Compatibilidad y arquitectura de propagación de identidades de confianza - Amazon SageMaker AI
Funciones de SageMaker IA compatiblesServicios de AWS compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compatibilidad y arquitectura de propagación de identidades de confianza

La propagación de identidad confiable se integra AWS IAM Identity Center con Amazon SageMaker Studio y otros AWS servicios conectados para propagar el contexto de identidad de los usuarios en todos los servicios. En la siguiente página, se resume la arquitectura de propagación de identidades confiable y su compatibilidad con SageMaker la IA. Para obtener una descripción general completa de cómo funciona la propagación de identidades confiables AWS, consulte Descripción general de la propagación de identidades confiables.

Entre los componentes clave de la arquitectura de propagación de identidades de confianza se incluyen:

  • Propagación de identidades de confianza: metodología para propagar el contexto de identidad del usuario entre aplicaciones y servicios.

  • Contexto de identidad: información sobre un usuario.

  • Sesión de rol de IAM con identidad mejorada: las sesiones de rol de IAM con identidad mejorada tienen un contexto de identidad adicional que incluye un identificador de usuario al servicio al que llaman AWS

  • AWS Servicios conectados: otros AWS servicios que pueden reconocer el contexto de identidad que se propaga a través de una propagación de identidad fiable

La propagación fiable de la identidad permite a AWS los servicios conectados tomar decisiones de acceso en función de la identidad del usuario. En el propio Studio, los roles de IAM se utilizan como portadores del contexto de identidad y no para tomar decisiones de control de acceso. El contexto de identidad se propaga a los AWS servicios conectados, donde se puede utilizar tanto con fines de control de acceso como de auditoría. Consulte las trusted identity propagation considerations para obtener más información.

Cuando habilitas la propagación fiable de la identidad con Studio y te autenticas a través del IAM Identity Center, la IA: SageMaker

  • Captura el contexto de identidad del usuario del IAM Identity Center.

  • Crea una sesión de rol de IAM con identidad mejorada que incluye el contexto de identidad del usuario.

  • Transfiere la sesión de rol de IAM con identidad mejorada a AWS servicios compatibles cuando el usuario accede a los recursos

  • Permite que AWS los servicios intermedios tomen decisiones de acceso y registren las actividades en función de la identidad del usuario

Funciones de SageMaker IA compatibles

La propagación de identidades de confianza funciona con las siguientes características de Studio:

  • Espacios privados de Amazon SageMaker Studio (JupyterLab y editor de código, basado en Code-OSS, código de Visual Studio, código abierto)

nota

  • Cuando Studio se lanza con la propagación de identidades de confianza habilitada, utiliza el contexto de su identidad además de los permisos del rol de ejecución. Sin embargo, los siguientes procesos durante la configuración de la instancia solo utilizarán los permisos de la función de ejecución, sin el contexto de identidad: configuración del ciclo de vida Bring-Your-Own-Image, CloudWatch agente para el reenvío de registros de usuarios.

  • En la actualidad, la propagación de identidades de confianza no admite el acceso remoto.

  • Cuando utilizas las operaciones de asumir roles en los cuadernos de Studio, los roles asumidos no propagan un contexto de propagación de identidades confiable. Solo el rol de ejecución original mantiene el contexto de identidad.

Servicios de AWS compatibles

La propagación de identidades de confianza para Amazon SageMaker Studio se integra con AWS los servicios compatibles, en los que está habilitada la propagación de identidades de confianza. Consulte los casos de uso para obtener una lista completa con ejemplos sobre cómo habilitar la propagación de identidades de confianza. Los servicios de propagación de identidades de confianza compatibles son los siguientes.

Cuando la propagación de identidad confiable está habilitada con la SageMaker IA, se conectan todos los demás AWS servicios con la propagación de identidad confiable habilitada. Una vez conectados, reconocen y utilizan el contexto de identidad del usuario para el control de acceso y la auditoría.

Studio admite la propagación de identidades de confianza cuando se admite IAM Identity Center y la autenticación de Studio con IAM Identity Center. Studio admite la propagación de identidades fiables en los siguientes casos Regiones de AWS:

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2