Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configurez SageMaker Canvas pour vos utilisateurs

PDF
RSS
Mode de mise au point
Configurez SageMaker Canvas pour vos utilisateurs - Amazon SageMaker AI
Ajoutez l'application SageMaker Canvas à OktaConfigurer la fédération d'ID dans IAMConfigurer SageMaker Canvas dans OktaAjouter des politiques facultatives sur le contrôle d'accès dans IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour configurer Amazon SageMaker Canvas, procédez comme suit :

  • Créez un domaine Amazon SageMaker AI.

  • Création de profils utilisateur pour le domaine

  • Configurez l'authentification unique Okta (Okta SSO) pour vos utilisateurs.

  • Activez le partage de liens pour les modèles.

Utilisez Okta Single-Sign On (Okta SSO) pour autoriser vos utilisateurs à accéder à Amazon Canvas. SageMaker SageMaker Canvas prend en charge les méthodes SSO SAML 2.0. Les sections suivantes vous guident à travers les procédures de configuration SSO Okta.

Pour configurer un domaine, consultez Utiliser une configuration personnalisée pour Amazon SageMaker AI et suivez les instructions de configuration de votre domaine à l'aide de l'authentification IAM. Vous pouvez suivre ces conseils pour terminer la procédure dans la section :

  • Vous pouvez ignorer l'étape concernant la création de projets.

  • Vous n'avez pas besoin de fournir l'accès à d'autres compartiments Amazon S3. Vos utilisateurs peuvent utiliser le compartiment par défaut que nous fournissons lorsque nous créons un rôle.

  • Pour donner à vos utilisateurs la possibilité de partager leurs blocs-notes avec des scientifiques des données, activez Notebook Sharing Configuration (Configuration du partage de bloc-notes).

  • Utilisez Amazon SageMaker Studio Classic version 3.19.0 ou ultérieure. Pour plus d'informations sur la mise à jour d'Amazon SageMaker Studio Classic, consultezArrêter et mettre à jour SageMaker Studio Classic.

Suivez la procédure ci-dessous pour configurer Okta. Pour toutes les procédures suivantes, vous spécifiez le même rôle IAM pour IAM-role.

Ajoutez l'application SageMaker Canvas à Okta

Configurez la méthode d'authentification pour Okta.

  1. Connectez-vous au tableau de bord d'administration d'Okta.

  2. Choisissez Add application (Ajouter une application). Recherchez AWS Account Federation.

  3. Choisissez Ajouter.

  4. Facultatif : remplacez le nom par Amazon SageMaker Canvas.

  5. Choisissez Suivant.

  6. Pour SAML 2.0, choisissez la méthode Sign-On (Authentification).

  7. Choisissez Identify Provider Metadata (Identifier les médatonnées du fournisseur) pour ouvrir le fichier XML de métadonnées. Enregistrez le fichier au niveau local.

  8. Sélectionnez Exécuté.

Configurer la fédération d'ID dans IAM

AWS Identity and Access Management (IAM) est le AWS service que vous utilisez pour accéder à votre AWS compte. Vous pouvez y accéder AWS via un compte IAM.

  1. Connectez-vous à la AWS console.

  2. Choisissez AWS Identity and Access Management (IAM).

  3. Choisissez Identity Providers (Fournisseurs d'identité).

  4. Choisissez Create provider (Créer un fournisseur).

  5. Pour Configure Provider (Configurer le fournisseur), spécifiez les paramètres suivants :

    • Provider Type (Type de fournisseur) : dans la liste déroulante, choisissez SAML.

    • Provider Name (Nom du fournisseur) – Spécifiez Okta.

    • Metadata Document (Document de métadonnées) – Chargez le document XML que vous avez enregistré localement à l'étape 7 de Ajoutez l'application SageMaker Canvas à Okta.

  6. Trouvez votre fournisseur d'identité sous Identity Providers (Fournisseurs d'identité). Copiez sa valeur ARN Provider (ARN fournisseur).

