Richten Sie SageMaker Canvas für Ihre Benutzer ein - Amazon SageMaker AI
Fügen Sie die SageMaker Canvas-Anwendung zu Okta hinzuRichten Sie den ID-Verbund in IAM einSageMaker Canvas in Okta konfigurierenFügen Sie optionale Richtlinien zur Zugriffskontrolle in IAM hinzu

Richten Sie SageMaker Canvas für Ihre Benutzer ein

Um Amazon SageMaker Canvas einzurichten, führen Sie die folgenden Schritte aus:

  • Erstellen Sie eine Domain von Amazon SageMaker AI.

  • Erstellen Sie Benutzerprofile für die Domain.

  • Richten Sie Okta Single Sign-On (Okta SSO) für Ihre Benutzer ein.

  • Aktivieren Sie die gemeinsame Nutzung von Links für Modelle.

Verwenden Sie Okta Single Sign-On (Okta SSO), um Ihren Benutzern Zugriff auf Amazon SageMaker Canvas zu gewähren. SageMaker Canvas unterstützt SAML 2.0-SSO-Methoden. Die folgenden Abschnitte führen Sie durch die Verfahren zur Einrichtung von Okta SSO.

Um eine Domain einzurichten, lesen Sie Benutzerdefinierte Einrichtung für Amazon SageMaker AI und befolgen Sie die Anweisungen zum Einrichten Ihrer Domain mithilfe der IAM-Authentifizierung. Die folgenden Informationen können Ihnen dabei helfen, das Verfahren in diesem Abschnitt abzuschließen:

  • Sie können den Schritt zum Erstellen von Projekten ignorieren.

  • Sie müssen keinen Zugriff auf zusätzliche Amazon-S3-Buckets bereitstellen. Ihre Benutzer können den Standard-Bucket verwenden, den wir bei der Erstellung einer Rolle bereitstellen.

  • Um Ihren Benutzern Zugriff auf die gemeinsame Nutzung ihrer Notebooks mit Datenwissenschaftlern zu gewähren, aktivieren Sie die Konfiguration für die gemeinsame Nutzung von Notebooks.

  • Verwenden Sie Amazon SageMaker Studio Classic Version 3.19.0 oder höher. Informationen zur Aktualisierung von Amazon SageMaker Studio Classic finden Sie unter Herunterfahren und Aktualisieren von Amazon SageMaker Studio Classic.

Gehen Sie wie folgt vor, um Okta einzurichten. Für alle folgenden Verfahren geben Sie dieselbe IAM-Rolle für IAM-role an.

Fügen Sie die SageMaker Canvas-Anwendung zu Okta hinzu

Richten Sie die Anmeldemethode für Okta ein.

  1. Melden Sie sich im Okta Admin-Dashboard an.

  2. Wählen Sie Anwendung hinzufügen. Suchen Sie nach AWS Account Federation.

  3. Wählen Sie Hinzufügen aus.

  4. Optional: Ändern Sie den Namen in Amazon SageMaker Canvas.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie SAML 2.0 als Anmeldemethode.

  7. Wählen Sie Identity Provider Metadata, um die Metadaten-XML-Datei zu öffnen. Speichern Sie die Datei lokal.

  8. Wählen Sie Erledigt aus.

Richten Sie den ID-Verbund in IAM ein

AWS Identity and Access Management(IAM) ist der AWS Service, den Sie verwenden, um auf Ihr AWS-Konto zuzugreifen. Sie erhalten AWS über ein IAM-Konto Zugriff darauf.

  1. Melden Sie sich in der AWS-Konsole an.

  2. Wählen Sie AWS Identity and Access Management (IAM).

  3. Wählen Sie Identitätsanbieter.

  4. Wählen Sie Anbieter erstellen.

  5. Geben Sie für Anbieter konfigurieren Folgendes an:

  6. Finden Sie Ihren Identitätsanbieter unter Identitätsanbieter. Kopieren Sie seinen Anbieter-ARN-Wert.

  7. Wählen Sie unter Rollen die IAM-Rolle aus, die Sie für den Okta SSO-Zugriff verwenden.

  8. Wählen Sie unter Vertrauensstellung für die IAM-Rolle die Option Vertrauensstellung bearbeiten.

  9. Ändern Sie die IAM-Vertrauensstellungsrichtlinie, indem Sie den ARN-Wert des Anbieters angeben, den Sie kopiert haben, und fügen Sie die folgende Richtlinie hinzu:

    JSON
    
  {
  "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
        },
        "Action": [
          "sts:AssumeRoleWithSAML",
          "sts:TagSession"
        ],
        "Condition": {
          "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
          }
        }
      },
      {
        "Effect": "Allow",
        "Principal": {
          "Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
        },
        "Action": [
          "sts:SetSourceIdentity"
        ]
      }
    ]
  }

  10. Fügen Sie für Berechtigungen die folgende Richtlinie hinzu:

    JSON
    
{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
                "sagemaker:CreatePresignedDomainUrl"
           ],
           "Resource": "*"
      }
  ]
}

SageMaker Canvas in Okta konfigurieren

Konfigurieren Sie Amazon SageMaker Canvas in Okta mit dem folgenden Verfahren.

Gehen Sie wie in diesem Abschnitt beschrieben vor, um Amazon SageMaker Canvas für die Verwendung von Okta zu konfigurieren. Sie müssen eindeutige Benutzernamen für jedes SageMakerStudioProfileName-Feld angeben. Sie können es beispielsweise user.login als Wert verwenden. Wenn sich der Benutzername vom Namen des SageMaker Canvas-Profils unterscheidet, wählen Sie ein anderes eindeutig identifizierendes Attribut. Sie können beispielsweise die ID-Nummer eines Mitarbeiters als Profilnamen verwenden.

Ein Beispiel für Werte, die Sie für Attribute festlegen können, finden Sie im Code, der dem Verfahren folgt.

  1. Wählen Sie unter Verzeichnis die Option Gruppen aus.

  2. Fügen Sie eine Gruppe mit dem folgenden Muster hinzu: sagemaker#canvas#IAM-role#AWS-account-id.

  3. Öffnen Sie in Okta die Konfiguration für die Anwendungsintegration von AWSAccount Federation.

  4. Wählen Sie Anmelden für die AWS Account Federation-Anwendung aus.

  5. Wählen Sie Bearbeiten und geben Sie Folgendes an:

    • SAML 2.0

    • Standard-Weitergabezustand – https://Region.console.aws.amazon.com/sagemaker/home?region=Region#/studio/canvas/open/StudioId. Sie finden die Studio-Classic-ID in der Konsole: https://console.aws.amazon.com/sagemaker/

  6. Wählen Sie Attribute.

  7. Geben Sie in den Feldern SageMakerStudioProfileName eindeutige Werte für jeden Benutzernamen an. Die Benutzernamen müssen mit den Benutzernamen übereinstimmen, die Sie in der AWS Konsole erstellt haben.

    
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName 
Value: ${user.login}

Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}

  8. Wählen Sie den Umgebungstyp aus. Wählen Sie Regulär AWS.

    • Wenn Ihr Umgebungstyp nicht aufgeführt ist, können Sie Ihre ACS-URL im Feld ACS-URL festlegen. Wenn Ihr Umgebungstyp aufgeführt ist, müssen Sie Ihre ACS-URL nicht eingeben

  9. Geben Sie für Identitätsanbieter-ARN den ARN an, den Sie in Schritt 6 des vorherigen Verfahrens verwendet haben.

  10. Geben Sie eine Sitzungsdauer an.

  11. Wählen Sie Allen Rollen beitreten aus.

  12. Aktivieren Sie Gruppenzuordnung verwenden, indem Sie die folgenden Felder angeben:

    • App-Filterokta

    • Gruppenfilter^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$

    • Rollenwertmusterarn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role

  13. Wählen Sie Speichern/Weiter.

  14. Weisen Sie die Anwendung unter Zuweisungen der Gruppe zu, die Sie erstellt haben.

Fügen Sie optionale Richtlinien zur Zugriffskontrolle in IAM hinzu

In IAM können Sie die folgende Richtlinie auf den Administratorbenutzer anwenden, der die Benutzerprofile erstellt.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateSageMakerStudioUserProfilePolicy",
            "Effect": "Allow",
            "Action": "sagemaker:CreateUserProfile",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "studiouserid"
                    ]
                }
            }
        }
    ]
}

Wenn Sie die vorherige Richtlinie dem Admin-Benutzer hinzufügen möchten, müssen Sie die folgenden Berechtigungen von Richten Sie den ID-Verbund in IAM ein verwenden.

JSON

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "AmazonSageMakerPresignedUrlPolicy",
           "Effect": "Allow",
           "Action": [
               "sagemaker:CreatePresignedDomainUrl"
           ],
           "Resource": "*",
           "Condition": {
                  "StringEquals": {
                      "sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
                 }
            }
      }
  ]
}