下文。只有原始执行角色才能维护身份上下文。

可兼容的 Amazon 服务

Amazon SageMaker Studio 的可信身份传播与支持可信身份传播的兼容Amazon服务集成。有关如何启用可信身份传播的示例的完整列表,请参阅使用案例。与可信身份传播兼容的服务如下所示。

当通过 SageMaker AI 启用可信身份传播时,启用了可信身份传播的彼此Amazon服务就会相互连接。这些服务连接后,会识别并使用用户身份上下文来进行访问控制和审计。

支持 IAM Identity Center 且支持使用 IAM Identity Center 身份验证的 Studio 的环境中,Studio 支持可信身份传播。Studio 支持以下方面的可信身份传播Amazon Web Services 区域:

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2