Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d'Amazon SageMaker Canvas et gestion des autorisations (pour les administrateurs informatiques)
Les pages suivantes expliquent comment les administrateurs informatiques peuvent configurer Amazon SageMaker Canvas et accorder des autorisations aux utilisateurs au sein de leur organisation. Vous apprendrez à configurer la configuration du stockage, à gérer le chiffrement des données et VPCs à contrôler l'accès à des fonctionnalités spécifiques telles que les modèles de base de l'IA générative, à intégrer d'autres AWS services tels qu'Amazon Redshift, etc. En suivant ces étapes, vous pouvez adapter SageMaker Canvas à vos utilisateurs en fonction des besoins spécifiques de votre organisation.
Vous pouvez également configurer SageMaker Canvas pour vos utilisateurs avec AWS CloudFormation. Pour plus d'informations, voir [AWS: : SageMaker AI : :App](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sagemaker-app.html) dans le *guide de l'AWS CloudFormation utilisateur*.
**Topics**
+ [
# Attribution à vos utilisateurs de l'autorisation de charger des fichiers locaux
](canvas-set-up-local-upload.md)
+ [
# Configurez SageMaker Canvas pour vos utilisateurs
](setting-up-canvas-sso.md)
+ [
# Configuration de votre stockage Amazon S3
](canvas-storage-configuration.md)
+ [
# Octroi d'autorisations pour le stockage Amazon S3 entre comptes
](canvas-permissions-cross-account.md)
+ [
# Octroi aux utilisateurs d’autorisations pour utiliser des données volumineuses tout au long du cycle de vie du machine learning
](canvas-large-data-permissions.md)
+ [
# Chiffrez vos données SageMaker Canvas avec AWS KMS
](canvas-kms.md)
+ [
# Stockez les données de l'application SageMaker Canvas dans votre propre espace d' SageMaker IA
](canvas-spaces-setup.md)
+ [
# Octroi à vos utilisateurs des autorisations nécessaires pour créer des modèles de prédiction d’image et de texte personnalisés
](canvas-set-up-cv-nlp.md)
+ [
# Octroi d’autorisations aux utilisateurs pour utiliser Amazon Bedrock et les fonctionnalités d’IA générative dans Canvas
](canvas-fine-tuning-permissions.md)
+ [
# Mettez à jour SageMaker Canvas pour vos utilisateurs
](canvas-update.md)
+ [
# Demande d’augmentation de quota.
](canvas-requesting-quota-increases.md)
+ [
# Autorisation des utilisateurs à importer des données Amazon Redshift
](canvas-redshift-permissions.md)
+ [
# Autorisez vos utilisateurs à envoyer des prédictions à Quick
](canvas-quicksight-permissions.md)
+ [
# Gestion des applications
](canvas-manage-apps.md)
+ [
# Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet
](canvas-vpc.md)
+ [
# Configurez des connexions aux sources de données avec OAuth
](canvas-setting-up-oauth.md)
# Attribution à vos utilisateurs de l'autorisation de charger des fichiers locaux
Si vos utilisateurs téléchargent des fichiers depuis leurs machines locales vers SageMaker Canvas, vous devez associer une configuration CORS (partage de ressources entre origines) au compartiment Amazon S3 qu'ils utilisent. Lors de la configuration ou de la modification du domaine SageMaker AI ou du profil utilisateur, vous pouvez spécifier un emplacement Amazon S3 personnalisé ou l'emplacement par défaut, qui est un compartiment Amazon S3 créé par l' SageMaker IA avec un nom utilisant le modèle suivant : `s3://sagemaker-{Region}-{your-account-id}` SageMaker Canvas ajoute les données de vos utilisateurs au bucket chaque fois qu'ils téléchargent un fichier.
Pour donner aux utilisateurs l’autorisation de charger des fichiers locaux dans le compartiment, vous pouvez attacher une configuration CORS à celui-ci en exécutant l’une des procédures suivantes. Vous pouvez utiliser la première méthode lorsque vous modifiez les paramètres de votre domaine, en choisissant d'autoriser l' SageMaker IA à associer la configuration CORS au bucket pour vous. Vous pouvez également utiliser la première méthode pour modifier un profil utilisateur au sein d’un domaine. La deuxième méthode est manuelle et vous permet d’attacher vous-même la configuration CORS au compartiment.
## SageMaker Méthode de configuration du domaine AI
Pour autoriser vos utilisateurs à charger les fichiers locaux, vous pouvez modifier la configuration de l’application Canvas dans les paramètres du domaine. Cela associe une configuration CORS (Cross-Origin Resource Sharing) au compartiment Amazon S3 de la configuration de stockage Canvas et autorise tous les utilisateurs du domaine à télécharger des fichiers locaux dans SageMaker Canvas. Par défaut, l’option des autorisations est activée lorsque vous configurez un nouveau domaine, mais vous pouvez activer ou désactiver cette option selon vos besoins.
**Note**
Si vous disposez d’une configuration CORS existante sur le compartiment Amazon S3 de la configuration de stockage, l’activation de l’option de chargement des fichiers locaux remplace la configuration existante par la nouvelle configuration.
La procédure suivante montre comment activer cette option en modifiant les paramètres du domaine dans la console SageMaker AI.
1. Accédez à la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le volet de navigation de gauche, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez votre domaine.
1. Sur la page Détails du domaine, sélectionnez l’onglet **Configurations des applications**.
1. Accédez à la section **Canvas** et choisissez **Modifier**.
1. Activez le bouton **Activer le chargement de fichiers locaux**. Cela attache la configuration CORS et accorde les autorisations de chargement des fichiers locaux.
1. Sélectionnez **Soumettre**.
Les utilisateurs du domaine spécifié doivent désormais disposer des autorisations de chargement des fichiers locaux.
Vous pouvez également accorder des autorisations à des profils utilisateur spécifiques dans un domaine en suivant la procédure précédente et en accédant aux paramètres du profil utilisateur plutôt qu’aux paramètres généraux du domaine.
## Méthode du compartiment Amazon S3
Si vous souhaitez associer manuellement la configuration CORS au compartiment SageMaker AI Amazon S3, suivez la procédure suivante.
1. Connectez-vous à [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Choisissez votre compartiment. Si votre domaine utilise le bucket créé par l' SageMaker IA par défaut, le nom du bucket utilise le modèle suivant :`s3://sagemaker-{Region}-{your-account-id}`.
1. Choisissez **Autorisations**.
1. Accédez à **Cross-origins resource sharing (CORS)** (Partage des ressources cross-origine [CORS]).
1. Choisissez **Modifier**.
1. Ajoutez la politique CORS suivante :
```
[
{
"AllowedHeaders": [
"*"
],
"AllowedMethods": [
"POST"
],
"AllowedOrigins": [
"*"
],
"ExposeHeaders": []
}
]
```
1. Sélectionnez **Enregistrer les modifications**.
Dans la procédure précédente, la politique CORS doit avoir `"POST"`répertorié sous `AllowedMethods`.
Après avoir suivi la procédure, vous devriez avoir :
+ Un rôle IAM attribué à chacun de vos utilisateurs.
+ Autorisations d'exécution Amazon SageMaker Studio Classic pour chacun de vos utilisateurs. SageMaker Canvas utilise Studio Classic pour exécuter les commandes de vos utilisateurs.
+ Si les utilisateurs chargent des fichiers à partir de leurs machines locales, une politique CORS est attachée à leur compartiment Amazon S3.
Si vos utilisateurs ne sont toujours pas en mesure de charger les fichiers locaux après avoir mis à jour la politique CORS, il se peut que le navigateur mette en cache les paramètres CORS d'une tentative de chargement précédente. S’ils rencontrent des problèmes, demandez-leur de vider le cache de leur navigateur et d’essayer à nouveau.
# Configurez SageMaker Canvas pour vos utilisateurs
Pour configurer Amazon SageMaker Canvas, procédez comme suit :
+ Créez un domaine Amazon SageMaker AI.
+ Créez des profils utilisateur pour ce domaine.
+ Configurez l'authentification unique Okta (Okta SSO) pour vos utilisateurs.
+ Activez le partage de liens pour les modèles.
Utilisez Okta Single-Sign On (Okta SSO) pour autoriser vos utilisateurs à accéder à Amazon Canvas. SageMaker SageMaker Canvas prend en charge les méthodes SSO SAML 2.0. Les sections suivantes vous guident à travers les procédures de configuration SSO Okta.
Pour configurer un domaine, consultez [Utiliser une configuration personnalisée pour Amazon SageMaker AI](onboard-custom.md) et suivez les instructions de configuration de votre domaine à l’aide de l’authentification IAM. Vous pouvez suivre ces conseils pour terminer la procédure dans la section :
+ Vous pouvez ignorer l'étape concernant la création de projets.
+ Vous n'avez pas besoin de fournir l'accès à d'autres compartiments Amazon S3. Vos utilisateurs peuvent utiliser le compartiment par défaut que nous fournissons lorsque nous créons un rôle.
+ Pour donner à vos utilisateurs la possibilité de partager leurs blocs-notes avec des scientifiques des données, activez **Notebook Sharing Configuration** (Configuration du partage de bloc-notes).
+ Utilisez Amazon SageMaker Studio Classic version 3.19.0 ou ultérieure. Pour plus d'informations sur la mise à jour d'Amazon SageMaker Studio Classic, consultez[Arrêter et mettre à jour Amazon SageMaker Studio Classic](studio-tasks-update-studio.md).
Suivez la procédure ci-dessous pour configurer Okta. Pour toutes les procédures suivantes, vous spécifiez le même rôle IAM pour `IAM-role`.
## Ajoutez l'application SageMaker Canvas à Okta
Configurez la méthode d’authentification pour Okta.
1. Connectez-vous au tableau de bord d'administration d'Okta.
1. Choisissez **Add application** (Ajouter une application). Recherchez **AWS Account Federation**.
1. Choisissez **Ajouter**.
1. Facultatif : remplacez le nom par **Amazon SageMaker Canvas**.
1. Choisissez **Suivant**.
1. Pour **SAML 2.0**, choisissez la méthode **Sign-On** (Authentification).
1. Choisissez **Identify Provider Metadata** (Identifier les médatonnées du fournisseur) pour ouvrir le fichier XML de métadonnées. Enregistrez le fichier au niveau local.
1. Sélectionnez **Exécuté**.
## Configurer la fédération d'ID dans IAM
Gestion des identités et des accès AWS (IAM) est le AWS service que vous utilisez pour accéder à votre AWS compte. Vous pouvez y accéder AWS par le biais d'un compte IAM.
1. Connectez-vous à la AWS console.
1. Choisissez **Gestion des identités et des accès AWS (IAM)**.
1. Choisissez **Identity Providers** (Fournisseurs d'identité).
1. Choisissez **Create provider** (Créer un fournisseur).
1. Pour **Configure Provider** (Configurer le fournisseur), spécifiez les paramètres suivants :
+ **Provider Type** (Type de fournisseur) : dans la liste déroulante, choisissez **SAML**.
+ **Provider Name** (Nom du fournisseur) – Spécifiez **Okta**.
+ **Metadata Document** (Document de métadonnées) – Chargez le document XML que vous avez enregistré localement à l'étape 7 de [Ajoutez l'application SageMaker Canvas à Okta](#canvas-set-up-okta).
1. Trouvez votre fournisseur d'identité sous **Identity Providers** (Fournisseurs d'identité). Copiez sa valeur **ARN Provider** (ARN fournisseur).
1. Pour **Roles** (Rôles), choisissez le rôle IAM que vous utilisez pour accéder à l'authentification unique Okta.
1. Sous **Trust Relationship** (Relation d'approbation) pour le rôle IAM, choisissez **Edit Trust Relationship** (Modifier la relation d'approbation).
1. Modifiez la politique de relation d'approbation IAM en spécifiant la **Provider ARN** (ARN fournisseur) que vous avez copiée et ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:SetSourceIdentity"
]
}
]
}
```
------
1. Pour **Permissions** (Autorisation), ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*"
}
]
}
```
------
## Configurer SageMaker Canvas dans Okta
Configurez Amazon SageMaker Canvas dans Okta en suivant la procédure suivante.
Pour configurer Amazon SageMaker Canvas afin d'utiliser Okta, suivez les étapes décrites dans cette section. Vous devez spécifier des noms d'utilisateur uniques pour chaque **SageMakerStudioProfileName**champ. Par exemple, vous pouvez utiliser `user.login` en tant que valeur. Si le nom d'utilisateur est différent du nom du profil SageMaker Canvas, choisissez un autre attribut d'identification unique. Par exemple, vous pouvez utiliser l'ID d'un employé comme nom de profil.
Pour obtenir un exemple de valeurs que vous pouvez définir pour **Attributs**, consultez le code suivant la procédure.
1. Sous **Directory** (Répertoire), choisissez **Groups** (Groupes).
1. Ajoutez un groupe avec le modèle suivant : `sagemaker#canvas#IAM-role#AWS-account-id`.
1. Dans Okta, ouvrez la configuration d'intégration d'application **AWS Account Federation**.
1. Sélectionnez **Se connecter pour l'**application AWS Account Federation.
1. Choisissez **Edit** (Modifier) et spécifiez les paramètres suivants :
+ SAML 2.0
+ **État du relais par défaut** — https ://*Region*.console.aws.amazon. com/sagemaker/home? région= *Region* \$1//studio/canvas/open. *StudioId* Vous pouvez trouver l'identifiant Studio Classic dans la console : [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Choisissez **Attributes** (Attributs).
