ユーザー用に SageMaker Canvas を設定する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザー用に SageMaker Canvas を設定する

Amazon Canvas SageMaker を設定するには、次の手順を実行します。

  • Amazon SageMaker ドメインを作成します。

  • ドメインのユーザープロファイルを作成する

  • ユーザーの Okta Single Sign On (Okta SSO) を設定する。

  • モデルのリンク共有を有効にします。

Okta Single-Sign On (Okta SSO) を使用して、ユーザーに Amazon SageMaker Canvas へのアクセスを許可します。 SageMaker Canvas は SAML 2.0 SSO メソッドをサポートしています。以下のセクションでは、Okta SSO の設定手順について説明します。

ドメインを設定するには、「」を参照Amazon へのカスタムセットアップ SageMakerし、IAM 認証を使用してドメインを設定する手順に従ってください。以下は、このセクションの手順を実行する際に役立つ情報です。

  • プロジェクトの作成に関する手順は無視できます。

  • 追加の Amazon S3 バケットへのアクセス権を提供する必要はありません。ユーザーは、ロールの作成時に指定されたデフォルトのバケットを使用できます。

  • ユーザーにノートブックをデータサイエンティストと共有する権限を付与するには、[ノートブックの共有設定] を有効にします。

  • Amazon SageMaker Studio Classic バージョン 3.19.0 以降を使用します。Amazon SageMaker Studio Classic の更新については、「」を参照してください SageMaker Studio Classic のシャットダウンと更新

次の手順に従って、Okta を設定します。以下のすべての手順で、IAM-role に同じ IAM ロールを指定します。

Canvas SageMaker アプリケーションを Okta に追加する

Okta のサインオン方法を設定します。

  1. Okta 管理ダッシュボードにサインインします。

  2. [アプリケーションの追加] を選択します。[AWS アカウントフェデレーション] を検索します。

  3. 追加を選択します。

  4. オプション: 名前を Amazon SageMaker Canvas に変更します。

  5. [次へ] をクリックします。

  6. [サインオン] メソッドで、[SAML 2.0] を選択します。

  7. [ID プロバイダーメタデータ] を選択して、メタデータ XML ファイルを開きます。ファイルをローカルに保存します。

  8. [完了] を選択します。

IAM に ID フェデレーションを設定する

AWS Identity and Access Management (IAM) は、 AWS アカウントにアクセスするために使用する AWS サービスです。IAM アカウント AWS を通じて にアクセスできます。

  1. AWS コンソールにサインインします。

  2. [AWS Identity and Access Management (IAM)] を選択します。

  3. [ID プロバイダー] を選択します。

  4. [プロバイダーの作成] を選択します。

  5. [プロバイダーの設定] で、以下を指定します。

    • プロバイダーのタイプ - ドロップダウンリストから [SAML] を選択します。

    • プロバイダー名 - [Okta] を指定します。

    • [メタデータドキュメント] - 「Canvas SageMaker アプリケーションを Okta に追加する」の手順 7 でローカルに保存した XML ドキュメントをアップロードします。

  6. [ID プロバイダー] で ID プロバイダーを探します。その [プロバイダー ARN] 値をコピーします。

  7. [ロール] で、Okta SSO アクセスに使用する IAM ロールを選択します。

  8. IAM ロールの [信頼関係] で、[信頼関係の編集] を選択します。

  9. コピーした [プロバイダー ARN] 値を指定して IAM の信頼関係ポリシーを変更し、以下のポリシーを追加します。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::123456789012:saml-provider/Okta" }, "Action": [ "sts:AssumeRoleWithSAML", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } } ] }
  10. [許可] に、以下のポリシーを追加します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerPresignedUrlPolicy", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:CreatePresignedDomainUrlWithPrincipalTag" ], "Resource": "*" } ] }

Okta で SageMaker Canvas を設定する

次の手順を使用して、Okta で Amazon SageMaker Canvas を設定します。

Okta を使用するように Amazon SageMaker Canvas を設定するには、このセクションのステップに従います。各SageMakerStudioProfileNameフィールドに一意のユーザー名を指定する必要があります。例えば、user.login を値として使用できます。ユーザー名が Canvas SageMaker プロファイル名と異なる場合は、一意に識別する別の属性を選択します。例えば、プロファイル名には従業員の ID 番号を使用できます。

[属性] に設定できる値の例については、後の手順のコードを参照してください。

  1. [ディレクトリ] で、[グループ] を選択します。

  2. sagemaker#canvas#IAM-role#AWS-account-id のパターンを使用してグループを追加します。

  3. Okta で、[AWS アカウントフェデレーション] のアプリケーション統合設定を開きます。

  4. AWS アカウントフェデレーションアプリケーションのサインオンを選択します。

  5. [編集] を選択し、以下を指定します。

    • SAML 2.0

    • デフォルトのリレー状態 – https://Region .console.aws.amazon.com/sagemaker/home?region=Region #/studio/canvas/open/StudioId。Studio Classic ID はコンソールで確認できます。https://console.aws.amazon.com/sagemaker/

  6. [属性] を選択します。

  7. SageMakerStudioProfileName フィールドで、ユーザー名ごとに一意の値を指定します。ユーザー名は、 AWS コンソールで作成したユーザー名と一致する必要があります。

    Attribute 1: Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName Value: ${user.login} Attribute 2: Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys Value: {"SageMakerStudioUserProfileName"}
  8. [環境タイプ] を選択します。[通常の AWS] を選択します。

    • 環境タイプが一覧表示されていない場合は、[ACS URL] フィールドに ACS URL を設定できます。環境タイプが一覧表示されている場合は、ACS URL を入力する必要はありません。

  9. [ID プロバイダー ARN] で、前の手順のステップ 6 で使用した ARN を指定します。

  10. [セッション期間] を指定します。

  11. [すべてのロールを結合] を選択します。

  12. 以下のフィールドを指定して、[グループマッピングを使用] を有効にします。

    • アプリフィルター - okta

    • グループフィルター - ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • ロール値のパターン - arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. [保存して次へ] を選択します。

  14. [割り当て] で、作成したグループにアプリケーションを割り当てます。

IAM でアクセスコントロールにオプションのポリシーを追加する

IAM では、ユーザープロファイルを作成する管理者ユーザーに以下のポリシーを適用できます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateSageMakerStudioUserProfilePolicy", "Effect": "Allow", "Action": "sagemaker:CreateUserProfile", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "studiouserid" ] } } } ] }

前述のポリシーを管理ユーザーに追加する場合は、IAM に ID フェデレーションを設定する の以下のアクセス許可を使用する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerPresignedUrlPolicy", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:CreatePresignedDomainUrlWithPrincipalTag" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}" } } } ] }