Configura SageMaker Canvas per i tuoi utenti - Amazon SageMaker
Aggiungi l'applicazione SageMaker Canvas a OktaConfigura la federazione degli ID in IAMConfigura SageMaker Canvas in OktaAggiunta di policy opzionali sul controllo degli accessi in IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura SageMaker Canvas per i tuoi utenti

Per configurare Amazon SageMaker Canvas, procedi come segue:

  • Crea un SageMaker dominio Amazon.

  • Crea profili utente per il dominio

  • Configura Okta Single Sign-On (Okta SSO) per i tuoi utenti.

  • Attiva la condivisione dei link per i modelli.

Usa Okta Single-Sign On (Okta SSO) per concedere ai tuoi utenti l'accesso ad Amazon Canvas. SageMaker SageMaker Canvas supporta i metodi SSO SAML 2.0. Le seguenti sezioni spiegano le procedure per configurare Okta SSO.

Per configurare un dominio, consulta Configurazione personalizzata per Amazon SageMaker e segui le istruzioni per configurare il tuo dominio utilizzando l'autenticazione IAM. Puoi utilizzare le informazioni seguenti per completare la procedura nella sezione:

  • Puoi ignorare la fase relativa alla creazione di progetti.

  • Non è necessario fornire l'accesso a ulteriori bucket Amazon S3. I tuoi utenti possono utilizzare il bucket predefinito che forniamo quando creiamo un ruolo.

  • Per concedere ai tuoi utenti l'accesso per condividere notebook con i data scientist, attiva Configurazione della condivisione del notebook.

  • Usa Amazon SageMaker Studio Classic versione 3.19.0 o successiva. Per informazioni sull'aggiornamento di Amazon SageMaker Studio Classic, consultaChiudi e aggiorna SageMaker Studio Classic.

Completa la procedura seguente per configurare Okta. Per tutte le seguenti procedure, dovrai specificare lo stesso ruolo IAM per IAM-role .

Aggiungi l'applicazione SageMaker Canvas a Okta

Configura il metodo Sign-On per Okta.

  1. Accedi al pannello di controllo per amministratori di Okta.

  2. Scegli Aggiungi applicazione. Cerca AWS Federazione account.

  3. Scegli Aggiungi.

  4. Facoltativo: modifica il nome in Amazon SageMaker Canvas.

  5. Seleziona Successivo.

  6. Scegli SAML 2.0 come metodo Sign-On.

  7. Scegli Metadati del provider di identità per aprire il file XML dei metadati. Salva il file localmente.

  8. Seleziona Fatto.

Configura la federazione degli ID in IAM

AWS Identity and Access Management (IAM) è il AWS servizio che usi per accedere al tuo AWS account. Puoi accedere AWS tramite un account IAM.

  1. Accedi alla AWS console.

  2. Scegli AWS Identity and Access Management (IAM).

  3. Scegli Provider di identità.

  4. Scegli Crea provider.

  5. In Configura provider, specifica quanto segue:

  6. Trova il tuo provider di identità in Provider di identità. Copia il valore ARN del provider.

  7. In Ruoli, scegli il ruolo IAM che stai utilizzando per l'accesso SSO a Okta.

  8. In Relazione di attendibilità per il ruolo IAM, scegli Modifica relazione di attendibilità.

  9. Modifica la policy della relazione di attendibilità del ruolo IAM specificando il valore ARN del provider che hai copiato in precedenza e aggiungi la seguente policy:

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

  10. In Autorizzazioni, aggiungi la policy seguente:

    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Configura SageMaker Canvas in Okta

Configura Amazon SageMaker Canvas in Okta utilizzando la seguente procedura.

Per configurare Amazon SageMaker Canvas per l'utilizzo di Okta, segui i passaggi in questa sezione. È necessario specificare nomi utente univoci per ogni SageMakerStudioProfileNamecampo. Ad esempio, puoi utilizzare user.login come valore. Se il nome utente è diverso dal nome del profilo SageMaker Canvas, scegli un attributo identificativo univoco diverso. Ad esempio, puoi utilizzare il numero di un ID dipendente per il nome del profilo.

Per un esempio di valori che è possibile impostare in Attributi, consulta il codice che segue la procedura.

  1. In Directory, scegli Gruppi.

  2. Aggiungi un gruppo come da schema seguente: sagemaker#canvas#IAM-role#AWS-account-id.

  3. In Okta, apri la configurazione dell’integrazione dell'applicazione AWS Federazione account.

  4. Seleziona Accedi per l'applicazione AWS Account Federation.

  5. Scegli Modifica e specifica quanto segue:

    • SAML 2.0

    • Stato di inoltro predefinito: https://Region .console.aws.amazon.com/sagemaker/home? region= Region #/studio/canvas/open/. StudioId Puoi trovare lo Studio Classic ID nella console: https://console.aws.amazon.com/sagemaker/

  6. Scegli Attributi.

  7. Nei SageMakerStudioProfileNamecampi, specifica valori univoci per ogni nome utente. I nomi utente devono corrispondere ai nomi utente che hai creato nella console AWS .

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. Seleziona Tipo di ambiente. Scegli Normale AWS.

    • Se il tuo tipo di ambiente non è presente nell’elenco, puoi impostare il tuo URL ACS nel campo URL ACS. Se il tipo di ambiente è presente nell’elenco, non devi inserire il tuo URL ACS

  9. In ARN del provider di identità, specifica l'ARN utilizzato nella fase 6 della procedura precedente.

  10. Specifica una durata della sessione.

  11. Scegli Collega tutti i ruoli.

  12. Attiva Usa la mappatura dei gruppi specificando i seguenti campi:

    • Filtro dell’app: okta

    • Filtro del gruppo: ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • Modello del valore del ruolo: arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. Scegli Salva/Successivo.

  14. In Assegnazioni, assegna l'applicazione al gruppo che hai creato.

Aggiunta di policy opzionali sul controllo degli accessi in IAM

In IAM, puoi applicare la seguente policy all'utente amministratore che crea i profili utente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Se scegli di aggiungere la policy precedente all'utente amministratore, devi utilizzare le seguenti autorizzazioni da Configura la federazione degli ID in IAM.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}