1. Dans les **SageMakerStudioProfileName**champs, spécifiez des valeurs uniques pour chaque nom d'utilisateur. Les noms d’utilisateur doivent correspondre aux noms d’utilisateur que vous avez créés dans la console AWS .
```
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName
Value: ${user.login}
Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}
```
1. Sélectionnez **Environment Type** (Type d'environnement). Choisissez **Regular AWS** ( AWS classique).
+ Si votre type d’environnement ne figure pas dans la liste, vous pouvez définir votre URL ACS dans le champ **URL ACS**. Si votre type d'environnement est répertorié, vous n'avez pas besoin de saisir votre URL ACS.
1. Pour **ARN du fournisseur d’identité**, spécifiez l’ARN que vous avez utilisé à l’étape 6 de la procédure précédente.
1. Spécifiez une **Session Duration** (Durée de la session).
1. Choisissez **Join all roles** (Joindre tous les rôles).
1. Activez **Use Group Mapping** (Utiliser le mappage de groupe) en spécifiant les champs suivants :
+ **App Filter** (Filtre d'application) – `okta`
+ **Group Filter** (Filtre de groupe) – `^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$`
+ **Role Value Pattern** (Modèle de valeur de rôle) – `arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role`
1. Choisissez **Save/Next** (Enregistrer/Suivant).
1. Sous **Assignments** (Affectations), attribuez l'application au groupe que vous avez créé.
## Ajouter des politiques facultatives sur le contrôle d'accès dans IAM
Dans IAM, vous pouvez appliquer la politique suivante à l'utilisateur administrateur qui crée les profils utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
```
------
Si vous choisissez d’ajouter la politique précédente à l’utilisateur administrateur, vous devez utiliser les autorisations suivantes à partir de [Configurer la fédération d'ID dans IAM](#set-up-id-federation-IAM).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}
```
------
# Configuration de votre stockage Amazon S3
Lorsque vous configurez votre application SageMaker Canvas, l'emplacement de stockage par défaut pour les artefacts du modèle, les ensembles de données et les autres données d'application est un compartiment Amazon S3 créé par Canvas. Ce compartiment Amazon S3 par défaut suit le modèle de dénomination `s3://sagemaker-{Region}-{your-account-id}` et se trouve dans la même région que votre application Canvas. Cependant, vous pouvez personnaliser l'emplacement de stockage et spécifier votre propre compartiment Amazon S3 pour y stocker les données de l'application Canvas. Vous pouvez utiliser votre propre compartiment Amazon S3 pour stocker les données d'application pour l'une des raisons suivantes :
+ Votre organisation dispose de conventions de dénomination internes pour les compartiments Amazon S3.
+ Vous souhaitez activer l'accès intercompte aux artefacts de modèle ou à d'autres données Canvas.
+ Vous devez respecter les directives de sécurité internes, telles que la restriction des utilisateurs à certains compartiments Amazon S3 ou à certains artefacts de modèle.
+ Vous souhaitez améliorer la visibilité et l'accès aux journaux produits par Canvas, indépendamment de la AWS console ou de SageMaker Studio Classic.
En spécifiant votre propre compartiment Amazon S3, vous pouvez mieux contrôler votre propre stockage et être en conformité avec votre organisation.
Pour commencer, vous pouvez soit créer un nouveau domaine SageMaker AI ou un nouveau profil utilisateur, soit mettre à jour un domaine ou un profil utilisateur existant. Notez que les paramètres du profil utilisateur remplacent les paramètres au niveau du domaine. Par exemple, vous pouvez utiliser la configuration de compartiment par défaut au niveau du domaine, mais vous pouvez spécifier un compartiment Amazon S3 personnalisé pour un utilisateur individuel. Après avoir spécifié votre propre compartiment Amazon S3 pour le domaine ou le profil utilisateur, Canvas crée un sous-dossier appelé `Canvas/` sous l’URI Amazon S3 d’entrée et enregistre tous les artefacts générés dans l’application Canvas dans ce sous-dossier.
**Important**
Si vous mettez à jour un domaine ou un profil utilisateur existant, vous n’avez plus accès à vos artefacts Canvas à partir de l’emplacement précédent. Vos fichiers se trouvent toujours dans l'ancien emplacement Amazon S3, mais vous ne pouvez plus les consulter à partir de Canvas. La nouvelle configuration prendra effet la prochaine fois que vous vous connecterez à l'application.
Pour plus d'informations sur l'octroi d'un accès intercompte à votre compartiment Amazon S3, consultez [Octroi d'autorisations d'objets entre comptes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html#access-policies-walkthrough-example4-overview) dans le *Guide de l'utilisateur Amazon S3*.
Les sections suivantes expliquent comment spécifier un compartiment Amazon S3 personnalisé pour votre configuration de stockage Canvas. Si vous configurez un nouveau domaine SageMaker AI (ou un nouvel utilisateur dans un domaine), utilisez le [Nouvelle méthode de configuration de domaine](#canvas-storage-configuration-new-domain) ou le[Nouvelle méthode de configuration de profil utilisateur](#canvas-storage-configuration-new-user). Si vous possédez déjà un profil utilisateur Canvas et que vous souhaitez mettre à jour la configuration de stockage du profil, utilisez la [Méthode utilisateur existante](#canvas-storage-configuration-existing-user).
## Avant de commencer
Si vous spécifiez un URI Amazon S3 provenant d'un autre AWS compte, ou si vous utilisez un compartiment chiffré avec AWS KMS, vous devez configurer les autorisations avant de continuer. Vous devez accorder des autorisations AWS IAM pour que Canvas puisse télécharger et charger des objets depuis et vers votre bucket. Pour plus d'informations sur l'octroi des autorisations requises, consultez [Octroi d'autorisations pour le stockage Amazon S3 entre comptes](canvas-permissions-cross-account.md).
En outre, l'URI Amazon S3 final du dossier d'entraînement dans votre emplacement de stockage Canvas doit comporter 128 caractères ou moins. L'URI Amazon S3 final se compose du chemin de votre compartiment (`s3:////`) et du chemin que Canvas ajoute à votre compartiment (`Canvas//Training`). Voici par exemple un chemin acceptable de moins de 128 caractères : `s3:////Canvas//Training`.
## Nouvelle méthode de configuration de domaine
Si vous configurez une nouvelle application de domaine et Canvas, utilisez cette section pour configurer l’emplacement de stockage au niveau du domaine. Cette configuration s’applique à tous les nouveaux utilisateurs que vous créez dans le domaine, sauf si vous spécifiez un emplacement de stockage différent pour chaque profil utilisateur.
Lorsque vous effectuez une **configuration standard** pour votre domaine, sur la page **Étape 3 : Configuration des applications – Facultatif**, appliquez la procédure suivante pour la section **Canvas** :
1. Pour **Configuration du stockage Canvas**, procédez comme suit :
1. Sélectionnez **Système géré** si vous souhaitez définir l'emplacement du bucket SageMaker AI par défaut qui suit le modèle`s3://sagemaker-{Region}-{your-account-id}`.
1. Sélectionnez **S3 personnalisé** pour spécifier votre propre compartiment Amazon S3 comme emplacement de stockage. Entrez ensuite l'URI d'Amazon S3.
1. (Facultatif) Pour **Clé de chiffrement**, spécifiez une clé KMS permettant de chiffrer les artefacts Canvas stockés à l'emplacement spécifié.
1. Terminez la configuration du domaine et choisissez **Soumettre**.
Votre domaine est désormais configuré pour utiliser l'emplacement Amazon S3 que vous avez spécifié pour le stockage des applications SageMaker Canvas.
## Nouvelle méthode de configuration de profil utilisateur
Si vous configurez un nouveau profil utilisateur dans votre domaine, utilisez cette section pour configurer l’emplacement de stockage de l’utilisateur. Cette configuration remplace la configuration au niveau du domaine.
Lorsque vous ajoutez un profil utilisateur à votre domaine, pour **Étape 2 : Configuration des applications**, appliquez la procédure suivante pour la section **Canvas** :
1. Pour **Configuration du stockage Canvas**, procédez comme suit :
1. Sélectionnez **Système géré** si vous souhaitez définir l'emplacement du bucket créé par défaut par l' SageMaker IA qui suit le modèle`s3://sagemaker-{Region}-{your-account-id}`.
1. Sélectionnez **S3 personnalisé** pour spécifier votre propre compartiment Amazon S3 comme emplacement de stockage. Entrez ensuite l'URI d'Amazon S3.
1. (Facultatif) Pour **Clé de chiffrement**, spécifiez une clé KMS permettant de chiffrer les artefacts Canvas stockés à l'emplacement spécifié.
1. Terminez la configuration du profil utilisateur et choisissez **Soumettre**.
Votre profil utilisateur est désormais configuré pour utiliser l'emplacement Amazon S3 que vous avez spécifié pour le stockage des applications SageMaker Canvas.
## Méthode utilisateur existante
Si vous avez déjà un profil utilisateur Canvas et que vous souhaitez mettre à jour l'emplacement de stockage Amazon S3, vous pouvez modifier le domaine SageMaker AI ou les paramètres du profil utilisateur. Le changement prendra effet la prochaine fois que vous vous connecterez à l’application Canvas.
**Note**
Lorsque vous modifiez l'emplacement de stockage d'une application Canvas existante, vous perdez l'accès à vos artefacts Canvas à partir de l'emplacement de stockage précédent. Les artefacts sont toujours stockés dans l'ancien emplacement Amazon S3, mais vous ne pouvez plus les consulter à partir de Canvas.
N’oubliez pas que les paramètres du profil utilisateur remplacent les paramètres généraux du domaine. Vous pouvez donc mettre à jour l’emplacement de stockage Amazon S3 pour certains profils utilisateur sans le modifier pour tous les utilisateurs. Vous pouvez mettre à jour la configuration de stockage pour un domaine ou un utilisateur existant en appliquant les procédures suivantes.
------
#### [ Update an existing domain ]
Appliquez la procédure suivante pour mettre à jour la configuration de stockage d’un domaine.
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d'administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez votre domaine.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Configurations des applications**.
1. Faites défiler l’affichage jusqu’à la section **Canvas**, puis choisissez **Modifier**.
1. La page **Modifier les paramètres de Canvas** s’ouvre. Pour la section **Configuration du stockage Canvas**, procédez comme suit :
1. Sélectionnez **Système géré** si vous souhaitez définir l'emplacement du bucket créé par défaut par l' SageMaker IA qui suit le modèle`s3://sagemaker-{Region}-{your-account-id}`.
1. Sélectionnez **S3 personnalisé** pour spécifier votre propre compartiment Amazon S3 comme emplacement de stockage. Entrez ensuite l'URI d'Amazon S3.
1. (Facultatif) Pour **Clé de chiffrement**, spécifiez une clé KMS permettant de chiffrer les artefacts Canvas stockés à l'emplacement spécifié.
1. Terminez toutes les autres modifications que vous souhaitez apporter au domaine, puis choisissez **Soumettre** pour enregistrer vos modifications.
------
#### [ Update an existing user profile ]
Procédez comme suit pour mettre à jour la configuration de stockage d’un profil utilisateur.
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des **domaines**, choisissez votre domaine.
1. Dans la liste des utilisateurs du domaine, choisissez l’utilisateur dont vous souhaitez modifier la configuration.
1. Sur la page **Détails de l’utilisateur**, choisissez **Modifier**.
1. Dans le panneau de navigation, choisissez **Paramètres de Canvas**.
1. Pour **Configuration du stockage Canvas**, procédez comme suit :
1. Sélectionnez **Système géré** si vous souhaitez définir l'emplacement du bucket SageMaker AI par défaut qui suit le modèle`s3://sagemaker-{Region}-{your-account-id}`.
1. Sélectionnez **S3 personnalisé** pour spécifier votre propre compartiment Amazon S3 comme emplacement de stockage. Entrez ensuite l'URI d'Amazon S3.
1. (Facultatif) Pour **Clé de chiffrement**, spécifiez une clé KMS permettant de chiffrer les artefacts Canvas stockés à l'emplacement spécifié.
1. Terminez toutes les autres modifications que vous souhaitez apporter au profil utilisateur, puis choisissez **Soumettre** pour enregistrer vos modifications.
------
L'emplacement de stockage de votre profil utilisateur Canvas doit maintenant être mis à jour. La prochaine fois que vous vous connecterez à l'application Canvas, vous recevrez une notification indiquant que l'emplacement de stockage a été mis à jour. Vous perdez l'accès à tous les artefacts que vous avez créés précédemment dans Canvas. Vous pouvez toujours accéder aux fichiers dans Amazon S3, mais vous ne pouvez plus les consulter dans Canvas.
# Octroi d'autorisations pour le stockage Amazon S3 entre comptes
Lorsque vous configurez votre domaine SageMaker AI ou votre profil utilisateur pour que les utilisateurs puissent accéder à SageMaker Canvas, vous spécifiez un emplacement de stockage Amazon S3 pour les artefacts Canvas. Ces artefacts incluent des copies enregistrées de vos jeux de données d’entrée, des artefacts de modèle, des prédictions et d’autres données d’application. Vous pouvez soit utiliser le compartiment Amazon S3 créé par défaut par l' SageMaker IA, soit personnaliser l'emplacement de stockage et spécifier votre propre compartiment pour stocker les données de l'application Canvas.
