사용자를 위한 SageMaker Canvas 설정 - Amazon SageMaker AI
SageMaker Canvas 애플리케이션을 Okta에 추가IAM에서 ID 페더레이션 설정Okta에서 SageMaker Canvas 설정IAM의 액세스 제어에 대한 선택적 정책 추가

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자를 위한 SageMaker Canvas 설정

Amazon SageMaker Canvas를 설정하려면 다음 작업을 수행합니다.

  • Amazon SageMaker AI 도메인을 생성합니다.

  • 도메인에 대한 사용자 프로필 만들기

  • 사용자를 위해 Okta 싱글 사인온(Okta SSO)을 설정합니다.

  • 모델의 링크 공유를 활성화하세요.

Okta 싱글 사인온(Okta SSO) 을 사용하여 사용자에게 Amazon SageMaker Canvas에 대한 액세스 권한을 부여하세요. SageMaker Canvas는 SAML 2.0 SSO 메서드를 지원합니다. 다음 섹션에서는 Okta SSO를 설정하는 절차를 안내합니다.

도메인을 설정하려면 Amazon SageMaker AI에 대한 사용자 지정 설정 사용 섹션을 참조하고 IAM 인증을 사용하여 도메인을 설정하는 지침을 따르세요. 다음 정보를 사용하여 섹션의 절차를 완료할 수 있습니다.

  • 프로젝트 생성 단계는 무시해도 됩니다.

  • 추가적인 Amazon S3 버킷에 대한 액세스 권한을 제공할 필요가 없습니다. 사용자는 역할을 생성할 때 제공되는 기본 버킷을 사용할 수 있습니다.

  • 사용자에게 데이터 과학자와 노트북을 공유할 수 있는 액세스 권한을 부여하려면 노트북 공유 구성을 활성화하세요.

  • Amazon SageMaker Studio Classic 버전 3.19.0 이상을 사용합니다. Amazon SageMaker Studio Classic 업데이트에 대한 자세한 내용은 SageMaker Studio Classic 종료 및 업데이트 섹션을 참조하세요.

다음 절차에 따라 Okta를 설정합니다. 다음 모든 절차에서 IAM-role에 대해 동일한 IAM 역할을 지정합니다.

SageMaker Canvas 애플리케이션을 Okta에 추가

Okta의 사인온 방법을 설정합니다.

  1. Okta 관리자 대시보드에 로그인합니다.

  2. 애플리케이션 추가를 선택합니다. AWS 계정 페더레이션을 검색합니다.

  3. 추가를 선택합니다.

  4. 선택 사항: 이름을 Amazon SageMaker Canvas로 변경합니다.

  5. 다음을 선택합니다.

  6. 사인온 방법에서 SAML v2.0을 선택합니다.

  7. ID 공급자 메타데이터를 선택하여 메타데이터 XML 파일을 엽니다. 파일을 로컬에 저장합니다.

  8. 완료를 선택합니다.

IAM에서 ID 페더레이션 설정

AWS Identity and Access Management (IAM)는 계정에 AWS 액세스하는 데 사용하는 AWS 서비스입니다. IAM 계정을 AWS 통해에 액세스할 수 있습니다.

  1. AWS 콘솔에 로그인합니다.

  2. AWS Identity and Access Management (IAM)을 선택합니다.

  3. ID 제공자를 선택합니다.

  4. 공급자 생성을 선택합니다.

  5. 공급자 구성에서 다음을 지정합니다.

    • 공급자 유형 - 드롭다운 목록에서 SAML을 선택합니다.

    • 공급자 이름 - Okta를 지정합니다.

    • 메타데이터 문서 - SageMaker Canvas 애플리케이션을 Okta에 추가의 7단계에서 로컬로 저장한 XML 문서를 업로드합니다.

  6. ID 공급자에서 ID 공급자를 찾으세요. 해당 공급자 ARN 값을 복사합니다.

  7. 역할에서 Okta SSO 액세스에 사용할 IAM 역할을 선택합니다.

  8. IAM 역할에 대한 신뢰 관계 탭에서 신뢰 관계 편집을 선택합니다.

  9. 복사한 공급자 ARN 값을 지정하여 IAM 신뢰 관계 정책을 수정하고 다음 정책을 추가합니다.

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

  10. 권한에 대해 다음 정책을 추가합니다.

    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Okta에서 SageMaker Canvas 설정

다음 절차를 사용하여 Okta에서 Amazon SageMaker Canvas를 구성합니다.

Okta를 사용하도록 Amazon SageMaker Canvas를 구성하려면 이 섹션의 단계를 따르세요. 각 SageMakerStudioProfileName 필드에 고유한 사용자 이름을 지정해야 합니다. 예를 들어 user.login을 값으로 사용할 수 있습니다. 사용자 이름이 SageMaker Canvas 프로필 이름과 다른 경우 고유하게 식별되는 다른 속성을 선택하세요. 예를 들어, 프로필 이름으로 직원의 ID 번호를 사용할 수 있습니다.

속성에 설정할 수 있는 값의 예는 절차 다음의 코드를 참조하세요.

  1. 디렉터리에서 그룹을 선택합니다.

  2. 다음 sagemaker#canvas#IAM-role#AWS-account-id패턴으로 그룹을 추가합니다.

  3. Okta에서 AWS 계정 페더레이션 애플리케이션 통합 구성을 엽니다.

  4. AWS 계정 연동 애플리케이션에 대해 로그인을 선택합니다.

  5. 편집을 선택하고 다음을 지정합니다.

    • SAML 2.0

    • 기본 릴레이 상태 – https://Region.console.aws.amazon.com/sagemaker/home?region=Region#/studio/canvas/open/StudioId. Studio Classic ID는 콘솔(https://console.aws.amazon.com/sagemaker/)에서 찾을 수 있습니다.

  6. 속성을 선택합니다.

  7. SageMakerStudioProfileName 필드에 각 사용자 이름의 고유한 값을 지정합니다. 사용자 이름은 AWS 콘솔에서 생성한 사용자 이름과 일치해야 합니다.

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. 환경 유형을 선택합니다. 일반 AWS을 선택합니다.

    • 환경 유형이 목록에 없는 경우 ACS URL에서 ACS URL을 설정할 수 있습니다. 환경 유형이 나열된 경우 ACS URL을 입력할 필요가 없습니다.

  9. ID 제공자 ARN의 경우 이전 절차의 6단계에서 사용한 ARN을 지정합니다.

  10. 세션 기간을 지정합니다.

  11. 모든 역할 참여를 선택합니다.

  12. 다음 필드를 지정하여 그룹 매핑 사용을 활성화합니다.

    • 앱 필터okta

    • 그룹 필터^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • 역할 값 패턴arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. 저장/다음을 선택합니다.

  14. 할당 아래에서, 생성한 그룹에 애플리케이션을 할당합니다.

IAM의 액세스 제어에 대한 선택적 정책 추가

IAM에서는 사용자 프로필을 생성하는 관리자 사용자에게 다음 정책을 적용할 수 있습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

이전 정책을 관리자 사용자에게 추가하기로 선택한 경우 IAM에서 ID 페더레이션 설정에서 다음 권한을 사용해야 합니다.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}