Tambahkan aplikasi SageMaker Canvas ke Okta Menyiapkan federasi ID di IAM Konfigurasikan SageMaker Canvas di Okta Tambahkan kebijakan opsional tentang kontrol akses di IAM

Mengatur SageMaker Kanvas untuk Pengguna Anda

Untuk menyiapkan Amazon SageMaker Canvas, lakukan hal berikut:

Buat SageMaker domain Amazon.
Buat profil pengguna untuk domain
Siapkan Okta Single Sign On (OktaSSO) untuk pengguna Anda.
Aktifkan berbagi tautan untuk model.

Gunakan Okta Single-Sign On (OktaSSO) untuk memberi pengguna Anda akses ke Amazon Canvas. SageMaker SageMaker Canvas mendukung SSO metode SAML 2.0. Bagian berikut memandu Anda melalui prosedur untuk mengatur OktaSSO.

Untuk menyiapkan domain, lihat Gunakan pengaturan khusus untuk Amazon SageMaker dan ikuti petunjuk untuk menyiapkan domain menggunakan IAM autentikasi. Anda dapat menggunakan informasi berikut untuk membantu Anda menyelesaikan prosedur di bagian ini:

Anda dapat mengabaikan langkah tentang membuat proyek.
Anda tidak perlu menyediakan akses ke bucket Amazon S3 tambahan. Pengguna Anda dapat menggunakan bucket default yang kami sediakan saat kami membuat peran.
Untuk memberi pengguna Anda akses untuk berbagi buku catatan mereka dengan ilmuwan data, aktifkan Konfigurasi Berbagi Notebook.
Gunakan Amazon SageMaker Studio Classic versi 3.19.0 atau yang lebih baru. Untuk informasi tentang memperbarui Amazon SageMaker Studio Classic, lihatMatikan dan Perbarui SageMaker Studio Classic.

Gunakan prosedur berikut untuk mengatur Okta. Untuk semua prosedur berikut, Anda menentukan IAM peran yang sama untukIAM-role.

Tambahkan aplikasi SageMaker Canvas ke Okta

Siapkan metode sign-on untuk Okta.

Masuk ke dasbor Admin Okta.
Pilih Tambahkan aplikasi. Cari Federasi AWS Akun.
Pilih Tambahkan.
Opsional: Ubah nama menjadi Amazon SageMaker Canvas.
Pilih Berikutnya.
Pilih SAML2.0 sebagai metode Sign-On.
Pilih Metadata Penyedia Identitas untuk membuka file XML metadata. Simpan file secara lokal.
Pilih Selesai.

Menyiapkan federasi ID di IAM

AWS Identity and Access Management (IAM) adalah AWS layanan yang Anda gunakan untuk mendapatkan akses ke AWS akun Anda. Anda mendapatkan akses AWS melalui IAM akun.

Masuk ke AWS konsol.
Pilih AWS Identity and Access Management (IAM).
Pilih Penyedia Identitas.
Pilih Buat Penyedia.
Untuk Configure Provider, tentukan yang berikut ini:
- Jenis Penyedia - Dari daftar dropdown, pilih. SAML
- Nama Penyedia — Tentukan Okta.
- Dokumen Metadata — Unggah XML dokumen yang telah Anda simpan secara lokal dari langkah 7. Tambahkan aplikasi SageMaker Canvas ke Okta
Temukan penyedia identitas Anda di bawah Penyedia Identitas. Salin ARN nilai Penyedianya.
Untuk Peran, pilih IAM peran yang Anda gunakan untuk SSO akses Okta.
Di bawah Trust Relationship untuk IAM peran tersebut, pilih Edit Trust Relationship.

Ubah kebijakan hubungan IAM kepercayaan dengan menentukan ARN nilai Penyedia yang telah Anda salin dan tambahkan kebijakan berikut:



{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Untuk Izin, tambahkan kebijakan berikut:



{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Konfigurasikan SageMaker Canvas di Okta

Konfigurasikan Amazon SageMaker Canvas di Okta menggunakan prosedur berikut.

Untuk mengonfigurasi Amazon SageMaker Canvas untuk menggunakan Okta, ikuti langkah-langkah di bagian ini. Anda harus menentukan nama pengguna unik untuk setiap SageMakerStudioProfileNamebidang. Misalnya, Anda dapat menggunakan user.login sebagai nilai. Jika nama pengguna berbeda dari nama profil SageMaker Canvas, pilih atribut identifikasi unik yang berbeda. Misalnya, Anda dapat menggunakan nomor ID karyawan untuk nama profil.

Untuk contoh nilai yang dapat Anda atur untuk Atribut, lihat kode mengikuti prosedur.

Di bawah Direktori, pilih Grup.
Tambahkan grup dengan pola berikut:sagemaker#canvas#IAM-role#AWS-account-id.
Di Okta, buka konfigurasi integrasi aplikasi Federasi AWS Akun.
Pilih Masuk untuk aplikasi Federasi AWS Akun.
Pilih Edit dan tentukan yang berikut ini:
- SAML 2.0
- Status Relai Default - https://Region.console.aws.amazon.com/sagemaker/home region=Region#/studio/kanvas/terbuka/StudioId. Anda dapat menemukan ID Studio Classic di konsol: https://console.aws.amazon.com/sagemaker/
Pilih Atribut.

Di SageMakerStudioProfileNamebidang, tentukan nilai unik untuk setiap nama pengguna. Nama pengguna harus cocok dengan nama pengguna yang Anda buat di konsol. AWS



Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

Pilih Jenis Lingkungan. Pilih Reguler AWS.
- Jika jenis lingkungan Anda tidak terdaftar, Anda dapat mengatur ACS URL di ACSURLbidang. Jika jenis lingkungan Anda terdaftar, Anda tidak perlu memasukkan ACS URL
Untuk Penyedia Identitas ARN, tentukan yang ARN Anda gunakan pada langkah 6 dari prosedur sebelumnya.
Tentukan Durasi Sesi.
Pilih Bergabunglah dengan semua peran.
Aktifkan Gunakan Pemetaan Grup dengan menentukan bidang berikut:
- Filter Aplikasi - okta
- Filter Grup - ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$
- Pola Nilai Peran - arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role
Pilih Simpan/Berikutnya.
Di bawah Penugasan, tetapkan aplikasi ke grup yang telah Anda buat.

Tambahkan kebijakan opsional tentang kontrol akses di IAM

DiIAM, Anda dapat menerapkan kebijakan berikut ke pengguna administrator yang membuat profil pengguna.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Jika Anda memilih untuk menambahkan kebijakan sebelumnya ke pengguna admin, Anda harus menggunakan izin berikut dari. Menyiapkan federasi ID di IAM



{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Berikan Izin Pengguna Anda untuk Mengunggah File Lokal

Konfigurasikan penyimpanan Amazon S3 Anda