Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Para configurar Amazon SageMaker Canvas, haz lo siguiente:
-
Crea un dominio de Amazon SageMaker AI.
-
Creación de perfiles de usuario para el dominio
-
Configure el inicio de sesión único de Okta (SSO de Okta) para sus usuarios.
-
Active el uso compartido de enlaces para los modelos.
Utilice el inicio de sesión único de Okta (Okta SSO) para conceder a sus usuarios acceso a Amazon Canvas. SageMaker SageMaker Canvas admite los métodos de SSO de SAML 2.0. Las siguientes secciones le guían por los procedimientos para configurar el SSO de Okta.
Para configurar un dominio, consulte Usa una configuración personalizada para Amazon SageMaker AI y siga las instrucciones para configurar su dominio mediante la autenticación de IAM. Puede utilizar la siguiente información como ayuda para completar el procedimiento de la sección:
-
Puede omitir el paso relativo a la creación de proyectos.
-
No es necesario proporcionar acceso a buckets de Amazon S3 adicionales. Sus usuarios pueden usar el bucket predeterminado que proporcionamos cuando creamos un rol.
-
Para permitir que sus usuarios puedan compartir sus cuadernos con los científicos de datos, active la Configuración de uso compartido del bloc de notas.
-
Utilice Amazon SageMaker Studio Classic, versión 3.19.0 o posterior. Para obtener información sobre la actualización de Amazon SageMaker Studio Classic, consulteCierre y actualice SageMaker Studio Classic.
Utilice el siguiente procedimiento para configurar Okta. Para todos los procedimientos siguientes, especifique el mismo rol de IAM para
.IAM-role
Añada la aplicación SageMaker Canvas a Okta
Configure el método de inicio de sesión para Okta.
-
Inicia sesión en el panel de administración de Okta.
-
Elija Agregar aplicación. Busque Federación de cuentas de AWS .
-
Elija Agregar.
-
Opcional: cambia el nombre a Amazon SageMaker Canvas.
-
Elija Next (Siguiente).
-
Seleccione SAML 2.0 como método de Inicio de sesión.
-
Seleccione Metadatos de proveedor de identidades para abrir el archivo XML de metadatos. Guarde el archivo localmente.
-
Seleccione Listo.
Configure la federación de identificadores en IAM
AWS Identity and Access Management (IAM) es el AWS servicio que utiliza para acceder a su AWS cuenta. Puedes acceder a él a AWS través de una cuenta de IAM.
-
Inicia sesión en la AWS consola.
-
Elija AWS Identity and Access Management (IAM).
-
Elija Proveedores de identidades.
-
Elija Crear proveedor.
-
En Configurar proveedor, especifique lo siguiente:
-
Tipo de proveedor: en la lista desplegable, elija SAML.
-
Nombre del proveedor: especifique Okta.
-
Documento de metadatos: cargue el documento XML que ha guardado localmente en el paso 7 de Añada la aplicación SageMaker Canvas a Okta.
-
-
Busque su proveedor de identidades en Proveedores de identidades. Copie su valor de ARN de proveedor.
-
Para Roles, elija el rol de IAM que vaya a utilizar para acceder al SSO de Okta.
-
En la pestaña Relaciones de confianza para el rol de IAM, seleccione Editar relación de confianza.
-
Modifique la política de relaciones de confianza de IAM especificando el valor del ARN del proveedor que ha copiado y agregue la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::123456789012:
saml-provider
/Okta" }, "Action": [ "sts:AssumeRoleWithSAML", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } } ] } -
En Permisos, agregue la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerPresignedUrlPolicy", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:CreatePresignedDomainUrlWithPrincipalTag" ], "Resource": "*" } ] }
Configura SageMaker Canvas en Okta
Configure Amazon SageMaker Canvas en Okta mediante el siguiente procedimiento.
Para configurar Amazon SageMaker Canvas para usar Okta, sigue los pasos de esta sección. Debe especificar nombres de usuario únicos para cada SageMakerStudioProfileNamecampo. Por ejemplo, puede utilizar user.login
como valor. Si el nombre de usuario es diferente del nombre del perfil de SageMaker Canvas, elija un atributo de identificación única diferente. Por ejemplo, puede usar el número de identificación de un empleado como nombre de perfil.
Para ver un ejemplo de los valores que puede configurar para los Atributos, consulte el código que sigue al procedimiento.
-
En Directorio, seleccione Grupos.
-
Agregue un grupo con el siguiente patrón:
sagemaker#canvas#
.IAM-role
#AWS-account-id
-
En Okta, abra la configuración de integración de la aplicación de Federación de cuentas de AWS .
-
Seleccione Iniciar sesión en la aplicación AWS Account Federation.
-
Elija Editar y especifique lo siguiente:
-
SAML 2.0
-
Estado de retransmisión predeterminado: https://
Region
.console.aws.amazon. com/sagemaker/home? región =Region
#/studio/canvas/open.StudioId
Puedes encontrar el ID de Studio Classic en la consola: https://console.aws.amazon.com/sagemaker/
-
-
Seleccione Atributos.
-
En los SageMakerStudioProfileNamecampos, especifique valores únicos para cada nombre de usuario. Los nombres de usuario deben coincidir con los nombres de usuario que haya creado en la consola de AWS .
Attribute 1: Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName Value: ${user.login} Attribute 2: Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys Value: {"SageMakerStudioUserProfileName"}
-
Seleccione el Tipo de entorno. Elija AWS normal.
-
Si su tipo de entorno no aparece en la lista, puede configurar la URL de ACS en el campo URL de ACS. Si su tipo de entorno aparece en la lista, no es necesario que introduzca la URL de ACS
-
-
Para el ARN del proveedor de identidades, especifique el ARN que utilizó en el paso 6 del procedimiento anterior.
-
Especifique una Duración de sesión.
-
Elija Unir todos los roles.
-
Active Usar mapeo de grupos especificando los siguientes campos:
-
Filtro de aplicaciones:
okta
-
Filtro de grupo:
^aws\#\S+\#(?
IAM-role
[\w\-]+)\#(?accountid
\d+)$ -
Patrón de valores de rol:
arn:aws:iam::$
accountid
:saml-provider/Okta,arn:aws:iam::$accountid
:role/IAM-role
-
-
Seleccione Guardar/Siguiente.
-
En Asignaciones, asigne la aplicación al grupo que ha creado.
Agregar políticas opcionales sobre el control de acceso en IAM
En IAM, puede aplicar la siguiente política al usuario administrador que crea los perfiles de usuario.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
Si decide agregar la política anterior al usuario administrador, debe utilizar los siguientes permisos deConfigure la federación de identificadores en IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}