Architektur und Kompatibilität der Weitergabe vertrauenswürdiger Identitäten - Amazon SageMaker KI
Kompatible SageMaker KI-FunktionenKompatible AWS -Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Architektur und Kompatibilität der Weitergabe vertrauenswürdiger Identitäten

Trusted Identity Propagation lässt AWS IAM Identity Center sich in Amazon SageMaker Studio und andere verbundene AWS Dienste integrieren, um den Identitätskontext der Benutzer dienstübergreifend zu verbreiten. Auf der folgenden Seite werden die Architektur der vertrauenswürdigen Identitätsverbreitung und die Kompatibilität mit SageMaker KI zusammengefasst. Einen umfassenden Überblick darüber, wie Trusted Identity Propagation funktioniert AWS, finden Sie unter Trusted Identity Propagation (Übersicht).

Zu den wichtigsten Komponenten der Architektur der Weitergabe vertrauenswürdiger Identitäten gehören:

  • Weitergabe vertrauenswürdiger Identitäten: Eine Methode zur Weitergabe des Identitätskontextes eines Benutzers zwischen Anwendungen und Services

  • Identitätskontext: Informationen über einen Benutzer

  • IAM-Rollensitzung mit erweiterter Identität: Rollensitzungen mit erweiterter Identität verfügen über einen zusätzlichen Identitätskontext, der dem aufgerufenen Dienst eine Benutzerkennung übermittelt AWS

  • Verbundene AWS Dienste: Andere AWS Dienste, die den Identitätskontext erkennen können, der durch vertrauenswürdige Identitätsverbreitung verbreitet wird

Die Verbreitung vertrauenswürdiger Identitäten ermöglicht es verbundenen AWS Diensten, Zugriffsentscheidungen auf der Grundlage der Identität eines Benutzers zu treffen. In Studio selbst werden IAM-Rollen eher als Träger des Identitätskontextes als für Entscheidungen zur Zugriffskontrolle verwendet. Der Identitätskontext wird an verbundene AWS Dienste weitergegeben, wo er sowohl für Zugriffskontroll- als auch für Prüfzwecke verwendet werden kann. Weitere Informationen finden Sie unter Überlegungen zur Weitergabe vertrauenswürdiger Identitäten.

Wenn Sie die Verbreitung vertrauenswürdiger Identitäten mit Studio aktivieren und sich über IAM Identity Center authentifizieren, gilt Folgendes: SageMaker

  • Erfasst den Identitätskontext des Benutzers aus dem IAM Identity Center

  • Erstellt eine IAM-Rollensitzung mit verbesserter Identität, die den Identitätskontext des Benutzers beinhaltet

  • Leitet die IAM-Rollensitzung mit erweiterter Identität an kompatible AWS Dienste weiter, wenn der Benutzer auf Ressourcen zugreift

  • Ermöglicht nachgelagerten AWS Diensten, Zugriffsentscheidungen zu treffen und Aktivitäten auf der Grundlage der Benutzeridentität zu protokollieren

Kompatible SageMaker KI-Funktionen

Die Weitergabe vertrauenswürdiger Identitäten funktioniert mit den folgenden Studio-Features:

  • Private Bereiche in Amazon SageMaker Studio (JupyterLab und Code-Editor, basierend auf Code-OSS, Visual Studio Code — Open Source)

Anmerkung

  • Wenn Studio mit aktivierter Weitergabe vertrauenswürdiger Identitäten gestartet wird, verwendet es zusätzlich zu Ihren Ausführungsrollenberechtigungen Ihren Identitätskontext. Die folgenden Prozesse während der Instance-Einrichtung verwenden jedoch nur die Berechtigungen der Ausführungsrolle ohne den Identitätskontext: Lebenszykluskonfiguration Bring-Your-Own-Image, CloudWatch Agent für die Weiterleitung von Benutzerprotokollen.

  • Der Remotezugriff wird derzeit bei der Weitergabe vertrauenswürdiger Identitäten nicht unterstützt.

  • Wenn Sie Operationen zum Übernehmen von Rollen in Studio-Notebooks verwenden, geben die übernommenen Rollen keinen vertrauenswürdigen Identitätsverbreitungskontext weiter. Nur die ursprüngliche Ausführungsrolle behält den Identitätskontext bei.

Kompatible AWS -Services

Trusted Identity Propagation für Amazon SageMaker Studio lässt sich in kompatible AWS Dienste integrieren, bei denen die Weitergabe vertrauenswürdiger Identitäten aktiviert ist. Eine umfassende Liste mit Beispielen zur Aktivierung der Weitergabe vertrauenswürdiger Identitäten finden Sie unter Anwendungsfälle. Zu den mit der Weitergabe vertrauenswürdiger Identitäten kompatiblen Services gehören die folgenden.

Wenn die Verbreitung vertrauenswürdiger Identitäten mit SageMaker KI aktiviert ist, ist jeder andere AWS Dienst mit aktivierter vertrauenswürdiger Identitätsverbreitung verbunden. Sobald sie verbunden sind, erkennen sie den Identitätskontext des Benutzers und verwenden ihn für die Zugriffskontrolle und Prüfung.

Studio unterstützt die Weitergabe vertrauenswürdiger Identitäten, sofern IAM Identity Center und Studio mit Authentifizierung von IAM Identity Center unterstützt werden. Studio unterstützt die Verbreitung vertrauenswürdiger Identitäten in den folgenden Bereichen AWS-Regionen:

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2