Configure o SageMaker Canvas para seus usuários - Amazon SageMaker
Adicione o aplicativo SageMaker Canvas ao OktaConfigurar federação de ID em IAMConfigurar o SageMaker Canvas no OktaAdicione políticas opcionais sobre controle de acesso em IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure o SageMaker Canvas para seus usuários

Para configurar o Amazon SageMaker Canvas, faça o seguinte:

  • Crie um SageMaker domínio da Amazon.

  • Crie perfis de usuário para o domínio

  • Configure o Okta Single Sign On (OktaSSO) para seus usuários.

  • Ative o compartilhamento de links para modelos.

Use o Okta Single-Sign On (OktaSSO) para conceder aos seus usuários acesso ao Amazon Canvas. SageMaker SageMaker O Canvas suporta SSO métodos SAML 2.0. As seções a seguir orientam você pelos procedimentos para configurar o OktaSSO.

Para configurar um domínio, consulte Use a configuração personalizada para a Amazon SageMaker e siga as instruções para configurar seu domínio usando a IAM autenticação. Você pode usar as seguintes informações para ajudar a concluir o procedimento na seção:

  • Você pode ignorar a etapa de criação de projetos.

  • Não é necessário fornecer acesso a buckets adicionais do Amazon S3. Seus usuários podem usar o bucket padrão que fornecemos quando criamos uma função.

  • Para conceder aos usuários acesso para compartilhar seus cadernos com cientistas de dados, ative a Configuração de compartilhamento do caderno.

  • Use o Amazon SageMaker Studio Classic versão 3.19.0 ou posterior. Para obter informações sobre a atualização do Amazon SageMaker Studio Classic, consulteDesligue e atualize o SageMaker Studio Classic.

Utilize o procedimento a seguir para configurar o Okta. Para todos os procedimentos a seguir, você especifica a mesma IAM função paraIAM-role.

Adicione o aplicativo SageMaker Canvas ao Okta

Configure o método de login para o Okta.

  1. Faça login no painel de administração do Okta.

  2. Escolha Adicionar aplicação. Pesquise por Federação de contas da AWS .

  3. Escolha Adicionar.

  4. Opcional: altere o nome para Amazon SageMaker Canvas.

  5. Escolha Próximo.

  6. Escolha SAML2.0 como método de login.

  7. Escolha Metadados do provedor de identidade para abrir o arquivo de metadadosXML. Salve o arquivo localmente.

  8. Selecione Done (Concluído).

Configurar federação de ID em IAM

AWS Identity and Access Management (IAM) é o AWS serviço que você usa para obter acesso à sua AWS conta. Você obtém acesso AWS por meio de uma IAM conta.

  1. Faça login no AWS console.

  2. Escolha AWS Identity and Access Management (IAM).

  3. Escolha Provedores de identidades.

  4. Escolha Criar provedor.

  5. Para Configurar provedor, especifique o seguinte:

    • Tipo de provedor — Na lista suspensa, escolha. SAML

    • Nome do provedor: especifique Okta.

    • Documento de metadados — Faça o upload do XML documento que você salvou localmente a partir da etapa 7 doAdicione o aplicativo SageMaker Canvas ao Okta.

  6. Encontre seu provedor de identidades em Provedores de identidades. Copie seu ARN valor de provedor.

  7. Em Funções, escolha a IAM função que você está usando para SSO acessar o Okta.

  8. Em Relação de Confiança para a IAM função, escolha Editar Relação de Confiança.

  9. Modifique a política de relacionamento de IAM confiança especificando o ARN valor do provedor que você copiou e adicione a seguinte política:

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

  10. Para Permissões, adicione a seguinte política:

    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*"
      }
  ]
}

Configurar o SageMaker Canvas no Okta

Configure o Amazon SageMaker Canvas no Okta usando o procedimento a seguir.

Para configurar o Amazon SageMaker Canvas para usar o Okta, siga as etapas nesta seção. Você deve especificar nomes de usuário exclusivos para cada SageMakerStudioProfileNamecampo. Por exemplo, você pode usar user.login como um valor. Se o nome de usuário for diferente do nome do perfil do SageMaker Canvas, escolha um atributo de identificação exclusivo diferente. Por exemplo, você pode usar o número de identificação de um funcionário para o nome do perfil.

Para ver um exemplo de valores que você pode definir para Atributos, consulte o código a seguir ao procedimento.

  1. Em Diretório, escolha Grupos.

  2. Adicione um grupo com o seguinte padrão: sagemaker#canvas#IAM-role#AWS-account-id.

  3. No Okta, abra a configuração de integração da aplicação Federação de contas da AWS .

  4. Selecione Sign On para o aplicativo de Federação de AWS Contas.

  5. Escolha Editar e especifique o seguinte:

  6. Selecione Atributos.

  7. Nos SageMakerStudioProfileNamecampos, especifique valores exclusivos para cada nome de usuário. Os nomes de usuário devem corresponder aos nomes de usuário que você criou no console da AWS .

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. Selecione Tipo de ambiente. Escolha AWS Regular.

    • Se o tipo de ambiente não estiver listado, você pode definir o seu ACS URL no ACSURLcampo. Se o seu tipo de ambiente estiver listado, você não precisará inserir seu ACS URL

  9. Para Provedor de identidade ARN, especifique o ARN que você usou na etapa 6 do procedimento anterior.

  10. Especifique a Duração da sessão.

  11. Escolha Participar de todos os perfis.

  12. Ative a Usar mapeamento de grupos especificando os seguintes campos:

    • Filtro de aplicativos: okta

    • Filtro de grupo: ^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • Padrão de valor do perfil: arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. Escolha Salvar/Próximo.

  14. Em Atribuições, atribua a aplicação ao grupo que você criou.

Adicione políticas opcionais sobre controle de acesso em IAM

EmIAM, você pode aplicar a política a seguir ao usuário administrador que cria os perfis de usuário.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Se você optar por adicionar a política anterior ao usuário administrador, deverá usar as seguintes permissões de Configurar federação de ID em IAM.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:CreatePresignedDomainUrlWithPrincipalTag"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}