사용자를 위한 SageMaker Canvas 설정 - Amazon SageMaker
Okta에 SageMaker Canvas 애플리케이션 추가에서 ID 페더레이션 설정 IAMOkta에서 SageMaker Canvas 구성에서 액세스 제어에 대한 선택적 정책 추가 IAM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자를 위한 SageMaker Canvas 설정

Amazon SageMaker Canvas를 설정하려면 다음을 수행합니다.

  • Amazon SageMaker 도메인을 생성합니다.

  • 도메인의 사용자 프로필 생성

  • 사용자를 위해 Okta Single Sign On(OktaSSO)을 설정합니다.

  • 모델의 링크 공유를 활성화하세요.

Okta Single-Sign On(OktaSSO)을 사용하여 사용자에게 Amazon SageMaker Canvas에 대한 액세스 권한을 부여합니다. SageMaker Canvas는 SAML 2.0 SSO 메서드를 지원합니다. 다음 섹션에서는 Okta를 설정하는 절차를 안내합니다SSO.

도메인을 설정하려면 를 참조Amazon에 대한 사용자 지정 설정 사용 SageMaker하고 IAM 인증을 사용하여 도메인을 설정하는 지침을 따르세요. 다음 정보를 사용하여 섹션의 절차를 완료할 수 있습니다.

  • 프로젝트 생성 단계는 무시해도 됩니다.

  • 추가적인 Amazon S3 버킷에 대한 액세스 권한을 제공할 필요가 없습니다. 사용자는 역할을 생성할 때 제공되는 기본 버킷을 사용할 수 있습니다.

  • 사용자에게 데이터 과학자와 노트북을 공유할 수 있는 액세스 권한을 부여하려면 노트북 공유 구성을 활성화하세요.

  • Amazon SageMaker Studio Classic 버전 3.19.0 이상을 사용합니다. Amazon SageMaker Studio Classic 업데이트에 대한 자세한 내용은 섹션을 참조하세요 SageMaker Studio Classic 종료 및 업데이트.

다음 절차에 따라 Okta를 설정합니다. 다음 모든 절차에서 IAM-role 에 대해 동일한 IAM 역할을 지정합니다.

Okta에 SageMaker Canvas 애플리케이션 추가

Okta의 사인온 방법을 설정합니다.

  1. Okta 관리자 대시보드에 로그인합니다.

  2. 애플리케이션 추가를 선택합니다. AWS 계정 페더레이션을 검색합니다.

  3. 추가를 선택합니다.

  4. 선택 사항: 이름을 Amazon SageMaker Canvas 로 변경합니다.

  5. Next(다음)를 선택합니다.

  6. Sign-On 메서드로 SAML 2.0을 선택합니다.

  7. Identity Provider Metadata를 선택하여 메타데이터 XML 파일을 엽니다. 파일을 로컬에 저장합니다.

  8. 완료를 선택합니다.

에서 ID 페더레이션 설정 IAM

AWS Identity and Access Management (IAM)는 계정에 액세스하는 데 사용하는 AWS 서비스입니다 AWS . IAM 계정을 AWS 통해 에 액세스할 수 있습니다.

  1. AWS 콘솔에 로그인합니다.

  2. AWS Identity and Access Management (IAM)를 선택합니다.

  3. ID 제공자를 선택합니다.

  4. 공급자 생성을 선택합니다.

  5. 공급자 구성에서 다음을 지정합니다.

    • 공급자 유형 - 드롭다운 목록에서 를 선택합니다SAML.

    • 공급자 이름 - Okta를 지정합니다.

    • 메타데이터 문서 - 의 7단계에서 로컬로 저장한 XML 문서를 업로드합니다Okta에 SageMaker Canvas 애플리케이션 추가.

  6. ID 공급자에서 ID 공급자를 찾으세요. 공급자 ARN 값을 복사합니다.

  7. 역할 에서 Okta SSO 액세스에 사용 중인 IAM 역할을 선택합니다.

  8. IAM 역할에 대한 신뢰 관계에서 신뢰 관계 편집을 선택합니다.

  9. 복사한 공급자 ARN 값을 지정하여 IAM 신뢰 관계 정책을 수정하고 다음 정책을 추가합니다.

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

  10. 권한에 대해 다음 정책을 추가합니다.

    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Okta에서 SageMaker Canvas 구성

다음 절차를 사용하여 Okta에서 Amazon SageMaker Canvas를 구성합니다.

Okta를 사용하도록 Amazon SageMaker Canvas를 구성하려면 이 섹션의 단계를 따릅니다. 각 SageMakerStudioProfileName 필드에 고유한 사용자 이름을 지정해야 합니다. 예를 들어 user.login을 값으로 사용할 수 있습니다. 사용자 이름이 SageMaker Canvas 프로필 이름과 다른 경우 고유하게 식별되는 다른 속성을 선택합니다. 예를 들어, 프로필 이름으로 직원의 ID 번호를 사용할 수 있습니다.

속성에 설정할 수 있는 값의 예는 절차 다음의 코드를 참조하세요.

  1. 디렉터리에서 그룹을 선택합니다.

  2. 다음 sagemaker#canvas#IAM-role#AWS-account-id패턴으로 그룹을 추가합니다.

  3. Okta에서 AWS 계정 페더레이션 애플리케이션 통합 구성을 엽니다.

  4. AWS Account Federation 애플리케이션에 대한 로그인을 선택합니다.

  5. 편집을 선택하고 다음을 지정합니다.

  6. 속성을 선택합니다.

  7. SageMakerStudioProfileName 필드에서 각 사용자 이름에 고유한 값을 지정합니다. 사용자 이름은 AWS 콘솔에서 생성한 사용자 이름과 일치해야 합니다.

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. 환경 유형을 선택합니다. 일반 AWS을 선택합니다.

    • 환경 유형이 나열되지 않은 경우 ACS URL 필드에서 ACS URL 를 설정할 수 있습니다. 환경 유형이 나열된 경우 ACS URL

  9. 자격 증명 공급자 ARN의 경우 이전 절차의 6단계에서 ARN 사용한 를 지정합니다.

  10. 세션 기간을 지정합니다.

  11. 모든 역할 참여를 선택합니다.

  12. 다음 필드를 지정하여 그룹 매핑 사용을 활성화합니다.

    • 앱 필터okta

    • 그룹 필터^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • 역할 값 패턴arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. 저장/다음을 선택합니다.

  14. 할당 아래에서, 생성한 그룹에 애플리케이션을 할당합니다.

에서 액세스 제어에 대한 선택적 정책 추가 IAM

에서 사용자 프로필을 생성하는 관리자 사용자에게 다음 정책을 적용할 IAM수 있습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

이전 정책을 관리자 사용자에게 추가하기로 선택한 경우 에서 ID 페더레이션 설정 IAM에서 다음 권한을 사용해야 합니다.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}