Vous pouvez spécifier un compartiment Amazon S3 dans un autre AWS compte pour stocker vos données Canvas, mais vous devez d'abord accorder des autorisations entre comptes afin que Canvas puisse accéder au compartiment.
Les sections suivantes expliquent comment accorder des autorisations à Canvas pour le chargement et le téléchargement d'objets vers et à partir d'un compartiment Amazon S3 dans un autre compte. Il existe des autorisations supplémentaires lorsque votre bucket est crypté avec AWS KMS.
## Exigences
Avant de commencer, passez en revue les conditions requises suivantes :
+ Les compartiments Amazon S3 multicomptes (et toutes AWS KMS les clés associées) doivent se trouver dans la même AWS région que le domaine ou le profil utilisateur Canvas.
+ L'URI Amazon S3 final du dossier d'entraînement dans votre emplacement de stockage Canvas doit comporter 128 caractères ou moins. L'URI S3 final se compose du chemin de votre compartiment (`s3:////`) et du chemin que Canvas ajoute à votre compartiment (`Canvas//Training`). Voici par exemple un chemin acceptable de moins de 128 caractères : `s3:////Canvas//Training`.
## Autorisations pour les compartiments Amazon S3 entre comptes
La section suivante décrit les étapes de base permettant d'accorder les autorisations nécessaires afin que Canvas puisse accéder à votre compartiment Amazon S3 dans un autre compte. Pour des instructions plus détaillées, consultez l'[Exemple 2 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations entre comptes sur un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) dans le *Guide de l'utilisateur Amazon S3*.
1. Créez un compartiment Amazon S3 (`bucketA`) dans le Compte A.
1. L’utilisateur Canvas existe dans un autre compte appelé Compte B. Au cours des étapes suivantes, nous appellerons le rôle IAM de l’utilisateur Canvas `roleB` dans le Compte B.
Accordez au rôle IAM `roleB` dans le Compte B l'autorisation de télécharger (`GetObject`) et de charger (`PutObject`) des objets dans et à partir de `bucketA` dans le Compte A en attachant une politique IAM.
Pour limiter l'accès à un dossier de compartiment spécifique, définissez le nom du dossier dans l'élément de ressource ; par exemple, `arn:aws:s3:::/FolderName/*`. Pour plus d'informations, consultez [Comment utiliser des politiques IAM pour accorder un accès utilisateur à certains dossiers ?](https://aws.amazon.com/premiumsupport/knowledge-center/iam-s3-user-specific-folder/) (langue française non garantie).
**Note**
Les actions au niveau du compartiment, telles que `GetBucketCors` et `GetBucketLocation`, doivent être ajoutées aux ressources au niveau du compartiment, et non aux dossiers.
L'exemple de politique IAM suivant accorde les autorisations requises permettant à `roleB` d'accéder aux objets de `bucketA` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucketA/FolderName/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucketA"
]
}
]
}
```
------
1. Configurez la politique de compartiment de `bucketA` dans le Compte A afin d'accorder des autorisations au rôle IAM `roleB` dans le Compte B.
**Note**
Les administrateurs doivent également désactiver l'option **Bloquer tous les accès publics** dans la section **Autorisations** du compartiment.
Voici un exemple de stratégie de compartiment permettant à `bucketA` d’accorder les autorisations nécessaires à `roleB` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::bucketA/FolderName/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucketA"
}
]
}
```
------
Après avoir configuré les autorisations précédentes, votre profil utilisateur Canvas dans le Compte B peut désormais utiliser le compartiment Amazon S3 dans le Compte A comme emplacement de stockage pour les artefacts Canvas.
## Autorisations pour les compartiments Amazon S3 multicomptes chiffrés avec AWS KMS
La procédure suivante explique comment accorder les autorisations nécessaires pour que Canvas puisse accéder à votre compartiment Amazon S3 depuis un autre compte crypté avec AWS KMS. Les étapes sont similaires à la procédure ci-dessus, mais avec des autorisations supplémentaires. Pour plus d’informations sur l’octroi d’un accès à une clé KMS entre comptes, consultez [Autorisation d’utilisateurs d’autres comptes à utiliser une clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) dans le *Guide du développeur AWS KMS *.
1. Créez un compartiment Amazon S3 `bucketA` et une clé KMS Amazon S3 `s3KmsInAccountA` dans le Compte A.
1. L’utilisateur Canvas existe dans un autre compte appelé Compte B. Au cours des étapes suivantes, nous appellerons le rôle IAM de l’utilisateur Canvas `roleB` dans le Compte B.
Accordez au rôle IAM `roleB` dans le Compte B l'autorisation d'effectuer les opérations suivantes :
+ Télécharger (`GetObject`) et charger (`PutObject`) des objets vers et à partir de `bucketA` dans le Compte A.
+ Accédez à la AWS KMS clé `s3KmsInAccountA` dans le compte A.
L'exemple de politique IAM suivant accorde les autorisations requises permettant à `roleB` d'accéder aux objets dans `bucketA` et d'utiliser la clé KMS `s3KmsInAccountA` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucketA/FolderName/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucketA"
]
},
{
"Action": [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:Decrypt"
],
"Effect": "Allow",
"Resource": "arn:aws:kms:us-east-1:111122223333:key/s3KmsInAccountA"
}
]
}
```
------
1. Configurez la politique de compartiment de `bucketA` et la stratégie de clé de `s3KmsInAccountA` dans le Compte A afin d'accorder des autorisations au rôle IAM `roleB` dans le Compte B.
Voici un exemple de politique de compartiment permettant à `bucketA` d'accorder les autorisations nécessaires à `roleB` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::bucketA/FolderName/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucketA"
}
]
}
```
------
L'exemple suivant est une stratégie de clé que vous attachez à la clé KMS `s3KmsInAccountA` dans le Compte A pour accorder l'accès à `roleB`. Pour plus d’informations sur la création et l’attachement d’une instruction de stratégie de clé, consultez [Création d’une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) dans le *Guide du développeur AWS KMS *.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::accountB:role/roleB"
]
},
"Action": [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:Decrypt"
],
"Resource": "*"
}
```
Après avoir configuré les autorisations précédentes, votre profil utilisateur Canvas dans le Compte B peut désormais utiliser le compartiment Amazon S3 chiffré dans le Compte A comme emplacement de stockage pour les artefacts Canvas.
# Octroi aux utilisateurs d’autorisations pour utiliser des données volumineuses tout au long du cycle de vie du machine learning
Les utilisateurs d'Amazon SageMaker Canvas qui travaillent avec des ensembles de données supérieurs à 10 Go au format CSV ou à 2,5 Go au format Parquet ont besoin d'autorisations spécifiques pour le traitement de données volumineuses. Ces autorisations sont essentielles pour la gestion de données à grande échelle tout au long du cycle de vie du machine learning. Lorsque les ensembles de données dépassent les seuils indiqués ou la capacité de mémoire locale de l'application, SageMaker Canvas utilise Amazon EMR Serverless pour un traitement efficace. Cela s’applique aux éléments suivants :
+ Importation de données : importation de grands jeux de données avec un échantillonnage aléatoire ou stratifié.
+ Préparation des données : exportation des données traitées depuis Data Wrangler dans Canvas vers Amazon S3, vers un nouveau jeu de données Canvas ou vers un modèle Canvas.
+ Génération de modèles : entraînement de modèles sur de grands jeux de données.
+ Inférence : réalisation de prédictions sur de grands jeux de données.
Par défaut, SageMaker Canvas utilise EMR Serverless pour exécuter ces tâches à distance avec les paramètres d'application suivants :
+ Capacité pré-initialisée : non configurée
+ Limites d'application : capacité maximale de 400 VCPUs, 16 V simultanés maximum CPUs par compte, 3 000 Go de mémoire, 20 000 Go de disque
+ Configuration du métastore : AWS Glue Data Catalog
+ Journaux des applications : stockage AWS géré (activé), à l'aide d'une clé de chiffrement AWS détenue
+ Comportement de l’application : démarre automatiquement lors de la soumission de la tâche et s’arrête automatiquement après 15 minutes d’inactivité de l’application
Pour activer ces capacités de traitement de données volumineuses, les utilisateurs ont besoin des autorisations nécessaires, qui peuvent être accordées via les paramètres de domaine Amazon SageMaker AI. La méthode d'octroi de ces autorisations dépend de la façon dont votre domaine Amazon SageMaker AI a été configuré initialement. Nous aborderons trois scénarios principaux :
+ Configuration rapide de domaine
+ Configuration de domaine personnalisée (avec access/without VPC Internet public)
+ Configuration de domaine personnalisée (avec VPC et sans accès au réseau Internet public)
Chaque scénario nécessite des étapes spécifiques pour garantir que les utilisateurs disposent des autorisations requises pour utiliser EMR Serverless pour le traitement de données volumineuses tout au long du cycle de vie du machine learning dans Canvas. SageMaker
## Scénario 1 : Configuration rapide de domaine
Si vous avez utilisé l'option de **configuration rapide** lors de la création de votre domaine SageMaker AI, procédez comme suit :
1. Accédez aux paramètres du domaine Amazon SageMaker AI :
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le volet de navigation de gauche, choisissez **Domaines**.
1. Sélectionnez votre domaine.
1. Choisissez l’onglet **Configurations des applications**.
1. Faites défiler l’affichage jusqu’à la section **Canvas**, puis choisissez **Modifier**.
1. Activez le traitement des données volumineuses :
1. Dans la section **Configuration du traitement de données volumineuses**, activez l’option **Activer EMR sans serveur pour le traitement de données volumineuses**.
1. Créez ou sélectionnez un rôle EMR sans serveur :
1. Choisissez **Créer et utiliser un nouveau rôle d’exécution** pour créer un nouveau rôle IAM ayant une relation d’approbation avec EMR sans serveur et la politique [AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](security-iam-awsmanpol-canvas.md#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) attachée. Ce rôle IAM est assumé par Canvas pour créer des tâches EMR sans serveur.
1. Sinon, si vous avez déjà un rôle d’exécution avec une relation d’approbation pour EMR sans serveur, sélectionnez **Utiliser un rôle d’exécution existant** et choisissez votre rôle dans la liste déroulante.
+ Le rôle existant doit avoir un nom commençant par le préfixe `AmazonSageMakerCanvasEMRSExecutionAccess-`.
+ Le rôle que vous sélectionnez doit également disposer au moins des autorisations décrites dans la politique [AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](security-iam-awsmanpol-canvas.md#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy).
+ Le rôle doit avoir une politique d’approbation EMR sans serveur, comme indiquée ci-dessous :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EMRServerlessTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. (Facultatif) Ajoutez des autorisations Amazon S3 pour les compartiments Amazon S3 personnalisés :
1. La politique gérée par Canvas accorde automatiquement des autorisations de lecture et d’écriture pour les compartiments Amazon S3 avec `sagemaker` ou `SageMaker AI` dans leurs noms. Elle accorde également des autorisations de lecture pour les objets figurant dans les compartiments Amazon S3 personnalisés avec la balise `"SageMaker": "true"`.
1. Pour les compartiments Amazon S3 personnalisés sans la balise requise, ajoutez la politique suivante à votre rôle EMR sans serveur :
1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. Nous vous recommandons de limiter l’étendue des autorisations aux compartiments Amazon S3 spécifiques auxquels vous souhaitez que Canvas accède.
1. Enregistrez vos modifications et redémarrez votre application SageMaker Canvas.
## Scénario 2 : Configuration d'un domaine personnalisé (avec un access/without VPC Internet public)
Si vous avez créé ou si vous utilisez un domaine personnalisé, suivez les étapes 1 à 3 du Scénario 1, puis effectuez les étapes supplémentaires suivantes :
1. Ajoutez des autorisations pour l'`DescribeImages`opération Amazon ECR à votre rôle d'exécution Amazon SageMaker AI, car Canvas utilise des images Docker Amazon ECR publiques pour la préparation des données et la formation des modèles :
1. Connectez-vous à la AWS console et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Sélectionnez **Rôles**.
1. Dans le champ de recherche, recherchez votre rôle d'exécution d' SageMaker IA par son nom et sélectionnez-le.
1. Ajoutez la politique suivante à votre rôle d'exécution de l' SageMaker IA. Pour cela, vous pouvez l’ajouter en tant que nouvelle politique intégrée ou ajouter la déclaration de politique à une politique existante. Notez qu’un maximum de 10 politiques peuvent être attachées à un rôle IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ECRDescribeImagesOperation",
"Effect": "Allow",
"Action": "ecr:DescribeImages",
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-data-wrangler-emr-container",
"arn:aws:ecr:*:*:repository/ap-dataprep-emr"
]
}]
}
```
------
1. Enregistrez vos modifications et redémarrez votre application SageMaker Canvas.
## Scénario 3 : Configuration de domaine personnalisée (avec VPC et sans accès au réseau Internet public)
Si vous avez créé ou si vous utilisez un domaine personnalisé, suivez toutes les étapes du Scénario 2, puis effectuez les étapes supplémentaires suivantes :
1. Assurez-vous que les sous-réseaux de votre VPC sont privés :
1. Vérifiez que la table de routage de vos sous-réseaux ne comporte pas de mappage d’entrée `0.0.0.0/0` vers une passerelle Internet.
