翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ユーザー用に SageMaker Canvas を設定する
Amazon Canvas SageMaker を設定するには、次の手順を実行します。
-
Amazon SageMaker ドメインを作成します。
-
ドメインのユーザープロファイルを作成する
-
ユーザーの Okta Single Sign On (Okta SSO) を設定する。
-
モデルのリンク共有を有効にします。
Okta Single-Sign On (Okta SSO) を使用して、ユーザーに Amazon SageMaker Canvas へのアクセスを許可します。 SageMaker Canvas は SAML 2.0 SSO メソッドをサポートしています。以下のセクションでは、Okta SSO の設定手順について説明します。
ドメインを設定するには、「」を参照Amazon へのカスタムセットアップ SageMakerし、IAM 認証を使用してドメインを設定する手順に従ってください。以下は、このセクションの手順を実行する際に役立つ情報です。
-
プロジェクトの作成に関する手順は無視できます。
-
追加の Amazon S3 バケットへのアクセス権を提供する必要はありません。ユーザーは、ロールの作成時に指定されたデフォルトのバケットを使用できます。
-
ユーザーにノートブックをデータサイエンティストと共有する権限を付与するには、[ノートブックの共有設定] を有効にします。
-
Amazon SageMaker Studio Classic バージョン 3.19.0 以降を使用します。Amazon SageMaker Studio Classic の更新については、「」を参照してください SageMaker Studio Classic のシャットダウンと更新。
次の手順に従って、Okta を設定します。以下のすべての手順で、
に同じ IAM ロールを指定します。IAM-role
Canvas SageMaker アプリケーションを Okta に追加する
Okta のサインオン方法を設定します。
-
Okta 管理ダッシュボードにサインインします。
-
[アプリケーションの追加] を選択します。[AWS アカウントフェデレーション] を検索します。
-
追加を選択します。
-
オプション: 名前を Amazon SageMaker Canvas に変更します。
-
[次へ] をクリックします。
-
[サインオン] メソッドで、[SAML 2.0] を選択します。
-
[ID プロバイダーメタデータ] を選択して、メタデータ XML ファイルを開きます。ファイルをローカルに保存します。
-
[完了] を選択します。
IAM に ID フェデレーションを設定する
AWS Identity and Access Management (IAM) は、 AWS アカウントにアクセスするために使用する AWS サービスです。IAM アカウント AWS を通じて にアクセスできます。
-
AWS コンソールにサインインします。
-
[AWS Identity and Access Management (IAM)] を選択します。
-
[ID プロバイダー] を選択します。
-
[プロバイダーの作成] を選択します。
-
[プロバイダーの設定] で、以下を指定します。
-
プロバイダーのタイプ - ドロップダウンリストから [SAML] を選択します。
-
プロバイダー名 - [Okta] を指定します。
-
[メタデータドキュメント] - 「Canvas SageMaker アプリケーションを Okta に追加する」の手順 7 でローカルに保存した XML ドキュメントをアップロードします。
-
-
[ID プロバイダー] で ID プロバイダーを探します。その [プロバイダー ARN] 値をコピーします。
-
[ロール] で、Okta SSO アクセスに使用する IAM ロールを選択します。
-
IAM ロールの [信頼関係] で、[信頼関係の編集] を選択します。
-
コピーした [プロバイダー ARN] 値を指定して IAM の信頼関係ポリシーを変更し、以下のポリシーを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::123456789012:
saml-provider
/Okta" }, "Action": [ "sts:AssumeRoleWithSAML", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } } ] } -
[許可] に、以下のポリシーを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerPresignedUrlPolicy", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:CreatePresignedDomainUrlWithPrincipalTag" ], "Resource": "*" } ] }
Okta で SageMaker Canvas を設定する
次の手順を使用して、Okta で Amazon SageMaker Canvas を設定します。
Okta を使用するように Amazon SageMaker Canvas を設定するには、このセクションのステップに従います。各SageMakerStudioProfileNameフィールドに一意のユーザー名を指定する必要があります。例えば、user.login
を値として使用できます。ユーザー名が Canvas SageMaker プロファイル名と異なる場合は、一意に識別する別の属性を選択します。例えば、プロファイル名には従業員の ID 番号を使用できます。
[属性] に設定できる値の例については、後の手順のコードを参照してください。
-
[ディレクトリ] で、[グループ] を選択します。
-
sagemaker#canvas#
のパターンを使用してグループを追加します。IAM-role
#AWS-account-id
-
Okta で、[AWS アカウントフェデレーション] のアプリケーション統合設定を開きます。
-
AWS アカウントフェデレーションアプリケーションのサインオンを選択します。
-
[編集] を選択し、以下を指定します。
-
SAML 2.0
-
デフォルトのリレー状態 – https://
Region
.console.aws.amazon.com/sagemaker/home?region=Region
#/studio/canvas/open/StudioId
。Studio Classic ID はコンソールで確認できます。https://console.aws.amazon.com/sagemaker/
-
-
[属性] を選択します。
-
SageMakerStudioProfileName フィールドで、ユーザー名ごとに一意の値を指定します。ユーザー名は、 AWS コンソールで作成したユーザー名と一致する必要があります。
Attribute 1: Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName Value: ${user.login} Attribute 2: Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys Value: {"SageMakerStudioUserProfileName"}
-
[環境タイプ] を選択します。[通常の AWS] を選択します。
-
環境タイプが一覧表示されていない場合は、[ACS URL] フィールドに ACS URL を設定できます。環境タイプが一覧表示されている場合は、ACS URL を入力する必要はありません。
-
-
[ID プロバイダー ARN] で、前の手順のステップ 6 で使用した ARN を指定します。
-
[セッション期間] を指定します。
-
[すべてのロールを結合] を選択します。
-
以下のフィールドを指定して、[グループマッピングを使用] を有効にします。
-
アプリフィルター -
okta
-
グループフィルター -
^aws\#\S+\#(?
IAM-role
[\w\-]+)\#(?accountid
\d+)$ -
ロール値のパターン -
arn:aws:iam::$
accountid
:saml-provider/Okta,arn:aws:iam::$accountid
:role/IAM-role
-
-
[保存して次へ] を選択します。
-
[割り当て] で、作成したグループにアプリケーションを割り当てます。
IAM でアクセスコントロールにオプションのポリシーを追加する
IAM では、ユーザープロファイルを作成する管理者ユーザーに以下のポリシーを適用できます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSageMakerStudioUserProfilePolicy", "Effect": "Allow", "Action": "sagemaker:CreateUserProfile", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "studiouserid" ] } } } ] }
前述のポリシーを管理ユーザーに追加する場合は、IAM に ID フェデレーションを設定する の以下のアクセス許可を使用する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerPresignedUrlPolicy", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:CreatePresignedDomainUrlWithPrincipalTag" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}" } } } ] }