  7. Pour Roles (Rôles), choisissez le rôle IAM que vous utilisez pour accéder à l'authentification unique Okta.

  8. Sous Trust Relationship (Relation d'approbation) pour le rôle IAM, choisissez Edit Trust Relationship (Modifier la relation d'approbation).

  9. Modifiez la politique de relation d'approbation IAM en spécifiant la Provider ARN (ARN fournisseur) que vous avez copiée et ajoutez la politique suivante :

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

  10. Pour Permissions (Autorisation), ajoutez la politique suivante :

    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Configurer SageMaker Canvas dans Okta

Configurez Amazon SageMaker Canvas dans Okta en suivant la procédure suivante.

Pour configurer Amazon SageMaker Canvas afin d'utiliser Okta, suivez les étapes décrites dans cette section. Vous devez spécifier des noms d'utilisateur uniques pour chaque SageMakerStudioProfileNamechamp. Par exemple, vous pouvez utiliser user.login en tant que valeur. Si le nom d'utilisateur est différent du nom du profil SageMaker Canvas, choisissez un autre attribut d'identification unique. Par exemple, vous pouvez utiliser l'ID d'un employé comme nom de profil.

Pour obtenir un exemple de valeurs que vous pouvez définir pour Attributes (Attributs), veuillez consulter le code suivant la procédure.

  1. Sous Directory (Répertoire), choisissez Groups (Groupes).

  2. Ajoutez un groupe avec le modèle suivant : sagemaker#canvas#IAM-role#AWS-account-id.

  3. Dans Okta, ouvrez la configuration d'intégration d'application AWS Account Federation.

  4. Sélectionnez Se connecter pour l'application AWS Account Federation.

  5. Choisissez Edit (Modifier) et spécifiez les paramètres suivants :

    • SAML 2.0

    • État du relais par défaut — https ://Region.console.aws.amazon. com/sagemaker/home? région= Region #//studio/canvas/open. StudioId Vous pouvez trouver l'identifiant Studio Classic dans la console : https://console.aws.amazon.com/sagemaker/

  6. Choisissez Attributes (Attributs).

  7. Dans les SageMakerStudioProfileNamechamps, spécifiez des valeurs uniques pour chaque nom d'utilisateur. Les noms d'utilisateur doivent correspondre aux noms d'utilisateur que vous avez créés dans la console AWS .

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. Sélectionnez Environment Type (Type d'environnement). Choisissez Regular AWS ( AWS classique).

    • Si votre type d'environnement ne figure pas dans la liste, vous pouvez définir votre URL ACS dans le champ ACS URL (URL ACS). Si votre type d'environnement est répertorié, vous n'avez pas besoin de saisir votre URL ACS.

  9. Pour Identity Provider ARN (ARN du fournisseur d'identité), spécifiez l'ARN que vous avez utilisé à l'étape 6 de la procédure précédente.

  10. Spécifiez une Session Duration (Durée de la session).

  11. Choisissez Join all roles (Joindre tous les rôles).

  12. Activez Use Group Mapping (Utiliser le mappage de groupe) en spécifiant les champs suivants :

    • App Filter (Filtre d'application) – okta

    • Group Filter (Filtre de groupe) – ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • Role Value Pattern (Modèle de valeur de rôle) – arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. Choisissez Save/Next (Enregistrer/Suivant).

  14. Sous Assignments (Affectations), attribuez l'application au groupe que vous avez créé.

Ajouter des politiques facultatives sur le contrôle d'accès dans IAM

Dans IAM, vous pouvez appliquer la politique suivante à l'utilisateur administrateur qui crée les profils utilisateur.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Si vous choisissez d'ajouter la politique précédente à l'utilisateur administrateur, vous devez utiliser les autorisations suivantes à partir de Configurer la fédération d'ID dans IAM.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}

Sur cette page

Related resources

Amazon SageMaker AI Référence d'API
AWS CLI commandes pour Amazon SageMaker AI
SDKs et outils 

Related resources

Amazon SageMaker AI Référence d'API
AWS CLI commandes pour Amazon SageMaker AI
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.