1. Ajoutez des autorisations pour créer des interfaces réseau :
1. Lorsque vous utilisez SageMaker Canvas avec EMR Serverless pour le traitement de données à grande échelle, EMR Serverless doit pouvoir créer Amazon EC2 pour permettre la communication réseau entre les applications EMR Serverless et vos ressources VPC. ENIs
1. Ajoutez la politique suivante à votre rôle d'exécution Amazon SageMaker AI. Pour cela, vous pouvez l’ajouter en tant que nouvelle politique intégrée ou ajouter la déclaration de politique à une politique existante. Notez qu’un maximum de 10 politiques peuvent être attachées à un rôle IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEC2ENICreation",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "ops.emr-serverless.amazonaws.com"
}
}
}
]
}
```
------
1. (Facultatif) Limitez la création d’ENI à des sous-réseaux spécifiques :
1. Pour renforcer la sécurité de votre configuration en limitant la création ENIs à certains sous-réseaux au sein de votre VPC, vous pouvez attribuer des conditions spécifiques à chaque sous-réseau.
1. Utilisez la politique IAM suivante pour garantir que les applications EMR sans serveur ne peuvent créer Amazon EC2 que dans les sous-réseaux et ENIs groupes de sécurité autorisés :
```
{
"Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/KEY": "VALUE"
}
}
}
```
1. Suivez les étapes de la page [Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet](canvas-vpc.md) pour définir le point de terminaison VPC pour Amazon S3, qui est requis par EMR Serverless et les autres AWS services utilisés par Canvas. SageMaker
1. Enregistrez vos modifications et redémarrez votre application SageMaker Canvas.
En suivant ces étapes, vous pouvez activer le traitement de données volumineuses dans SageMaker Canvas pour différentes configurations de domaine, y compris celles avec des configurations VPC personnalisées. N'oubliez pas de redémarrer votre application SageMaker Canvas après avoir apporté ces modifications pour appliquer les nouvelles autorisations.
# Chiffrez vos données SageMaker Canvas avec AWS KMS
Vous souhaitez peut-être chiffrer certaines données lorsque vous utilisez Amazon SageMaker Canvas, telles que les informations de votre entreprise privée ou les données de vos clients. SageMaker Canvas les utilise AWS Key Management Service pour protéger vos données. AWS KMS est un service que vous pouvez utiliser pour créer et gérer des clés cryptographiques afin de chiffrer vos données. Pour plus d'informations AWS KMS, consultez [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)le *guide du AWS KMS développeur*.
Amazon SageMaker Canvas vous propose plusieurs options pour chiffrer vos données. SageMaker Canvas fournit un chiffrement par défaut au sein de l'application pour des tâches telles que la création de votre modèle et la génération d'informations. Vous pouvez également choisir de chiffrer les données stockées dans Amazon S3 pour protéger vos données au repos. SageMaker Canvas prend en charge l'importation de jeux de données chiffrés afin que vous puissiez établir un flux de travail chiffré. Les sections suivantes décrivent comment utiliser le AWS KMS chiffrement pour protéger vos données lors de la création de modèles avec SageMaker Canvas.
## Chiffrez vos données dans Canvas SageMaker
Avec SageMaker Canvas, vous pouvez utiliser deux clés de AWS KMS chiffrement différentes pour chiffrer vos données dans SageMaker Canvas, que vous pouvez spécifier lors de la [configuration de votre domaine à](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html) l'aide de la configuration de domaine standard. Ces clés sont spécifiées dans les étapes de configuration de domaine suivantes :
+ **Étape 3 : Configuration des applications – (Facultatif)** : lors de la configuration de la section **Configuration du stockage Canvas**, vous pouvez spécifier une **clé de chiffrement**. Il s'agit d'une clé KMS que SageMaker Canvas utilise pour le stockage à long terme des objets du modèle et des ensembles de données, qui sont stockés dans le compartiment Amazon S3 fourni pour votre domaine. Si vous créez une application Canvas avec l'[CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)API, utilisez le `S3KMSKeyId` champ pour spécifier cette clé.
+ **Étape 6 : Configuration du stockage** — SageMaker Canvas utilise une clé pour chiffrer l'espace privé Amazon SageMaker Studio créé pour votre application Canvas, qui inclut le stockage temporaire des applications, les visualisations et les tâches de calcul (telles que la création de modèles). Vous pouvez utiliser la clé AWS gérée par défaut ou spécifier la vôtre. Si vous spécifiez votre AWS KMS clé, les données stockées dans le `/home/sagemaker-user` répertoire sont cryptées avec votre clé. Si vous ne spécifiez aucune AWS KMS clé, les données qu'elles contiennent `/home/sagemaker-user` sont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée. Pour en savoir plus sur l’espace Studio et le stockage de votre application Canvas, consultez [Stockez les données de l'application SageMaker Canvas dans votre propre espace d' SageMaker IA](canvas-spaces-setup.md). Si vous créez une application Canvas avec l'[CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)API, utilisez le `KmsKeyID` champ pour spécifier cette clé.
Les clés précédentes peuvent être des clés KMS identiques ou différentes.
### Conditions préalables
Pour utiliser votre propre clé KMS à l'une des fins décrites précédemment, vous devez d'abord autoriser le rôle IAM de votre utilisateur à utiliser la clé. Vous pouvez ensuite spécifier la clé KMS lors de la configuration de votre domaine.
Le moyen le plus simple de donner à votre rôle l'autorisation d'utiliser la clé est de modifier la politique de clé. Utilisez la procédure suivante pour accorder à votre rôle les autorisations nécessaires.
1. Ouvrez la [console AWS KMS](https://console.aws.amazon.com/kms/).
1. Dans la section **Politique de clé**, choisissez **Passer à la vue de la politique**.
1. Modifiez la politique de la clé afin d’accorder des autorisations pour les actions `kms:GenerateDataKey` et `kms:Decrypt` au rôle IAM. De plus, si vous modifiez la stratégie de clé qui chiffre le stockage de votre application Canvas dans l’espace Studio, accordez l’action `kms:CreateGrant`. Vous pouvez ajouter une instruction similaire à ce qui suit :
```
{
"Sid": "ExampleStmt",
"Action": [
"kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Resource": "*"
}
```
1. Sélectionnez **Enregistrer les modifications**.
La méthode la moins recommandée consiste à modifier le rôle IAM de l'utilisateur afin de lui donner les autorisations nécessaires pour utiliser ou gérer la clé KMS. Si vous utilisez cette méthode, la politique de clé KMS doit également autoriser la gestion des accès via IAM. Pour savoir comment autoriser une clé KMS via le rôle IAM de l’utilisateur, consultez [Spécification de clés KMS dans les instructions de politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) dans le *Guide du développeur AWS KMS *.
### Chiffrez vos données dans l'application SageMaker Canvas
La première clé KMS que vous pouvez utiliser dans SageMaker Canvas est utilisée pour chiffrer les données d'application stockées sur les volumes Amazon Elastic Block Store (Amazon EBS) et dans l'Amazon Elastic File System créé par l' SageMaker IA dans votre domaine. SageMaker Canvas chiffre vos données avec cette clé dans l'application sous-jacente et les systèmes de stockage temporaires créés lors de l'utilisation d'instances de calcul pour créer des modèles et générer des informations. SageMaker Canvas transmet la clé à d'autres AWS services, tels que Autopilot, chaque fois que SageMaker Canvas lance des tâches avec eux pour traiter vos données.
Vous pouvez spécifier cette clé en définissant le paramètre `KmsKeyID` dans l’appel d’API `CreateDomain` ou lors de la configuration standard du domaine dans la console. Si vous ne spécifiez pas votre propre clé KMS, SageMaker AI utilise une clé KMS AWS gérée par défaut pour chiffrer vos données dans l'application SageMaker Canvas.
Pour spécifier votre propre clé KMS à utiliser dans l'application SageMaker Canvas via la console, configurez d'abord votre domaine Amazon SageMaker AI à l'aide de la **configuration standard**. Utilisez la procédure suivante pour compléter la **Section réseau et stockage** pour le domaine.
1. Remplissez les paramètres Amazon VPC souhaités.
1. Pour la **Clé de chiffrement**, choisissez **Saisissez l'ARN de la clé KMS**.
1. Pour l'**ARN de KMS**, saisissez l'ARN de votre clé KMS, dont le format doit être similaire à ce qui suit : `arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
### Chiffrez vos données SageMaker Canvas enregistrées dans Amazon S3
La deuxième clé KMS que vous pouvez spécifier est utilisée pour les données que SageMaker Canvas stocke sur Amazon S3. Cette clé KMS est spécifiée dans le `S3KMSKeyId` champ de l'appel d'`CreateDomain`API ou lors de la configuration de domaine standard dans la console SageMaker AI. SageMaker Canvas enregistre des doublons de vos ensembles de données d'entrée, des données d'application et de modèle, ainsi que des données de sortie dans le compartiment SageMaker AI S3 par défaut de la région pour votre compte. Le modèle de dénomination de ce compartiment est`s3://sagemaker-{Region}-{your-account-id}`, et SageMaker Canvas stocke les données dans le `Canvas/` dossier.
1. Activez **Activer le partage des ressources des ordinateurs**.
1. Pour l’**Emplacement S3 pour les ressources d’ordinateurs portables partageables**, conservez le chemin d’accès Amazon S3 par défaut. Notez que SageMaker Canvas n'utilise pas ce chemin Amazon S3 ; ce chemin Amazon S3 est utilisé pour les blocs-notes Studio Classic.
1. Pour la **Clé de chiffrement**, choisissez **Saisissez l’ARN de la clé KMS**.
1. Pour l'**ARN de KMS**, saisissez l'ARN de votre clé KMS, dont le format doit être similaire à ce qui suit : `arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
## Importer des jeux de données chiffrés d'Amazon S3
Vos utilisateurs peuvent avoir des jeux de données chiffrés avec une clé KMS. La section précédente explique comment chiffrer les données dans SageMaker Canvas et les données stockées dans Amazon S3, mais vous devez accorder des autorisations supplémentaires au rôle IAM de votre utilisateur si vous souhaitez importer des données depuis Amazon S3 déjà chiffrées avec. AWS KMS
Pour accorder à votre utilisateur l'autorisation d'importer des ensembles de données chiffrés depuis Amazon S3 dans SageMaker Canvas, ajoutez les autorisations suivantes au rôle d'exécution IAM que vous avez utilisé pour le profil utilisateur.
```
"kms:Decrypt",
"kms:GenerateDataKey"
```
Pour savoir comment modifier les autorisations IAM pour un rôle, consulter [Ajout et suppression d’autorisations basées sur l’identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide d’utilisateur IAM*. Pour plus d’informations sur les clés KMS, consultez [Politiques de clé dans AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) du *Guide du développeur AWS KMS *.
## FAQs
Consultez les éléments de FAQ suivants pour obtenir des réponses aux questions fréquemment posées sur le AWS KMS support SageMaker Canvas.
### Q : Est-ce que SageMaker Canvas conserve ma clé KMS ?
R : Non SageMaker Canvas peut temporairement mettre en cache votre clé ou la transmettre à d'autres AWS services (tels que le pilote automatique), mais SageMaker Canvas ne conserve pas votre clé KMS.
### Q : J’ai spécifié une clé KMS lors de la configuration de mon domaine. Pourquoi mon jeu de données n'a-t-il pas pu être importé dans SageMaker Canvas ?
R : Le rôle IAM de votre utilisateur n’est peut-être pas autorisé à utiliser cette clé KMS. Pour accorder des autorisations à vos utilisateurs, consultez les [Conditions préalables](#canvas-kms-app-data-prereqs). Une autre erreur possible est que vous ayez une stratégie de compartiment sur votre compartiment Amazon S3 qui nécessite l’utilisation d’une clé KMS spécifique qui ne correspond pas à la clé KMS que vous avez spécifiée dans votre domaine. Assurez-vous de spécifier la même clé KMS pour votre compartiment Amazon S3 et votre domaine.
### Q : Comment puis-je trouver le bucket SageMaker AI Amazon S3 par défaut de la région pour mon compte ?
R : Le compartiment Amazon S3 par défaut suit le modèle de dénomination `s3://sagemaker-{Region}-{your-account-id}`. Le `Canvas/` dossier de ce compartiment stocke les données de votre application SageMaker Canvas.
### Q : Puis-je modifier le compartiment SageMaker AI Amazon S3 par défaut utilisé pour stocker les données SageMaker Canvas ?
R : Non, SageMaker l'IA crée ce compartiment pour vous.
### Q : Que stocke SageMaker Canvas dans le compartiment SageMaker AI Amazon S3 par défaut ?
R : SageMaker Canvas utilise le compartiment SageMaker AI Amazon S3 par défaut pour stocker des doublons de vos ensembles de données d'entrée, des artefacts de modèle et des sorties de modèles.
