Aggiungi l'applicazione SageMaker Canvas a Okta Configura la federazione degli ID in IAM Configura SageMaker Canvas in Okta Aggiungi politiche opzionali sul controllo degli accessi in IAM

Configura SageMaker Canvas per i tuoi utenti

Per configurare Amazon SageMaker Canvas, procedi come segue:

Crea un SageMaker dominio Amazon.
Crea profili utente per il dominio
Configura Okta Single Sign On (OktaSSO) per i tuoi utenti.
Attiva la condivisione dei link per i modelli.

Usa Okta Single-Sign On (OktaSSO) per concedere ai tuoi utenti l'accesso ad Amazon Canvas. SageMaker SageMaker Canvas supporta i metodi 2.0SAML. SSO Le seguenti sezioni illustrano le procedure per configurare OktaSSO.

Per configurare un dominio, consulta Usa una configurazione personalizzata per Amazon SageMaker e segui le istruzioni per configurare il dominio tramite IAM l'autenticazione. Puoi utilizzare le informazioni seguenti per completare la procedura nella sezione:

Puoi ignorare la fase relativa alla creazione di progetti.
Non è necessario fornire l'accesso a ulteriori bucket Amazon S3. I tuoi utenti possono utilizzare il bucket predefinito che forniamo quando creiamo un ruolo.
Per concedere ai tuoi utenti l'accesso per condividere notebook con i data scientist, attiva Configurazione della condivisione del notebook.
Usa Amazon SageMaker Studio Classic versione 3.19.0 o successiva. Per informazioni sull'aggiornamento di Amazon SageMaker Studio Classic, consultaChiudi e aggiorna SageMaker Studio Classic.

Completa la procedura seguente per configurare Okta. Per tutte le seguenti procedure, è necessario specificare lo stesso IAM ruolo perIAM-role.

Aggiungi l'applicazione SageMaker Canvas a Okta

Configura il metodo Sign-On per Okta.

Accedi al pannello di controllo per amministratori di Okta.
Scegli Aggiungi applicazione. Cerca AWS Federazione account.
Scegli Aggiungi.
Facoltativo: modifica il nome in Amazon SageMaker Canvas.
Scegli Next (Successivo).
Scegli SAML2.0 come metodo di accesso.
Scegli Identity Provider Metadata per aprire il file di metadati. XML Salva il file localmente.
Seleziona Fatto.

Configura la federazione degli ID in IAM

AWS Identity and Access Management (IAM) è il AWS servizio che utilizzi per accedere al tuo AWS account. Puoi accedervi AWS tramite un IAM account.

Accedi alla AWS console.
Scegli AWS Identity and Access Management (IAM).
Scegli Provider di identità.
Scegli Crea provider.
In Configura provider, specifica quanto segue:
- Tipo di provider: dall'elenco a discesa, scegli SAML.
- Nome provider: specifica Okta.
- Documento con metadati: carica il XML documento che hai salvato localmente dal passaggio 7 di. Aggiungi l'applicazione SageMaker Canvas a Okta
Trova il tuo provider di identità in Provider di identità. Copia il ARN valore del relativo fornitore.
Per Ruoli, scegli il IAM ruolo che stai utilizzando per l'SSOaccesso a Okta.
In Relazione di fiducia per il IAM ruolo, scegli Modifica relazione di fiducia.

Modifica la politica della relazione di IAM fiducia specificando il ARN valore del fornitore che hai copiato e aggiungi la seguente politica:



{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

In Autorizzazioni, aggiungi la policy seguente:



{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Configura SageMaker Canvas in Okta

Configura Amazon SageMaker Canvas in Okta utilizzando la seguente procedura.

Per configurare Amazon SageMaker Canvas per l'utilizzo di Okta, segui i passaggi in questa sezione. È necessario specificare nomi utente univoci per ogni SageMakerStudioProfileNamecampo. Ad esempio, puoi utilizzare user.login come valore. Se il nome utente è diverso dal nome del profilo SageMaker Canvas, scegli un attributo identificativo univoco diverso. Ad esempio, puoi utilizzare il numero di un ID dipendente per il nome del profilo.

Per un esempio di valori che è possibile impostare in Attributi, consulta il codice che segue la procedura.

In Directory, scegli Gruppi.
Aggiungi un gruppo come da schema seguente: sagemaker#canvas#IAM-role#AWS-account-id.
In Okta, apri la configurazione dell’integrazione dell'applicazione AWS Federazione account.
Seleziona Accedi per l'applicazione AWS Account Federation.
Scegli Modifica e specifica quanto segue:
- SAML2.0
- Stato di inoltro predefinito: https://Region.console.aws.amazon.com/sagemaker/home? region=Region#/studio/tela/apri/StudioId. Puoi trovare lo Studio Classic ID nella console: https://console.aws.amazon.com/sagemaker/
Scegli Attributi.

Nei SageMakerStudioProfileNamecampi, specifica valori univoci per ogni nome utente. I nomi utente devono corrispondere ai nomi utente che hai creato nella console AWS .



Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

Seleziona Tipo di ambiente. Scegli Normale AWS.
- Se il tipo di ambiente non è elencato, puoi impostarlo ACS URL nel ACSURLcampo. Se il tipo di ambiente in uso è presente nell'elenco, non è necessario immettere il ACS URL
Per Identity Provider ARN, specificare quello utilizzato nel passaggio 6 della procedura precedente. ARN
Specifica una durata della sessione.
Scegli Collega tutti i ruoli.
Attiva Usa la mappatura dei gruppi specificando i seguenti campi:
- Filtro dell’app: okta
- Filtro del gruppo: ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$
- Modello del valore del ruolo: arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role
Scegli Salva/Successivo.
In Assegnazioni, assegna l'applicazione al gruppo che hai creato.

Aggiungi politiche opzionali sul controllo degli accessi in IAM

InIAM, puoi applicare la seguente politica all'utente amministratore che crea i profili utente.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Se scegli di aggiungere la policy precedente all'utente amministratore, devi utilizzare le seguenti autorizzazioni da Configura la federazione degli ID in IAM.



{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concedi ai tuoi utenti le autorizzazioni per caricare file locali

Configurazione dello storage Amazon S3