Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

为 Studio 设置可信身份传播

为 Amazon SageMaker Studio 设置可信身份传播需要您的 Amazon A SageMaker I 域配置 IAM 身份中心身份验证方法。此部分将指导您完成为 Studio 用户启用和配置可信身份传播所需的先决条件和步骤。

先决条件

在为 SageMaker AI 设置可信身份传播之前，请按照以下说明设置您的 IAM 身份中心。

为您的 Amazon A SageMaker I 域启用可信身份传播

通过下列选项之一来了解如何为新域或现有域启用可信身份传播。

New domain - console

使用 SageMaker AI 控制台为新域启用可信身份传播

1. 打开亚马逊 A SageMaker I 控制台。

2. 导航到域。

3. 创建自定义域。该域必须已配置 Amazon IAM Identity Center 身份验证方法。

4. 在可信身份传播部分，选择为该域上的所有用户启用可信身份传播。

5. 完成自定义创建过程。

Existing domain - console

使用 SageMaker AI 控制台为现有域启用可信身份传播

注意

为了在为现有域启用可信身份传播后正常运行，用户需要重新启动其现有的 IAM Identity Center 会话。要做到这一点，可以：

• 用户需要注销并重新登录其现有的 IAM 身份中心会话

• 管理员可以结束员工用户的活动会话。

1. 打开亚马逊 A SageMaker I 控制台。

2. 导航到域。

3. 选择现有域。该域必须已配置 Amazon IAM Identity Center 身份验证方法。

4. 在域设置选项卡中，选择身份验证和权限部分中的编辑。

5. 选择为该域上的所有用户启用可信身份传播。

6. 完成域配置。

Existing domain -Amazon CLI

使用为现有域启用可信身份传播 Amazon CLI

注意

为了在为现有域启用可信身份传播后正常运行，用户需要重新启动其现有的 IAM Identity Center 会话。要做到这一点，可以：

• 用户需要注销并重新登录其现有的 IAM 身份中心会话

• 管理员可以结束员工用户的活动会话。

aws sagemaker update-domain \
    --region $REGION \
    --domain-id $DOMAIN_ID \
    --domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"

• DOMAIN_ID是亚马逊 A SageMaker I 域名 ID。有关更多信息，请参阅查看域。

• REGION是你Amazon Web Services 区域的 Amazon A SageMaker I 域名。你可以在任何Amazon主机页面的右上角找到它。

配置你的 SageMaker AI 执行角色

要为 Studio 用户启用可信身份传播，所有可信身份传播角色都需要设置以下上下文权限。更新所有角色的信任策略以包含 sts:AssumeRole 和 sts:SetContext 操作。更新角色信任策略时，请使用以下策略。

JSON

{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}