### Q : Quels sont les cas d'utilisation pris en charge pour l'utilisation des clés KMS avec SageMaker Canvas ?
R : Avec SageMaker Canvas, vous pouvez utiliser vos propres clés de chiffrement AWS KMS pour créer des modèles de régression, de classification binaire et multiclasse, de prévision de séries chronologiques, ainsi que pour l'inférence par lots avec votre modèle.
# Stockez les données de l'application SageMaker Canvas dans votre propre espace d' SageMaker IA
Les données de votre application Amazon SageMaker Canvas, telles que les ensembles de données que vous importez et les artefacts de votre modèle, sont stockées dans un *espace privé Amazon SageMaker Studio*. Cet espace comprend un volume de stockage pour les données de votre application avec 100 Go de stockage par profil utilisateur, le type d’espace (dans ce cas, une application Canvas) et l’image du conteneur de votre application. Lorsque vous configurez Canvas et lancez votre application pour la première fois, SageMaker AI crée un espace privé par défaut qui est attribué à votre profil utilisateur et stocke vos données Canvas. Vous n'avez pas à effectuer de configuration supplémentaire pour configurer l'espace, car l' SageMaker IA crée automatiquement l'espace en votre nom. Toutefois, si vous ne souhaitez pas utiliser l’espace par défaut, vous avez la possibilité de spécifier un espace que vous avez créé vous-même. Cela peut être utile si vous souhaitez isoler vos données. La page suivante explique comment créer et configurer votre propre espace Studio pour stocker les données de l’application Canvas.
**Note**
Vous ne pouvez configurer un espace Studio personnalisé que pour de nouvelles applications Canvas. Vous ne pouvez pas modifier la configuration de l’espace pour des applications Canvas existantes.
## Avant de commencer
Votre domaine ou profil utilisateur Amazon SageMaker AI doit disposer d'au moins 100 Go de stockage pour créer et utiliser l'application SageMaker Canvas.
Si vous avez créé votre domaine via la console SageMaker AI, un espace de stockage suffisant est fourni par défaut et vous n'avez aucune action supplémentaire à effectuer. Si vous avez créé votre domaine ou votre profil utilisateur avec le [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)ou [ CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) APIs, assurez-vous de définir la `MaximumEbsVolumeSizeInGb` valeur sur 100 Go ou plus. Pour définir une valeur de stockage supérieure, vous pouvez soit créer un nouveau domaine ou profil utilisateur, soit mettre à jour un domaine ou un profil utilisateur existant à l'aide du [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html)ou [ UpdateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) APIs.
## Création d’un nouvel espace
Tout d’abord, créez un nouvel espace Studio configuré pour stocker les données de l’application Canvas. Il s’agit de l’espace que vous spécifiez lors de la création d’une nouvelle application Canvas à l’étape suivante.
Pour créer un espace, vous pouvez utiliser le AWS SDK pour Python (Boto3) ou le AWS CLI.
------
#### [ SDK for Python (Boto3) ]
L'exemple suivant montre comment utiliser la AWS SDK pour Python (Boto3) `create_space` méthode pour créer un espace que vous pouvez utiliser pour les applications Canvas. Veillez à spécifier les paramètres suivants :
+ `DomainId`: Spécifiez l'ID de votre domaine SageMaker AI. Pour trouver votre identifiant, vous pouvez accéder à la console SageMaker AI à l'[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)adresse et localiser votre domaine dans la section **Domaines**.
+ `SpaceName` : spécifiez un nom pour le nouvel espace.
+ `EbsVolumeSizeinGb` : spécifiez la taille du volume de stockage pour votre espace (en Go). La valeur minimale est `5` et la valeur maximale `16384`.
+ `SharingType` : spécifiez `Private` dans ce champ. Pour de plus amples informations, veuillez consulter [Espaces Amazon SageMaker Studio](studio-updated-spaces.md).
+ `OwnerUserProfileName` : spécifiez le nom du profil utilisateur. Pour trouver les noms de profil utilisateur associés à un domaine, vous pouvez accéder à la console SageMaker AI à l'[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)adresse et localiser votre domaine dans la section **Domaines**. Dans les paramètres du domaine, vous pouvez consulter les profils utilisateur.
+ `AppType` : spécifiez `Canvas` dans ce champ.
```
response = client.create_space(
DomainId='',
SpaceName='',
SpaceSettings={
'AppType': 'Canvas',
'SpaceStorageSettings': {
'EbsStorageSettings': {
'EbsVolumeSizeInGb':
}
},
},
OwnershipSettings={
'OwnerUserProfileName': ''
},
SpaceSharingSettings={
'SharingType': 'Private'
}
)
```
------
#### [ AWS CLI ]
L'exemple suivant montre comment utiliser la AWS CLI `create-space` méthode pour créer un espace que vous pouvez utiliser pour les applications Canvas. Veillez à spécifier les paramètres suivants :
+ `domain-id` : spécifiez l’ID de votre domaine. Pour trouver votre identifiant, vous pouvez accéder à la console SageMaker AI à l'[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)adresse et localiser votre domaine dans la section **Domaines**.
+ `space-name` : spécifiez un nom pour le nouvel espace.
+ `EbsVolumeSizeinGb` : spécifiez la taille du volume de stockage pour votre espace (en Go). La valeur minimale est `5` et la valeur maximale `16384`.
+ `SharingType` : spécifiez `Private` dans ce champ. Pour de plus amples informations, veuillez consulter [Espaces Amazon SageMaker Studio](studio-updated-spaces.md).
+ `OwnerUserProfileName` : spécifiez le nom du profil utilisateur. Pour trouver les noms de profil utilisateur associés à un domaine, vous pouvez accéder à la console SageMaker AI à l'[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)adresse et localiser votre domaine dans la section **Domaines**. Dans les paramètres du domaine, vous pouvez consulter les profils utilisateur.
+ `AppType` : spécifiez `Canvas` dans ce champ.
```
create-space
--domain-id
--space-name
--space-settings '{
"AppType": "Canvas",
"SpaceStorageSettings": {
"EbsStorageSettings": {"EbsVolumeSizeInGb": }
},
}'
--ownership-settings '{"OwnerUserProfileName": ""}'
--space-sharing-settings '{"SharingType": "Private"}'
```
------
Vous devriez maintenant avoir un espace. Gardez une trace du nom de votre espace pour l’étape suivante.
## Création d’une nouvelle application Canvas
Après avoir créé un espace, créez une nouvelle application Canvas qui spécifie cet espace comme emplacement de stockage.
Pour créer une nouvelle application Canvas, vous pouvez utiliser le AWS SDK pour Python (Boto3) ou le AWS CLI.
**Important**
Vous devez utiliser le AWS SDK pour Python (Boto3) ou le AWS CLI pour créer votre application Canvas. La spécification d'un espace personnalisé lors de la création d'applications Canvas via la console SageMaker AI n'est pas prise en charge.
------
#### [ SDK for Python (Boto3) ]
L'exemple suivant montre comment utiliser AWS SDK pour Python (Boto3) `create_app` cette méthode pour créer une nouvelle application Canvas. Veillez à spécifier les paramètres suivants :
+ `DomainId`: Spécifiez l'ID de votre domaine SageMaker AI.
+ `SpaceName` : spécifiez le nom de l’espace que vous avez créé à l’étape précédente.
+ `AppType` : spécifiez `Canvas` dans ce champ.
+ `AppName` : spécifiez `default` comme nom de l’application.
```
response = client.create_app(
DomainId='',
SpaceName='',
AppType='Canvas',
AppName='default'
)
```
------
#### [ AWS CLI ]
L'exemple suivant montre comment utiliser AWS CLI `create-app` cette méthode pour créer une nouvelle application Canvas. Veillez à spécifier les paramètres suivants :
+ `DomainId`: Spécifiez l'ID de votre domaine SageMaker AI.
+ `SpaceName` : spécifiez le nom de l’espace que vous avez créé à l’étape précédente.
+ `AppType` : spécifiez `Canvas` dans ce champ.
+ `AppName` : spécifiez `default` comme nom de l’application.
```
create-app
--domain-id
--space-name
--app-type Canvas
--app-name default
```
------
Vous devriez maintenant disposer d’une nouvelle application Canvas qui utilise un espace Studio personnalisé comme emplacement de stockage pour les données de l’application.
**Important**
Chaque fois que vous supprimez l’application Canvas (ou que vous vous déconnectez) et que vous devez recréer l’application, vous devez fournir votre espace dans le champ `SpaceName` pour vous assurer que Canvas utilise votre espace.
L’espace est attaché au profil utilisateur que vous avez spécifié dans la configuration de l’espace. Vous pouvez supprimer votre application Canvas sans supprimer l’espace, et les données stockées dans l’espace sont conservées. Les données stockées dans votre espace ne sont supprimées que si vous supprimez votre profil utilisateur, ou si vous supprimez directement l’espace.
# Octroi à vos utilisateurs des autorisations nécessaires pour créer des modèles de prédiction d’image et de texte personnalisés
**Important**
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L’autorisation d’ajouter des balises aux ressources est requise, car Studio et Studio Classic balisent automatiquement toutes les ressources qu’ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter [Fournir des autorisations pour le balisage des ressources d' SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)qui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Dans Amazon SageMaker Canvas, vous pouvez créer des [modèles personnalisés](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-build-model.html) pour répondre aux besoins spécifiques de votre entreprise. Parmi ces types de modèles personnalisés figurent la prédiction d’image à étiquette unique et la prédiction de texte multi-catégories. Les autorisations permettant de créer ces types de modèles sont incluses dans la politique Gestion des identités et des accès AWS (IAM) appelée [AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess), que l' SageMaker IA attache par défaut au rôle d'exécution IAM de votre utilisateur si vous laissez les [autorisations de base Canvas activées](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-getting-started.html#canvas-prerequisites). Si vous utilisez une configuration IAM personnalisée, vous devez explicitement ajouter des autorisations au rôle d’exécution IAM de votre utilisateur afin qu’il puisse générer des types de modèles de prédiction d’image et de texte personnalisés. Pour accorder les autorisations nécessaires à la création de modèles de prédiction d’image et de texte, consultez la section suivante pour découvrir comment attacher une politique d’autorisations de moindre privilège à votre rôle.
Pour ajouter les autorisations au rôle IAM de l'utilisateur, procédez comme suit :
1. Accédez à la [console IAM](https://console.aws.amazon.com/iamv2).
1. Sélectionnez **Rôles**.
1. Dans la zone de recherche, recherchez le rôle IAM de l'utilisateur par son nom et sélectionnez-le.
1. Sur la page du rôle de l’utilisateur, sous **Autorisations**, choisissez **Ajouter des autorisations**.
1. Choisissez **Créer une politique en ligne**.
1. Cliquez sur l'onglet JSON, puis collez la politique d'autorisations de moindre privilège suivante dans l'éditeur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateAutoMLJobV2",
"sagemaker:DescribeAutoMLJobV2"
],
"Resource": "*"
}
]
}
```
------
1. Sélectionnez **Examiner une politique**.
1. Dans le champ **Nom**, entrez le nom de votre stratégie.
1. Choisissez **Create Policy** (Créer une politique).
Pour plus d'informations sur les politiques AWS gérées, consultez la section [Politiques gérées et politiques intégrées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) dans le guide de l'*utilisateur IAM*.
# Octroi d’autorisations aux utilisateurs pour utiliser Amazon Bedrock et les fonctionnalités d’IA générative dans Canvas
Les fonctionnalités d'intelligence artificielle génératives d'Amazon SageMaker Canvas sont basées sur les modèles Amazon Bedrock Foundation, qui sont de grands modèles linguistiques (LLMs) capables de comprendre et de générer du texte semblable à celui d'un humain. Cette page explique comment accorder les autorisations nécessaires pour les fonctionnalités suivantes dans SageMaker Canvas :
+ [Discutez avec les modèles Amazon Bedrock et comparez-les](canvas-fm-chat.md) : accédez et lancez des discussions conversationnelles avec les modèles Amazon Bedrock via Canvas. SageMaker
+ [Utiliser la fonctionnalité de chat pour la préparation des données dans Data Wrangler](canvas-chat-for-data-prep.md) : utilisez le langage naturel pour explorer, visualiser et transformer vos données. Cette fonctionnalité est basée sur Anthropic Claude 2.
+ [Optimiser les modèles de fondation Amazon Bedrock](canvas-fm-chat-fine-tune.md) : optimisez un modèle de fondation Amazon Bedrock à partir de vos propres données pour recevoir des réponses personnalisées.
Pour pouvoir utiliser ces fonctionnalités, vous devez d’abord demander l’accès au modèle Amazon Bedrock spécifique que vous souhaitez utiliser. Ajoutez ensuite les autorisations AWS IAM nécessaires et une relation de confiance avec Amazon Bedrock au rôle d'exécution de l'utilisateur. Pour accorder les autorisations au rôle, vous pouvez choisir l’une des méthodes suivantes :
+ Créez un nouveau domaine ou profil utilisateur Amazon SageMaker AI et activez les autorisations Amazon Bedrock. Pour de plus amples informations, veuillez consulter [Commencer à utiliser Amazon SageMaker Canvas](canvas-getting-started.md).
+ Modifiez les paramètres d'un domaine ou d'un profil utilisateur Amazon SageMaker AI existant.
+ Ajouter manuellement des autorisations et une relation d’approbation au rôle IAM d’un domaine ou d’un utilisateur.
