关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， 生成式AI， Amazon Identity Center， User-Aware Data Access， Trusted Identity Propagation， Identity Provider Integration， Generative Ai Personalization， Data Analytics Applications]

在这个演示密集的会议中，探索亚马逊云科技和NVIDIA如何合作革新了员工对前沿生成式AI应用和分析工具的访问。了解IAM Identity Center如何与各种身份提供商无缝集成，包括NVIDIA的定制解决方案；NVIDIA如何使用IAM Identity Center实现对敏感数据的精细化、以用户为中心的访问；以及这种合作如何帮助员工用户访问诸如Amazon Redshift等分析工具。观看关于身份感知亚马逊云科技体验的演示，重点介绍实施细粒度数据访问权限的最佳实践。

以下是小编为您整理的本次演讲的精华。

通往更加用户感知的亚马逊云科技环境的旅程源于这样一种认识:随着亚马逊云科技推出了更高级别的数据分析工具，对增强用户感知的需求也日益增长。这意味着要确保每个用户都保留自己的身份，根据他们的身份和群组成员资格授予访问控制权限，并提供个性化体验。“用户感知亚马逊云科技”的概念由此应运而生，企业目录作为身份提供商与之相连，从而根据用户身份和群组成员资格授予数据访问权限。

亚马逊云科技身份部门的主管Bridget Johnson解释说，创建用户感知亚马逊云科技环境的关键因素包括企业目录、带有数据分析服务的亚马逊云科技环境以及员工应用程序。启用用户感知亚马逊云科技需要三个关键步骤:1)使用亚马逊云科技身份和访问管理(IAM)身份中心将企业目录连接到亚马逊云科技;2)基于身份指定数据访问控制，实现可信身份传播;3)通过个性化增强应用程序。

Bridget强调了使用IAM身份中心将员工连接到亚马逊云科技的重要性，并概述了其功能。这包括创建用户存储、同步用户和组以及启用对亚马逊云科技托管应用程序的访问。她阐明，虽然身份中心提供了其他功能，如本地身份存储、权限集和账户访问，但客户无需利用所有这些功能;主要目标是将企业目录连接到亚马逊云科技。

NVIDIA的解决方案架构师Shamone分享了他们在6周内为敏感数据治理在亚马逊云科技上实现用户感知数据访问的经验。NVIDIA的Blackwell架构是世界上最大的GPU，在单个GPU中集成了2070亿个晶体管，实现了有史以来最快的计算能力，FLOPS(每秒浮点运算次数)提高了20%。NVIDIA GD200是一个单机架上的超级计算机，结合了72个Blackwell GPU和36个Grace CPU，能够将36个GD200组合成高性能计算集群来运行工作负载。在NVIDIA高度复杂的产品背后，是一个同样复杂的数据平台，处理数亿个文件、数十亿条记录和数百个关系型环境中的表格，为从产品开发到运营的团队提供支持。

NVIDIA将Azure Active Directory作为身份提供商与亚马逊云科技 IAM身份中心集成，为Amazon Redshift配置单点登录，并利用Active Directory组在Redshift中设置基于角色的访问权限。这种自动化的访问权限配置方法消除了硬编码凭证的需求，重复使用了现有身份，降低了管理和运营成本，大大提高了安全性。实施过程在4周内完成，提前2周完成了6周的时间表。NVIDIA带领用户踏上了这段旅程，提供了全面的信息，介绍如何设置Python、DBeaver、Data Grip和SageMaker等各种工具连接到Redshift，以及如何处理Redshift上的敏感数据的工作说明。

在未来的路线图中，NVIDIA计划为ETL(提取、转换、加载)过程采用类似的单点登录和基于角色的访问解决方案，目前这一功能尚不支持，但亚马逊云科技正在开发中。此外，他们还在运行作业来评估新数据集是敏感还是非敏感数据，从而为敏感数据访问提供特定的角色。

Bridget深入探讨了技术实施细节，解释了服务如何获取用户感知凭证，可以是身份中心令牌或带有用户上下文的IAM角色。服务会验证用户会话、确定用户和组详细信息、定义访问控制、记录访问情况，并使用可信身份传播将身份传播到数据服务。这确保了用户身份(如演示中的“Pickles”)在整个数据访问过程中得到一致的识别和遵守。

演示展示了三个关键方面:

1)基于组成员资格，用户“Pickles”可以根据分配的权限访问和查询Amazon Redshift中的本地数据，包括能够穿毯子、戴凉帽和农民裤。

2)从Amazon Redshift到Amazon Lake Formation的可信身份传播，使Pickles能够在整个过程中保持身份，访问联合表。Pickles可以查看和查询马饲料，但被拒绝访问人类食品，因为权限不足。CloudTrail日志捕获了这些访问事件，显示成功访问了马饲料表，但尝试访问人类食品表失败。

3)利用Amazon QuickSight for Business为Pickles提供个性化体验，允许他查询有权访问的数据，如有关香味饼干等马饲料的信息，但限制访问未经授权的信息，如冰淇淋和糖果玉米的详细信息，因为这些信息未包含在数据集中。

Bridget强调将数据分析和生成式AI应用程序(如QuickSight)连接到IAM身份中心的重要性，使用可信身份传播确保一致的用户感知，为第三方应用程序创建可信令牌颁发者，利用CloudTrail和服务日志进行审计，并及时了解不断扩展的用户感知亚马逊云科技功能。

演讲的主要要点包括:

1)将身份提供商连接到IAM身份中心，以启用用户感知数据访问和Amazon QuickSight的个性化体验。 2)将数据分析和生成式AI应用程序连接到身份中心，确保用户感知。 3)利用可信身份传播在各服务之间保持一致的用户身份。 4)为第三方应用程序创建可信令牌颁发者，促进安全集成。 5)利用CloudTrail和服务日志进行数据访问审计。 6)持续关注用户感知亚马逊云科技功能的不断扩展，因为这是一个持续的旅程。

Bridget承认，实现用户感知亚马逊云科技是一个持续的旅程，亚马逊云科技将继续在这一领域增强和扩展其功能。她鼓励与会者填写调查问卷并提供反馈，因为她会阅读每一条评论，以改进未来活动的内容和演示。

下面是一些演讲现场的精彩瞬间：

确保您的员工在亚马逊云科技服务中获得一致的访问控制和身份管理对于安全运营至关重要。

演讲者概述了本次会议的议程，涵盖了面向用户的亚马逊云科技、企业目录集成、现场演示以及对凭证、令牌和身份提供商的深入探讨。

亚马逊云科技正朝着更加面向用户的云基础设施迈进，使高级工具和托管应用程序能够满足不同用户的需求。

亚马逊云科技首席执行官推出了一个面向用户的亚马逊云科技平台，该平台利用企业目录、基于身份的数据访问控制以及由生成式人工智能驱动的个性化应用程序。

亚马逊云科技身份中心与现有身份提供商无缝集成，允许组织集中管理用户和组，同时利用亚马逊云科技服务。

在2024年亚马逊云科技 re:Invent的现场演示中，管理员Bridget展示了身份中心实例及其设置，包括基于SAML的连接外部身份提供商。

演讲者对不断扩展和更新他们获胜的旅程感到兴奋，并计划在未来的亚马逊云科技活动(如re:Inforce)上分享。

在这场精彩的会议中，亚马逊云科技身份部门的主管Bridget Johnson和NVIDIA的解决方案架构师Shamone深入探讨了用户感知亚马逊云科技环境的概念。他们演示了如何将企业目录连接到亚马逊云科技身份中心，从而实现用户感知的数据访问和个性化，涵盖了Redshift、Lake Formation和Amazon QuickSight等各种服务。会议强调了可信身份传播的重要性，确保在整个数据分析管道中始终识别用户身份并遵守访问控制。

Shamone分享了NVIDIA在亚马逊云科技上实施用户感知数据平台的历程，利用身份中心简化访问管理、增强安全性并自动化供应流程。会议还探讨了将生成式人工智能与Amazon QuickSight for Business相集成，展示了如何根据数据访问权限传播用户身份，从而个性化聊天机器人体验。

重点内容包括: 1. 将企业目录连接到亚马逊云科技身份中心，实现用户感知的数据访问和个性化。 2. 将数据分析和生成式人工智能应用程序连接到身份中心，实现无缝的用户身份传播。 3. 利用可信身份传播，确保跨服务的一致用户识别。 4. 创建可信令牌发行者，促进与第三方应用程序的安全集成。 5. 利用CloudTrail和服务日志，审计和跟踪用户的数据访问情况。

会议强调了通往更加用户感知的亚马逊云科技的持续旅程，计划不断增强和扩展，为各种服务和应用程序提供全面和安全的以用户为中心的体验。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。