Configurez SageMaker Canvas pour vos utilisateurs - Amazon SageMaker
Ajoutez l'application SageMaker Canvas à OktaConfigurer la fédération d'identifiants dans IAMConfigurer SageMaker Canvas dans OktaAjoutez des politiques facultatives sur le contrôle d'accès dans IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez SageMaker Canvas pour vos utilisateurs

Pour configurer Amazon SageMaker Canvas, procédez comme suit :

  • Créez un SageMaker domaine Amazon.

  • Création de profils utilisateur pour le domaine

  • Configurez Okta Single Sign On (OktaSSO) pour vos utilisateurs.

  • Activez le partage de liens pour les modèles.

Utilisez Okta Single-Sign On (OktaSSO) pour autoriser vos utilisateurs à accéder à Amazon Canvas. SageMaker SageMaker Canvas prend en charge SSO les méthodes SAML 2.0. Les sections suivantes vous guident dans les procédures de configuration d'OktaSSO.

Pour configurer un domaine, consultez Configuration personnalisée pour Amazon SageMaker et suivez les instructions de configuration de votre domaine à l'aide de l'IAMauthentification. Vous pouvez suivre ces conseils pour terminer la procédure dans la section :

  • Vous pouvez ignorer l'étape concernant la création de projets.

  • Vous n'avez pas besoin de fournir l'accès à d'autres compartiments Amazon S3. Vos utilisateurs peuvent utiliser le compartiment par défaut que nous fournissons lorsque nous créons un rôle.

  • Pour donner à vos utilisateurs la possibilité de partager leurs blocs-notes avec des scientifiques des données, activez Notebook Sharing Configuration (Configuration du partage de bloc-notes).

  • Utilisez Amazon SageMaker Studio Classic version 3.19.0 ou ultérieure. Pour plus d'informations sur la mise à jour d'Amazon SageMaker Studio Classic, consultezArrêter et mettre à jour SageMaker Studio Classic.

Suivez la procédure ci-dessous pour configurer Okta. Pour toutes les procédures suivantes, vous spécifiez le même IAM rôle pourIAM-role.

Ajoutez l'application SageMaker Canvas à Okta

Configurez la méthode d'authentification pour Okta.

  1. Connectez-vous au tableau de bord d'administration d'Okta.

  2. Choisissez Add application (Ajouter une application). Rechercher pour AWS Fédération de comptes.

  3. Choisissez Ajouter.

  4. Facultatif : remplacez le nom par Amazon SageMaker Canvas.

  5. Choisissez Suivant.

  6. Choisissez SAML2.0 comme méthode de connexion.

  7. Choisissez Identity Provider Metadata pour ouvrir le XML fichier de métadonnées. Enregistrez le fichier au niveau local.

  8. Sélectionnez Exécuté.

Configurer la fédération d'identifiants dans IAM

AWS Identity and Access Management (IAM) est le AWS service que vous utilisez pour accéder à votre AWS . Vous avez accès à AWS par le biais d'un IAM compte.

  1. Connectez-vous au AWS console.

  2. Choisissez AWS Identity and Access Management (IAM).

  3. Choisissez Identity Providers (Fournisseurs d'identité).

  4. Choisissez Create provider (Créer un fournisseur).

  5. Pour Configure Provider (Configurer le fournisseur), spécifiez les paramètres suivants :

    • Type de fournisseur : dans la liste déroulante, sélectionnez SAML.

    • Provider Name (Nom du fournisseur) – Spécifiez Okta.

    • Document de métadonnées : téléchargez le XML document que vous avez enregistré localement à l'étape 7 deAjoutez l'application SageMaker Canvas à Okta.

  6. Trouvez votre fournisseur d'identité sous Identity Providers (Fournisseurs d'identité). Copiez sa ARN valeur de fournisseur.

  7. Pour Rôles, choisissez le IAM rôle que vous utilisez pour SSO accéder à Okta.

  8. Sous Relation de confiance pour le IAM rôle, choisissez Modifier la relation de confiance.

  9. Modifiez la politique de relation de IAM confiance en spécifiant la ARN valeur du fournisseur que vous avez copiée et ajoutez la politique suivante :

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

  10. Pour Permissions (Autorisation), ajoutez la politique suivante :

    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Configurer SageMaker Canvas dans Okta

Configurez Amazon SageMaker Canvas dans Okta en suivant la procédure suivante.

Pour configurer Amazon SageMaker Canvas afin d'utiliser Okta, suivez les étapes décrites dans cette section. Vous devez spécifier des noms d'utilisateur uniques pour chaque SageMakerStudioProfileNamechamp. Par exemple, vous pouvez utiliser user.login en tant que valeur. Si le nom d'utilisateur est différent du nom du profil SageMaker Canvas, choisissez un autre attribut d'identification unique. Par exemple, vous pouvez utiliser l'ID d'un employé comme nom de profil.

Pour obtenir un exemple de valeurs que vous pouvez définir pour Attributes (Attributs), veuillez consulter le code suivant la procédure.

  1. Sous Directory (Répertoire), choisissez Groups (Groupes).

  2. Ajoutez un groupe avec le modèle suivant : sagemaker#canvas#IAM-role#AWS-account-id.

  3. Dans Okta, ouvrez le AWS Configuration de l'intégration de l'application Account Federation.

  4. Sélectionnez Se connecter pour AWS Application de fédération de comptes.

  5. Choisissez Edit (Modifier) et spécifiez les paramètres suivants :

    • SAML2,0

    • État du relais par défaut — https ://Region.console.aws.amazon.com/sagemaker/home ? region=Region#/studio/toile/ouvert/StudioId. Vous pouvez trouver l'identifiant Studio Classic dans la console : https://console.aws.amazon.com/sagemaker/

  6. Choisissez Attributes (Attributs).

  7. Dans les SageMakerStudioProfileNamechamps, spécifiez des valeurs uniques pour chaque nom d'utilisateur. Les noms d'utilisateur doivent correspondre aux noms d'utilisateur que vous avez créés dans AWS console.

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. Sélectionnez Environment Type (Type d'environnement). Choisissez Regular AWS.

    • Si votre type d'environnement n'est pas répertorié, vous pouvez le définir ACS URL dans le ACSURLchamp. Si votre type d'environnement est répertorié, vous n'avez pas besoin de saisir votre ACS URL

  9. Pour le fournisseur d'identité ARN, spécifiez celui ARN que vous avez utilisé à l'étape 6 de la procédure précédente.

  10. Spécifiez une Session Duration (Durée de la session).

  11. Choisissez Join all roles (Joindre tous les rôles).

  12. Activez Use Group Mapping (Utiliser le mappage de groupe) en spécifiant les champs suivants :

    • App Filter (Filtre d'application) – okta

    • Group Filter (Filtre de groupe) – ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • Role Value Pattern (Modèle de valeur de rôle) – arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. Choisissez Save/Next (Enregistrer/Suivant).

  14. Sous Assignments (Affectations), attribuez l'application au groupe que vous avez créé.

Ajoutez des politiques facultatives sur le contrôle d'accès dans IAM

DansIAM, vous pouvez appliquer la politique suivante à l'utilisateur administrateur qui crée les profils utilisateur.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Si vous choisissez d'ajouter la politique précédente à l'utilisateur administrateur, vous devez utiliser les autorisations suivantes à partir de Configurer la fédération d'identifiants dans IAM.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}