## Étape 1 : Ajout d’un accès aux modèles Amazon Bedrock
L'accès aux modèles Amazon Bedrock n'est pas accordé par défaut. Vous devez donc accéder à la console Amazon Bedrock pour demander l'accès aux modèles pour votre AWS compte.
Pour savoir comment demander l’accès à un modèle Amazon Bedrock spécifique, suivez la procédure d’**ajout d’un accès au modèle** sur la page [Gestion de l’accès aux modèles de fondation Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html) dans le *Guide de l’utilisateur Amazon Bedrock*.
## Étape 2 : Octroi d’autorisations au rôle IAM de l’utilisateur
Lorsque vous configurez votre domaine ou profil utilisateur Amazon SageMaker AI, le rôle d'exécution IAM de l'utilisateur doit être associé à la [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)politique, ainsi qu'une relation de confiance avec Amazon Bedrock, afin que votre utilisateur puisse accéder aux modèles Amazon Bedrock depuis Canvas. SageMaker
Vous pouvez modifier les paramètres du domaine et soit créer un nouveau rôle d'exécution (auquel SageMaker AI attache les autorisations requises pour vous), soit spécifier un rôle existant.
Vous pouvez également modifier manuellement les autorisations pour un rôle IAM existant via la console IAM.
Les deux méthodes sont décrites dans les sections suivantes.
### Octroi d’autorisations via les paramètres du domaine
Vous pouvez modifier les paramètres de votre domaine ou de votre profil utilisateur pour activer le paramètre de **configuration Ready-to-use des modèles Canvas** et spécifier un rôle Amazon Bedrock.
Pour modifier les paramètres de votre domaine et accorder l’accès aux modèles Amazon Bedrock aux utilisateurs de Canvas dans le domaine, procédez comme suit :
1. Accédez à la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le volet de navigation de gauche, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez votre domaine.
1. Choisissez l’onglet **Configurations des applications**.
1. Dans la section **Canvas**, choisissez **Modifier**.
1. La page **Modifier les paramètres de Canvas** s’ouvre. Pour la section de **configuration Ready-to-use des modèles Canvas**, procédez comme suit :
1. Activez l'**option Activer les Ready-to-use modèles Canvas**.
1. Pour le **rôle Amazon Bedrock**, sélectionnez **Créer et utilisez un nouveau rôle d'exécution** pour créer un nouveau rôle d'exécution IAM associé à la [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)politique et établissant une relation de confiance avec Amazon Bedrock. Ce rôle IAM est assumé par Amazon Bedrock lorsque vous accédez aux modèles Amazon Bedrock, utilisez la fonctionnalité de chat pour la préparation des données ou optimisez les modèles Amazon Bedrock dans Canvas. Si vous avez déjà un rôle d’exécution avec une relation d’approbation, sélectionnez **Utiliser un rôle d’exécution existant** et choisissez votre rôle dans la liste déroulante.
1. Choisissez **Soumettre** pour enregistrer vos modifications.
Vos utilisateurs doivent désormais disposer des autorisations nécessaires pour accéder aux modèles Amazon Bedrock, utiliser la fonctionnalité de chat pour la préparation des données et optimiser les modèles Amazon Bedrock dans Canvas.
Vous pouvez utiliser la procédure ci-dessus pour modifier les paramètres d’un utilisateur individuel, à moins que vous préfériez accéder au profil de l’utilisateur individuel depuis la page du domaine et modifier les paramètres de l’utilisateur. Les autorisations accordées à un utilisateur individuel ne s’appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via les paramètres du domaine s’appliquent à tous les profils utilisateur du domaine.
Pour plus d’informations sur la modification des paramètres de votre domaine, consultez [Visualisation et modification des domaines](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view-edit.html).
### Octroi manuel des autorisations via IAM
Vous pouvez accorder manuellement aux utilisateurs les autorisations requises pour accéder aux modèles Amazon Bedrock et les optimiser dans Canvas en ajoutant ces autorisations au rôle IAM spécifié pour le domaine ou le profil de l’utilisateur. Le rôle IAM doit être associé à la [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)politique et établir une relation de confiance avec Amazon Bedrock.
La section suivante vous montre comment attacher la politique à votre rôle IAM et créer la relation d’approbation avec Amazon Bedrock.
Tout d’abord, prenez note du rôle IAM de votre domaine ou de votre profil utilisateur. Notez que les autorisations accordées à un utilisateur individuel ne s’appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via le domaine s’appliquent à tous les profils utilisateur du domaine.
Pour configurer le rôle IAM et accorder les autorisations nécessaires pour optimiser les modèles de fondation dans Canvas, procédez comme suit :
1. Accédez à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de gauche, choisissez **Rôles**.
1. Recherchez le rôle IAM de l’utilisateur par son nom dans la liste des rôles et sélectionnez-le.
1. Sous l’onglet **Autorisations**, sélectionnez **Ajouter des autorisations**. Choisissez **Attacher des politiques** dans le menu déroulant.
1. Recherchez la politique `AmazonSageMakerCanvasBedrockAccess` et sélectionnez-la.
1. Choisissez **Ajouter des autorisations**.
1. De retour sur la page du rôle IAM, choisissez l’onglet **Relations d’approbation**.
1. Choisissez **Modifier la politique d’approbation**.
1. Dans l’éditeur de politique, recherchez l’option **Ajouter un principal** dans le panneau de droite et choisissez **Ajouter**.
1. Dans la boîte de dialogue, pour **Type de principal**, sélectionnez **Services AWS **.
1. Pour **ARN**, entrez **bedrock.amazonaws.com**.
1. Choisissez **Ajouter un principal**.
1. Choisissez **Mettre à jour une politique**.
Vous devriez désormais disposer d'un rôle IAM associé à la [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)politique et d'une relation de confiance avec Amazon Bedrock. Pour plus d'informations sur les politiques AWS gérées, voir [Politiques gérées et politiques intégrées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) dans le guide de l'*utilisateur IAM*.
# Mettez à jour SageMaker Canvas pour vos utilisateurs
Vous pouvez passer à la dernière version d'Amazon SageMaker Canvas en tant qu'utilisateur ou administrateur informatique. Vous pouvez mettre à jour Amazon SageMaker Canvas pour un seul utilisateur à la fois.
Pour mettre à jour l'application Amazon SageMaker Canvas, vous devez supprimer la version précédente.
**Important**
La suppression de la version précédente d'Amazon SageMaker Canvas ne supprime pas les données ou les modèles créés par les utilisateurs.
Suivez la procédure suivante pour vous connecter à Amazon AI AWS, ouvrir le domaine Amazon SageMaker AI et mettre à jour Amazon SageMaker Canvas. Les utilisateurs peuvent commencer à utiliser l'application SageMaker Canvas lorsqu'ils se reconnectent.
1. Connectez-vous à la console Amazon SageMaker AI sur [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Sur la page **Domaines**, choisissez votre domaine.
1. Dans la liste **Profils utilisateur**, choisissez un profil utilisateur.
1. Pour la liste **Applications**, recherchez l'application Canvas (**Type d'application** indique **Canvas**) et choisissez **Supprimer l'application**.
1. Remplissez la boîte de dialogue, puis choisissez **Confirmer l’action**.
L'image suivante illustre la page du profil utilisateur et met en évidence l'action **Supprimer l'application** de la procédure précédente.
![\[Capture d'écran de la page du profil utilisateur avec l'action Supprimer l'application mise en évidence.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/studio/canvas/canvas-update-app-1.png)
# Demande d’augmentation de quota.
Vos utilisateurs peuvent utiliser AWS des ressources dans des quantités supérieures à celles spécifiées par leurs quotas. Si vos utilisateurs sont limités en ressources et rencontrent des erreurs dans SageMaker Canvas, vous pouvez demander une augmentation de quota pour eux.
Pour plus de détails sur les quotas d' SageMaker IA et sur la manière de demander une augmentation de quota, consultez la section [Quotas](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html#regions-quotas-quotas).
Amazon SageMaker Canvas utilise les services suivants pour traiter les demandes de vos utilisateurs :
+ SageMaker Pilote automatique Amazon
+ Domaine Amazon SageMaker Studio Classic
Pour obtenir la liste des quotas disponibles pour les opérations SageMaker Canvas, consultez la section [Points de terminaison et quotas Amazon SageMaker AI](https://docs.aws.amazon.com//general/latest/gr/sagemaker.html).
## Demande d’augmentation du nombre d’instances pour créer des modèles personnalisés
Lorsque vous créez un modèle personnalisé, si vous rencontrez une erreur lors de l’analyse post-création qui vous indique d’augmenter votre quota pour les instances `ml.m5.2xlarge`, utilisez les informations suivantes pour résoudre le problème.
Vous devez augmenter le quota de point de terminaison SageMaker AI Hosting pour le type d'`ml.m5.2xlarge`instance à une valeur non nulle dans votre AWS compte. Après avoir créé un modèle, SageMaker Canvas héberge le modèle sur un point de terminaison d'hébergement SageMaker AI et utilise le point de terminaison pour générer l'analyse post-création. Si vous n'augmentez pas le quota de compte par défaut de 0 pour les `ml.m5.2xlarge` instances, SageMaker Canvas ne peut pas terminer cette étape et génère une erreur lors de l'analyse après la création.
Pour découvrir la procédure d’augmentation des quotas, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) dans le *Guide de l’utilisateur Service Quotas*.
# Autorisation des utilisateurs à importer des données Amazon Redshift
Vos utilisateurs peuvent avoir des jeux de données stockés dans Amazon Redshift. Avant que les utilisateurs puissent importer des données depuis Amazon Redshift dans SageMaker Canvas, vous devez ajouter la politique `AmazonRedshiftFullAccess` gérée au rôle d'exécution IAM que vous avez utilisé pour le profil utilisateur et ajouter Amazon Redshift en tant que principal de service à la politique de confiance du rôle. Vous devez également associer le rôle d'exécution IAM à votre cluster Amazon Redshift. Suivez les procédures décrites dans les sections suivantes pour accorder à vos utilisateurs les autorisations requises pour importer des données Amazon Redshift.
## Ajout des autorisations Amazon Redshift à votre rôle IAM
Vous devez accorder des autorisations Amazon Redshift au rôle IAM spécifié dans votre profil utilisateur.
Pour ajouter la politique `AmazonRedshiftFullAccess` au rôle IAM de l’utilisateur, procédez comme suit.
1. Connectez-vous à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Sélectionnez **Rôles**.
1. Dans la zone de recherche, recherchez le rôle IAM de l'utilisateur par son nom et sélectionnez-le.
1. Sur la page du rôle de l'utilisateur, sous **Permissions** (Autorisations), choisissez **Add permissions** (Ajouter des autorisations).
1. Choisissez **Attacher des politiques**.
1. Recherchez la politique gérée `AmazonRedshiftFullAccess` et sélectionnez-la.
1. Choisissez **Attach policies** (Attacher des politiques) pour attacher la politique au rôle.
Maintenant que la politique a été attachée, la section **Permissions** (Autorisations) du rôle devrait inclure `AmazonRedshiftFullAccess`.
Pour ajouter Amazon Redshift en tant que principal de service au rôle IAM, procédez comme suit.
1. Sur la même page pour le rôle IAM, sous **Trust relationships** (Relations d'approbation), choisissez **Edit trust policy** (Modifier la politique d'approbation).
1. Dans l'éditeur **Edit trust policy** (Modifier la politique d'approbation), mettez à jour la politique d'approbation pour ajouter Amazon Redshift en tant que principal de service. Un rôle IAM qui permet à Amazon Redshift d'accéder aux autres services AWS en votre nom a une relation d'approbation comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Après avoir modifié la politique d’approbation, choisissez **Mettre à jour la politique**.
Vous devez désormais disposer d'un rôle IAM `AmazonRedshiftFullAccess` associé à la politique et d'une relation de confiance établie avec Amazon Redshift, autorisant les utilisateurs à importer des données Amazon Redshift dans Canvas. SageMaker Pour plus d'informations sur les politiques AWS gérées, consultez la section [Politiques gérées et politiques intégrées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) dans le guide de l'*utilisateur IAM*.
## Association du rôle IAM à votre cluster Amazon Redshift
Dans les paramètres de votre cluster Amazon Redshift, vous devez associer le rôle IAM auquel vous avez accordé des autorisations dans la section précédente.
Pour associer un rôle IAM à votre cluster, procédez comme suit.
1. Connectez-vous à la console Amazon Redshift à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)
1. Dans le menu de navigation, choisissez **Clusters**, puis le nom du cluster que vous souhaitez mettre à jour.
1. Dans le menu déroulant **Actions**, choisissez **Manage IAM roles** (Gérer les rôles IAM). La page **Cluster permissions** (Autorisations du cluster) s'affiche.
1. Pour **Available IAM roles** (Rôles IAM disponibles), entrez l'ARN ou le nom du rôle IAM, ou choisissez le rôle IAM dans la liste.
1. Choisissez **Associate IAM role** (Associer un rôle IAM) pour l'ajouter à la liste **Associated IAM roles** (Rôles IAM associés).
1. Choisissez **Save changes** (Enregistrer les modifications) pour associer le rôle IAM au cluster.
Amazon Redshift modifie le cluster pour terminer la modification, et le rôle IAM auquel vous avez précédemment accordé des autorisations Amazon Redshift est désormais associé à votre cluster Amazon Redshift. Vos utilisateurs disposent désormais des autorisations requises pour importer des données Amazon Redshift dans SageMaker Canvas.
