Configure o SageMaker Canvas para seus usuários

Para configurar o Amazon SageMaker Canvas, faça o seguinte:

• Crie um domínio Amazon SageMaker AI.

• Crie perfis de usuário para o domínio

• Configure a autenticação única do Okta (Okta SSO, Single Sign On) para seus usuários.

• Ative o compartilhamento de links para modelos.

Use o Okta Single-Sign On (Okta SSO) para conceder aos seus usuários acesso ao Amazon Canvas. SageMaker SageMaker O Canvas oferece suporte aos métodos SAML 2.0 SSO. As seções a seguir orientam você pelos procedimentos para configurar o Okta SSO.

Para configurar um domínio, consulte Use a configuração personalizada para Amazon SageMaker AI e siga as instruções para configurar seu domínio usando a autenticação do IAM. Você pode usar as seguintes informações para ajudar a concluir o procedimento na seção:

• Você pode ignorar a etapa de criação de projetos.

• Não é necessário fornecer acesso a buckets adicionais do Amazon S3. Seus usuários podem usar o bucket padrão que fornecemos quando criamos uma função.

• Para conceder aos usuários acesso para compartilhar seus cadernos com cientistas de dados, ative a Configuração de compartilhamento do caderno.

• Use o Amazon SageMaker Studio Classic versão 3.19.0 ou posterior. Para obter informações sobre a atualização do Amazon SageMaker Studio Classic, consulteDesligue e atualize o SageMaker Studio Classic.

Utilize o procedimento a seguir para configurar o Okta. Para todos os procedimentos a seguir, você especifica a mesmo perfil do IAM para IAM-role.

Adicione o aplicativo SageMaker Canvas ao Okta

Configure o método de login para o Okta.

1. Faça login no painel de administração do Okta.

2. Escolha Adicionar aplicação. Pesquise por Federação de contas da AWS .

3. Escolha Adicionar.

4. Opcional: altere o nome para Amazon SageMaker Canvas.

5. Escolha Próximo.

6. Escolha SAML 2.0 como o método de autenticação.

7. Escolha Metadados do provedor de identidade para abrir o arquivo XML de metadados. Salve o arquivo localmente.

8. Selecione Concluído.

Configurar federação de ID no IAM

AWS Identity and Access Management (IAM) é o AWS serviço que você usa para obter acesso à sua AWS conta. Você obtém acesso AWS por meio de uma conta do IAM.

1. Faça login no AWS console.

2. Escolha AWS Identity and Access Management (IAM).

3. Escolha Provedores de identidades.

4. Escolha Criar provedor.

5. Para Configurar provedor, especifique o seguinte:

   • Tipo de provedor: na lista suspensa, escolha SAML.

   • Nome do provedor: especifique Okta.

   • Documento de metadados: faça o upload do documento XML que você salvou localmente a partir da etapa 7 de Adicione o aplicativo SageMaker Canvas ao Okta.

6. Encontre seu provedor de identidades em Provedores de identidades. Copie o valor do ARN do provedor.

7. Em Perfis, escolha o perfil do IAM que você está usando para acessar o Okta SSO.

8. Sob Relações de confiança do perfil do IAM, escolha Editar relação de confiança.

9. Modifique a política de relacionamento de confiança do IAM especificando o valor do ARN do provedor que você copiou e adicione a seguinte política:

   JSON

   
     {
     "Version": "2012-10-17",
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
           },
           "Action": [
             "sts:AssumeRoleWithSAML",
             "sts:TagSession"
           ],
           "Condition": {
             "StringEquals": {
               "SAML:aud": "https://signin.aws.amazon.com/saml"
             }
           }
         },
         {
           "Effect": "Allow",
           "Principal": {
             "Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
           },
           "Action": [
             "sts:SetSourceIdentity"
           ]
         }
       ]
     }
     
   

10. Para Permissões, adicione a seguinte política:

    JSON

    
    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AmazonSageMakerPresignedUrlPolicy",
               "Effect": "Allow",
               "Action": [
                    "sagemaker:CreatePresignedDomainUrl"
               ],
               "Resource": "*"
          }
      ]
    }
      
    

Configurar o SageMaker Canvas no Okta

Configure o Amazon SageMaker Canvas no Okta usando o procedimento a seguir.

Para configurar o Amazon SageMaker Canvas para usar o Okta, siga as etapas nesta seção. Você deve especificar nomes de usuário exclusivos para cada SageMakerStudioProfileNamecampo. Por exemplo, você pode usar user.login como um valor. Se o nome de usuário for diferente do nome do perfil do SageMaker Canvas, escolha um atributo de identificação exclusivo diferente. Por exemplo, você pode usar o número de identificação de um funcionário para o nome do perfil.

Para ver um exemplo de valores que você pode definir para Atributos, consulte o código a seguir ao procedimento.

1. Em Diretório, escolha Grupos.

2. Adicione um grupo com o seguinte padrão: sagemaker#canvas#IAM-role#AWS-account-id.

3. No Okta, abra a configuração de integração da aplicação Federação de contas da AWS .

4. Selecione Sign On para o aplicativo de Federação de AWS Contas.

5. Escolha Editar e especifique o seguinte:

   • SAML 2.0

   • Estado de retransmissão padrão — https://Region.console.aws.amazon. com/sagemaker/home? região = Region studio/canvas/open #//. StudioId Você pode encontrar a ID do Studio Classic no console: https://console.aws.amazon.com/sagemaker/

6. Selecione Atributos.

7. Nos SageMakerStudioProfileNamecampos, especifique valores exclusivos para cada nome de usuário. Os nomes de usuário devem corresponder aos nomes de usuário que você criou no console da AWS .

   
   Attribute 1:
   Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
   Value: ${user.login}
   
   Attribute 2:
   Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
   Value: {"SageMakerStudioUserProfileName"}
      

8. Selecione Tipo de ambiente. Escolha AWS Regular.

   • Se o tipo de ambiente não estiver listado, você poderá definir o URL do ACS no campo URL do ACS. Se o tipo de ambiente estiver listado, não será preciso inserir o URL do ACS

9. Para o ARN do provedor de identidades, especifique o ARN usado na etapa 6 do procedimento anterior.

10. Especifique a Duração da sessão.

11. Escolha Participar de todos os perfis.

12. Ative a Usar mapeamento de grupos especificando os seguintes campos:

    • Filtro de aplicações: okta

    • Filtro de grupo: ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • Padrão de valor do perfil: arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

13. Escolha Salvar/Próximo.

14. Em Atribuições, atribua a aplicação ao grupo que você criou.

Adicione políticas opcionais sobre controle de acesso no IAM

No IAM, você pode aplicar a política a seguir ao usuário administrador que cria os perfis de usuário.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}
   

Se você optar por adicionar a política anterior ao usuário administrador, deverá usar as seguintes permissões de Configurar federação de ID no IAM:

JSON

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
               "sagemaker:CreatePresignedDomainUrl"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}