Architecture et compatibilité de la propagation d’identité de confiance - Amazon SageMaker AI
Fonctionnalités d' SageMaker IA compatiblesServices AWS compatibles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Architecture et compatibilité de la propagation d’identité de confiance

La propagation d'identité fiable s' AWS IAM Identity Center intègre à Amazon SageMaker Studio et à d'autres AWS services connectés pour propager le contexte d'identité des utilisateurs entre les services. La page suivante résume l'architecture de propagation des identités fiables et la compatibilité avec l' SageMaker IA. Pour une présentation complète du fonctionnement de la propagation des identités fiables AWS, consultez la section Vue d'ensemble de la propagation des identités fiables.

Les principaux composants de l’architecture de propagation d’identité de confiance sont les suivants :

  • Propagation d’identité de confiance : méthodologie de propagation du contexte de l’identité de l’utilisateur entre les applications et les services

  • Contexte d’identité : informations concernant un utilisateur

  • Session de rôle IAM à identité améliorée : les sessions de rôle à identité améliorée ont un contexte d'identité ajouté qui transmet un identifiant utilisateur au service qu'elles appellent AWS

  • AWS Services connectés : autres AWS services capables de reconnaître le contexte d'identité propagé par le biais d'une propagation d'identité fiable

La propagation fiable des identités permet aux AWS services connectés de prendre des décisions d'accès en fonction de l'identité de l'utilisateur. Dans Studio lui-même, les rôles IAM sont utilisés comme vecteurs du contexte d’identité plutôt que pour prendre des décisions de contrôle d’accès. Le contexte d'identité est propagé aux AWS services connectés où il peut être utilisé à la fois à des fins de contrôle d'accès et d'audit. Consultez les considérations relatives à la propagation d’identité de confiance pour plus d’informations.

Lorsque vous activez la propagation d'identité fiable avec Studio et que vous vous authentifiez via IAM Identity Center, SageMaker AI :

  • capture le contexte d’identité de l’utilisateur à partir d’IAM Identity Center ;

  • crée une session de rôle IAM à identité améliorée qui inclut le contexte d’identité de l’utilisateur ;

  • Transmet la session de rôle IAM à identité améliorée aux AWS services compatibles lorsque l'utilisateur accède aux ressources

  • Permet aux AWS services en aval de prendre des décisions d'accès et de consigner les activités en fonction de l'identité de l'utilisateur

Fonctionnalités d' SageMaker IA compatibles

La propagation d’identité de confiance fonctionne avec les fonctionnalités de Studio suivantes :

  • Espaces privés Amazon SageMaker Studio (JupyterLab et éditeur de code, basé sur Code-OSS, Visual Studio Code - Open Source)

Note

  • Lorsque Studio démarre avec la propagation d’identité de confiance activée, il utilise votre contexte d’identité en plus de vos autorisations de rôle d’exécution. Toutefois, les processus suivants lors de la configuration de l'instance utiliseront uniquement les autorisations du rôle d'exécution, sans le contexte d'identité : configuration du cycle de vie Bring-Your-Own-Image, CloudWatch agent de transfert des journaux utilisateur.

  • L’accès à distance n’est actuellement pas pris en charge avec la propagation d’identité de confiance.

  • Lorsque vous utilisez des opérations d'attribution de rôle dans les blocs-notes Studio, les rôles assumés ne propagent pas un contexte de propagation d'identité fiable. Seul le rôle d'exécution d'origine conserve le contexte d'identité.

Services AWS compatibles

La propagation d'identité sécurisée pour Amazon SageMaker Studio s'intègre aux AWS services compatibles, dans lesquels la propagation d'identité fiable est activée. Consultez les cas d’utilisation pour obtenir une liste complète avec des exemples expliquant comment activer la propagation d’identité de confiance. Les services compatibles avec la propagation d’identité de confiance sont les suivants.

Lorsque la propagation d'identité sécurisée est activée avec l' SageMaker IA, chaque autre AWS service avec une propagation d'identité fiable est activé est connecté. Une fois connectés, ils reconnaissent et utilisent le contexte d’identité de l’utilisateur pour le contrôle d’accès et l’audit.

Studio prend en charge la propagation d’identité de confiance quand IAM Identity Center est pris en charge et que Studio avec l’authentification IAM Identity Center est pris en charge. Studio prend en charge la propagation d'identités fiables dans les domaines suivants Régions AWS :

  • af-south-1

  • ap-east-1

  • ap-northeast-1

  • ap-northeast-2

  • ap-northeast-3

  • ap-south-1

  • ap-southeast-1

  • ap-southeast-2

  • ap-southeast-3

  • ca-central-1

  • eu-central-1

  • eu-central-2

  • eu-north-1

  • eu-south-1

  • eu-west-1

  • eu-west-2

  • eu-west-3

  • il-central-1

  • me-south-1

  • sa-east-1

  • us-east-1

  • us-east-2

  • us-west-1

  • us-west-2