# Autorisez vos utilisateurs à envoyer des prédictions à Quick
Vous devez autoriser vos utilisateurs de SageMaker Canvas à envoyer des prédictions par lots à Quick. Dans Quick, les utilisateurs peuvent créer des analyses et des rapports à partir d'un ensemble de données et préparer des tableaux de bord pour partager leurs résultats. Pour plus d'informations sur l'envoi de prédictions à QuickSight des fins d'analyse, consultez[Envoyer des prédictions à Quick](canvas-send-predictions.md).
Pour accorder les autorisations nécessaires pour partager les prédictions par lots avec les utilisateurs QuickSight, vous devez ajouter une politique d'autorisations au rôle d'exécution Gestion des identités et des accès AWS (IAM) que vous avez utilisé pour le profil utilisateur. La section suivante explique comment attacher une politique d'autorisations de moindre privilège à votre rôle.
**Ajout de la politique d'autorisations à votre rôle IAM**
**Pour ajouter la politique d'autorisations, procédez comme suit :**
1. Connectez-vous à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Sélectionnez **Rôles**.
1. Dans la zone de recherche, recherchez le rôle IAM de l'utilisateur par son nom et sélectionnez-le.
1. Sur la page du rôle de l’utilisateur, sous **Autorisations**, choisissez **Ajouter des autorisations**.
1. Choisissez **Créer une politique en ligne**.
1. Cliquez sur l'onglet JSON, puis collez la politique d'autorisations de moindre privilège suivante dans l'éditeur. Remplacez les espaces réservés `` par votre propre numéro de compte AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateDataSet",
"quicksight:ListUsers",
"quicksight:ListNamespaces",
"quicksight:CreateDataSource",
"quicksight:PassDataSet",
"quicksight:PassDataSource"
],
"Resource": [
"arn:aws:quicksight:*:111122223333:datasource/*",
"arn:aws:quicksight:*:111122223333:user/*",
"arn:aws:quicksight:*:111122223333:namespace/*",
"arn:aws:quicksight:*:111122223333:dataset/*"
]
}
]
}
```
------
1. Sélectionnez **Examiner une politique**.
1. Dans le champ **Nom**, entrez le nom de votre stratégie.
1. Choisissez **Create Policy** (Créer une politique).
Vous devriez désormais avoir une politique IAM gérée par le client associée à votre rôle d'exécution qui accorde à vos utilisateurs de Canvas les autorisations nécessaires pour envoyer des prédictions par lots aux utilisateurs. QuickSight
# Gestion des applications
Les sections suivantes décrivent comment gérer vos applications SageMaker Canvas. Vous pouvez consulter, supprimer ou relancer vos applications depuis la section **Domaines** de la console SageMaker AI.
**Topics**
+ [
# Recherche des applications actives
](canvas-manage-apps-active.md)
+ [
# Supprimer une application
](canvas-manage-apps-delete.md)
+ [
# Relancement d’une application
](canvas-manage-apps-relaunch.md)
# Recherche des applications actives
Pour vérifier si des applications SageMaker Canvas sont en cours d'exécution, procédez comme suit.
1. Ouvrez la [console SageMaker AI](https://console.aws.amazon.com/sagemaker/).
1. Dans le volet de navigation de gauche, choisissez **Dashboard**.
1. Dans la section **LCNC**, il y a une ligne pour Canvas qui indique le nombre d'applications actives en cours d'exécution. Choisissez le numéro pour afficher la liste des applications.
La colonne **Statut** affiche le statut de l’application, tel que **Prêt**, **En attente** ou **Supprimé**. Si l'application est **prête**, votre instance d'espace de travail SageMaker Canvas est active. Vous pouvez supprimer l'application de la console ou vous pouvez rouvrir Canvas et vous déconnecter.
# Supprimer une application
Si vous souhaitez mettre fin à votre instance d'espace de travail SageMaker Canvas, vous pouvez soit vous déconnecter de l'application SageMaker Canvas, soit supprimer votre application de la console SageMaker AI. Une *instance d'espace* de travail est dédiée à votre usage dès que vous commencez à utiliser SageMaker Canvas jusqu'au moment où vous arrêtez de l'utiliser. La suppression de l’application résilie uniquement l’instance d’espace de travail et arrête les frais relatifs à cette instance. Les modèles et les jeux de données ne sont pas affectés, mais les tâches de génération rapide redémarrent automatiquement lorsque vous relancez l’application.
Pour supprimer votre application Canvas via la AWS console, fermez d'abord l'onglet du navigateur dans lequel votre application Canvas était ouverte. Suivez ensuite la procédure suivante pour supprimer votre application SageMaker Canvas.
1. Ouvrez la [console SageMaker AI](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d'administrateur**, choisissez **Domaines**.
1. Sur la page **Domaines**, choisissez votre domaine.
1. Sur la page **Détails du domaine**, sélectionnez **Ressources**.
1. Sous **Applications**, recherchez l'application portant le nom **Canvas** dans la colonne **Type d'application**.
1. Cochez la case à côté de l'application Canvas et choisissez **Arrêter**.
Vous avez maintenant correctement arrêté l'application et mis fin à l'instance de l'espace de travail.
Vous pouvez également mettre fin à l'instance d'espace de travail en [vous déconnectant](canvas-log-out.md) depuis l'application SageMaker Canvas.
# Relancement d’une application
Si vous supprimez ou vous déconnectez de votre application SageMaker Canvas et que vous souhaitez relancer l'application, suivez la procédure suivante.
1. Accédez à la [console SageMaker AI](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Canvas**.
1. Sur la page d'accueil de SageMaker Canvas, dans la zone **Get** Started, sélectionnez votre profil utilisateur dans le menu déroulant.
1. Choisissez **Ouvrir Canvas** pour ouvrir l’application.
SageMaker Canvas commence à lancer l'application.
Vous pouvez également utiliser la procédure secondaire suivante si vous rencontrez des problèmes avec la procédure précédente.
1. Ouvrez la [console SageMaker AI](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Sur la page **Domaines**, choisissez votre domaine.
1. Sur la page **Détails du domaine**, sous **Profils utilisateur**, sélectionnez le nom du profil utilisateur de l'application SageMaker Canvas que vous souhaitez afficher.
1. Choisissez **Lancer** et sélectionnez **Canvas** dans la liste déroulante.
SageMaker Canvas commence à lancer l'application.
# Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet
L'application Amazon SageMaker Canvas s'exécute dans un conteneur dans un Amazon Virtual Private Cloud (VPC) AWS géré. Si vous souhaitez contrôler davantage l'accès à vos ressources ou exécuter SageMaker Canvas sans accès public à Internet, vous pouvez configurer votre domaine Amazon SageMaker AI et les paramètres VPC. Au sein de votre propre VPC, vous pouvez configurer des paramètres tels que des groupes de sécurité (pare-feu virtuels qui contrôlent le trafic entrant et sortant des instances Amazon EC2) et des sous-réseaux (plages d’adresses IP dans votre VPC). Pour en savoir plus VPCs, consultez [Comment fonctionne Amazon VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
Lorsque l'application SageMaker Canvas est exécutée dans le VPC AWS géré, elle peut interagir avec d'autres AWS services via une connexion Internet ou via des points de terminaison VPC créés dans un VPC géré par le client (sans accès public à Internet). SageMaker Les applications Canvas peuvent accéder à ces points de terminaison VPC via une interface réseau créée par Studio Classic qui fournit une connectivité au VPC géré par le client. Le comportement par défaut de l'application SageMaker Canvas est d'avoir accès à Internet. Lorsque vous utilisez une connexion Internet, les conteneurs des tâches précédentes accèdent aux ressources AWS via Internet, telles que les compartiments Amazon S3 où vous stockez les données d'entraînement et les artefacts de modèle.
Toutefois, si vous avez des exigences de sécurité pour contrôler l'accès à vos conteneurs de données et de tâches, nous vous recommandons de configurer SageMaker Canvas et votre VPC de manière à ce que vos données et conteneurs ne soient pas accessibles sur Internet. SageMaker AI utilise les paramètres de configuration VPC que vous spécifiez lors de la configuration de votre domaine pour SageMaker Canvas.
Si vous souhaitez configurer votre application SageMaker Canvas sans accès à Internet, vous devez configurer vos paramètres VPC lorsque vous intégrez le [domaine Amazon SageMaker AI](gs-studio-onboard.md), configurez les points de terminaison VPC et accordez les autorisations nécessaires. Gestion des identités et des accès AWS Pour plus d'informations sur la configuration d'un VPC dans Amazon SageMaker AI, consultez. [Choix d’un réseau Amazon VPC](onboard-vpc.md) Les sections suivantes décrivent comment exécuter SageMaker Canvas dans un VPC sans accès public à Internet.
## Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet
Vous pouvez envoyer du trafic de SageMaker Canvas vers d'autres AWS services via votre propre VPC. Si votre propre VPC n'a pas d'accès public à Internet et que vous avez configuré votre domaine en mode **VPC uniquement**, SageMaker Canvas n'aura pas non plus d'accès public à Internet. Cela inclut toutes les demandes, telles que l'accès aux jeux de données dans Amazon S3 ou les tâches d'entraînement pour les versions standard, et les demandes passent par les points de terminaison d'un VPC dans votre VPC au lieu de l'Internet public. Lorsque vous intégrez le domaine et [Choix d’un réseau Amazon VPC](onboard-vpc.md), vous pouvez spécifier votre propre VPC comme VPC par défaut du domaine, ainsi que les paramètres de groupe de sécurité et de sous-réseau souhaités. SageMaker L'IA crée ensuite une interface réseau dans votre VPC que SageMaker Canvas utilise pour accéder aux points de terminaison VPC de votre VPC.
Assurez-vous de configurer un ou plusieurs groupes de sécurité dans votre VPC avec des règles entrantes et sortantes qui autorisent [le trafic TCP au sein du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Cela est nécessaire pour la connectivité entre l’application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l’accès à au moins des ports situés dans la plage `8192-65535`. De plus, veillez à créer un groupe de sécurité distinct pour chaque profil utilisateur et à ajouter un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l’accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine. Notez que les paramètres du groupe de sécurité et du sous-réseau sont définis une fois que vous avez terminé l’intégration au domaine.
Lors de l'intégration au domaine, si vous choisissez **Internet public uniquement** comme type d'accès au réseau, le VPC SageMaker est géré par l'IA et permet l'accès à Internet.
Vous pouvez modifier ce comportement en choisissant **VPC uniquement** afin que l' SageMaker IA envoie tout le trafic vers une interface réseau créée par l' SageMaker IA dans le VPC que vous avez spécifié. Lorsque vous choisissez cette option, vous devez fournir les sous-réseaux, les groupes de sécurité et les points de terminaison VPC nécessaires pour communiquer avec SageMaker l'API SageMaker et AI Runtime, ainsi que les AWS différents services, tels qu'Amazon S3 et CloudWatch Amazon, utilisés par Canvas. SageMaker Notez que vous ne pouvez importer des données qu’à partir de compartiments Amazon S3 situés dans la même région que votre VPC.
Les procédures suivantes montrent comment configurer ces paramètres pour utiliser SageMaker Canvas sans Internet.
### Étape 1 : Intégration au domaine Amazon SageMaker AI
[Pour envoyer le trafic SageMaker Canvas vers une interface réseau dans votre propre VPC plutôt que via Internet, spécifiez le VPC que vous souhaitez utiliser lors de l'intégration au domaine Amazon AI. SageMaker ](gs-studio-onboard.md) Vous devez également spécifier au moins deux sous-réseaux dans votre VPC SageMaker que l'IA peut utiliser. Choisissez **Configuration standard** et effectuez la procédure suivante lors de la configuration de la **Section réseau et stockage** pour le domaine.
1. Sélectionnez votre**VPC** préféré.
1. Choisissez deux **Subnets** (Sous-réseaux) ou plus. Si vous ne spécifiez pas les sous-réseaux, SageMaker AI utilise tous les sous-réseaux du VPC.
1. Choisissez un ou plusieurs **groupes de sécurité**.
1. Choisissez **VPC Only** pour désactiver l'accès direct à Internet dans le AWS VPC géré où SageMaker Canvas est hébergé.
Après avoir désactivé l’accès à Internet, terminez le processus d’intégration pour configurer votre domaine. Pour plus d'informations sur les paramètres VPC pour le domaine Amazon SageMaker AI, consultez. [Choix d’un réseau Amazon VPC](onboard-vpc.md)
### Étape 2 : configurer les points de terminaison de VPC et l’accès
**Note**
Pour configurer Canvas dans votre propre VPC, vous devez activer les noms d’hôtes DNS privés pour vos points de terminaison de VPC. Pour plus d'informations, consultez [Se connecter à l' SageMaker IA via un point de terminaison d'interface VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html).
SageMaker Canvas accède uniquement aux autres AWS services pour gérer et stocker les données nécessaires à ses fonctionnalités. Par exemple, il se connecte à Amazon Redshift si vos utilisateurs accèdent à une base de données Amazon Redshift. Il peut se connecter à un AWS service tel qu'Amazon Redshift à l'aide d'une connexion Internet ou d'un point de terminaison VPC. Utilisez des points de terminaison VPC si vous souhaitez configurer des connexions entre votre VPC et des AWS services qui n'utilisent pas l'Internet public.
Un point de terminaison VPC crée une connexion privée à un AWS service qui utilise un chemin réseau isolé de l'Internet public. Par exemple, si vous configurez l'accès à Amazon S3 à l'aide d'un point de terminaison VPC à partir de votre propre VPC, l'application SageMaker Canvas peut accéder à Amazon S3 en passant par l'interface réseau de votre VPC, puis via le point de terminaison VPC qui se connecte à Amazon S3. La communication entre SageMaker Canvas et Amazon S3 est privée.
Pour plus d’informations sur la configuration des points de terminaison d’un VPC, consultez [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html). Si vous utilisez des modèles Amazon Bedrock dans Canvas avec un VPC, vous pouvez obtenir des informations sur le contrôle de l'accès à vos données en consultant [Protection des tâches à l'aide d'un VPC](https://docs.aws.amazon.com/bedrock/latest/userguide/usingVPC.html#configureVPC) dans le *Guide de l'utilisateur Amazon Bedrock* (langue française non garantie).
Voici les points de terminaison VPC pour chaque service que vous pouvez utiliser avec Canvas : SageMaker
| Service | Endpoint | Type de point de terminaison |
| --- | --- | --- |
| AWS Application Auto Scaling | com.amazonaws. *Region*.mise à l'échelle automatique de l'application | Interface |
| Amazon Athena | com.amazonaws. *Region*.athéna | Interface |
| Amazon SageMaker AI | com.amazonaws. *Region*.sagemaker.api com.amazonaws. *Region*.sagemaker.runtime com.amazonaws. *Region*.carnet | Interface |
| Assistant de science des données Amazon SageMaker AI | com.amazonaws. *Region*. sagemaker-data-science-assistant | Interface |
| AWS Security Token Service | com.amazonaws. *Region*.sts | Interface |
| Amazon Elastic Container Registry (Amazon ECR) | com.amazonaws. *Region*.ecr.api com.amazonaws. *Region*.ecr .dkr | Interface |
| Amazon Elastic Compute Cloud (Amazon EC2) | com.amazonaws. *Region*.ec2 | Interface |
| Amazon Simple Storage Service (Amazon S3) | com.amazonaws. *Region*.s3 | Passerelle |
| Amazon Redshift | com.amazonaws. *Region*.redshift data | Interface |
| AWS Secrets Manager | com.amazonaws. *Region*.secretsmanager | Interface |
| AWS Systems Manager | com.amazonaws. *Region*.ssm | Interface |
| Amazon CloudWatch | com.amazonaws. *Region*.surveillance | Interface |
| Amazon CloudWatch Logs | com.amazonaws. *Region*.journaux | Interface |
| Amazon Forecast | com.amazonaws. *Region*.prévision com.amazonaws. *Region*Requête .forecast | Interface |
| Amazon Textract | com.amazonaws. *Region*extrait .t | Interface |
| Amazon Comprehend | com.amazonaws. *Region*.comprendre | Interface |
| Amazon Rekognition | com.amazonaws. *Region*.reconnaissance | Interface |
| AWS Glue | com.amazonaws. *Region*.colle | Interface |
| AWS Application Auto Scaling | com.amazonaws. *Region*.mise à l'échelle automatique de l'application | Interface |
| Amazon Relational Database Service (Amazon RDS) | com.amazonaws. *Region*.rds | Interface |
| Amazon Bedrock (voir la note après le tableau) | com.amazonaws. *Region*.bedrock-runtime | Interface |
| Amazon Kendra | com.amazonaws. *Region*.kendra | Interface |
| Amazon EMR sans serveur | com.amazonaws. *Region*.emr-serverless | Interface |
| Amazon Q Developer (voir la note après le tableau) | com.amazonaws. *Region*.q | Interface |
**Note**
Le point de terminaison de VPC Amazon Q Developer n’est actuellement disponible que dans la région USA Est (Virginie du Nord). Pour vous y connecter depuis d’autres régions, vous pouvez choisir l’une des options suivantes en fonction de vos préférences en matière de sécurité et d’infrastructure :
**Configurer une passerelle NAT.** Configurez une passerelle NAT dans le sous-réseau privé de votre VPC pour activer la connectivité Internet pour le point de terminaison Q Developer. Pour plus d’informations, consultez [Configuration d’une passerelle NAT dans un sous-réseau privé de VPC](https://repost.aws/knowledge-center/nat-gateway-vpc-private-subnet).
**Activer l’accès à des points de terminaison de VPC entre régions.** Configurez l’accès aux points de terminaison de VPC entre régions pour Q Developer. Utilisez cette option pour vous connecter en toute sécurité sans avoir besoin d’un accès Internet. Pour plus d’informations, consultez [Configuration de l’accès à des points de terminaison de VPC entre régions](https://repost.aws/knowledge-center/vpc-endpoints-cross-region-aws-services).
**Note**
Pour Amazon Bedrock, le nom du service de point de terminaison d’interface `com.amazonaws.Region.bedrock` est obsolète. Créez un point de terminaison de VPC avec le nom de service indiqué dans le tableau précédent.
De plus, vous ne pouvez pas affiner les modèles de base à partir de Canvas VPCs sans accès à Internet. Cela est dû au fait qu'Amazon Bedrock ne prend pas en charge les points de terminaison VPC pour la personnalisation des modèles. APIs Pour en savoir plus sur le peaufinage des modèles de fondation dans Canvas, consultez [Peaufinage des modèles de fondation](canvas-fm-chat-fine-tune.md).
Vous devez également ajouter une politique de point de terminaison pour Amazon S3 afin de contrôler l'accès AWS principal à votre point de terminaison VPC. Pour obtenir des informations sur la mise à jour de votre politique de points de terminaison de VPC, consultez [Contrôle de l’accès aux points de terminaison de VPC à l’aide de politiques de points de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Voici deux politiques de points de terminaison de VPC que vous pouvez utiliser. Utilisez la première politique si vous souhaitez uniquement accorder l’accès aux fonctionnalités de base de Canvas, telles que l’importation de données et la création de modèles. Utilisez la seconde politique si vous souhaitez accorder l’accès aux [fonctionnalités d’IA générative](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-fm-chat.html) supplémentaires dans Canvas.
------
#### [ Basic VPC endpoint policy ]
La politique suivante accorde l’accès nécessaire à votre point de terminaison de VPC pour les opérations de base dans Canvas.
```
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
```
------
#### [ Generative AI VPC endpoint policy ]
La politique suivante accorde l’accès nécessaire à votre point de terminaison de VPC pour les opérations de base dans Canvas, ainsi que pour l’utilisation des modèles de fondation d’IA générative.
```
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*fmeval/datasets*",
"arn:aws:s3:::*jumpstart-cache-prod*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
```
------
### Étape 3 : accorder des autorisations IAM
L'utilisateur de SageMaker Canvas doit disposer des Gestion des identités et des accès AWS autorisations nécessaires pour autoriser la connexion aux points de terminaison du VPC. Le rôle IAM auquel vous accordez des autorisations doit être le même que celui que vous avez utilisé lors de l'intégration au domaine Amazon SageMaker AI. Vous pouvez associer la `AmazonSageMakerFullAccess` politique gérée par l' SageMaker IA au rôle IAM pour que l'utilisateur lui accorde les autorisations requises. Si vous avez besoin d'autorisations IAM plus restrictives et que vous utilisez plutôt des politiques personnalisées, accordez l'`ec2:DescribeVpcEndpointServices`autorisation au rôle de l'utilisateur. SageMaker Canvas a besoin de ces autorisations pour vérifier l'existence des points de terminaison VPC requis pour les tâches de génération standard. S'il détecte ces points de terminaison de VPC, les tâches de construction standard s'exécutent par défaut dans votre VPC. Dans le cas contraire, ils s'exécuteront dans le VPC AWS géré par défaut.
Pour obtenir des instructions sur la façon d'attacher la politique IAM `AmazonSageMakerFullAccess` pour le rôle IAM de votre utilisateur, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Pour attribuer au rôle IAM de votre utilisateur une autorisation `ec2:DescribeVpcEndpointServices`, procédez comme suit :
1. Connectez-vous à la [console IAM AWS Management Console](https://console.aws.amazon.com/iam/) et ouvrez-la.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Dans la liste de groupes, choisissez le nom du groupe ou de l'utilisateur auquel vous souhaitez ajouter des autorisations d'accès.
1. Sélectionnez l’onglet **Autorisations**.
1. Sélectionnez **Ajouter des autorisations**, puis **Ajouter la politique**.
1. Cliquez sur l'onglet **JASON** et saisissez la politique suivante, qui accorde à l'autorisation `ec2:DescribeVpcEndpointServices` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:DescribeVpcEndpointServices",
"Resource": "*"
}
]
}
```
------
1. Choisissez **Révisez la politique**, puis entrez un **Nom** pour la politique (par exemple, `VPCEndpointPermissions`).
1. Choisissez **Create Policy** (Créer une politique).
Le rôle IAM de l'utilisateur doit désormais disposer des autorisations nécessaires pour accéder aux points de terminaison d'un VPC configurés dans votre VPC.
### (Facultatif) Étape 4 : remplacement des paramètres de groupe de sécurité pour des utilisateurs spécifiques
Si vous êtes administrateur, vous pouvez souhaiter que différents utilisateurs disposent de paramètres VPC différents ou spécifiques à l'utilisateur. Lorsque vous remplacez les paramètres du groupe de sécurité par défaut du VPC pour un utilisateur spécifique, ces paramètres sont transmis à l'application SageMaker Canvas pour cet utilisateur.
Vous pouvez remplacer les groupes de sécurité auxquels un utilisateur spécifique a accès dans votre VPC lorsque vous configurez un nouveau profil utilisateur dans Studio Classic. Vous pouvez utiliser l'appel d'[CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) SageMaker API (ou [create\$1user\$1profile](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_user_profile) avec le [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)), puis dans le`UserSettings`, vous pouvez spécifier le pour l'`SecurityGroups`utilisateur.
# Configurez des connexions aux sources de données avec OAuth
La section suivante décrit les étapes à suivre pour configurer des OAuth connexions aux sources de données à partir de SageMaker Canvas. [OAuth](https://oauth.net/2/)est une plate-forme d'authentification courante permettant d'accéder aux ressources sans partager de mots de passe. Avec OAuth, vous pouvez rapidement vous connecter à vos données depuis Canvas et les importer pour créer des modèles. Canvas prend actuellement en OAuth charge Snowflake et Salesforce Data Cloud.
**Note**
Vous ne pouvez établir qu'une seule OAuth connexion pour chaque source de données.
## Configuration OAuth pour Salesforce Data Cloud
OAuth Pour configurer Salesforce Data Cloud, procédez comme suit :
1. Connectez-vous à Salesforce Data Cloud.
1. Dans Salesforce Data Cloud, créez une connexion à l'application et procédez comme suit :
1. Activez OAuth les paramètres.
1. Lorsque vous êtes invité à entrer une URL de rappel (ou l'URL de la ressource accédant à vos données), spécifiez l'URL de votre application Canvas. Le format de l'URL de l'application Canvas est le suivant : `https://.studio..sagemaker.aws/canvas/default`
1. Copiez la clé et le secret du consommateur.
1. Copiez votre URL d'autorisation et votre URL de jeton.
Pour obtenir des instructions plus détaillées sur l’exécution des tâches précédentes dans Salesforce Data Cloud, consultez [Importer des données depuis Salesforce Data Cloud](data-wrangler-import.md#data-wrangler-import-salesforce-data-cloud) dans la documentation Data Wrangler pour savoir comment importer des données à partir de Salesforce Data Cloud.
Après avoir activé l'accès depuis Salesforce Data Cloud et obtenu vos informations de connexion, vous devez créer un [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)secret pour stocker les informations et les ajouter à votre domaine ou profil utilisateur Amazon SageMaker AI. Notez que vous pouvez ajouter un secret à la fois à un domaine et à un profil utilisateur, mais Canvas recherche d’abord les secrets dans le profil utilisateur.
Pour ajouter un secret à votre domaine ou à votre profil utilisateur, procédez comme suit :
1. Accédez à la [console Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Choisissez **Domaines** dans le volet de navigation.
1. Dans la liste des **domaines**, choisissez votre domaine.
1. Si vous ajoutez votre secret à votre domaine, procédez comme suit :
1. Choisissez le domaine.
1. Sur la page **Paramètres de domaine**, choisissez l’onglet **Paramètres de domaine**.
1. Choisissez **Modifier**.
1. Si vous ajoutez le secret à votre profil utilisateur, procédez comme suit :
1. Choisissez le domaine de l’utilisateur.
1. Sur la page **Paramètres de domaine**, choisissez le profil utilisateur.
1. Sur la page **Détails de l’utilisateur**, choisissez **Modifier**.
1. Dans le panneau de navigation, choisissez **Paramètres de Canvas**.
1. Pour **OAuth les paramètres**, choisissez **Ajouter une OAuth configuration**.
1. Pour **Source de données**, sélectionnez **Salesforce Data Cloud**.
1. Pour **Configuration du secret**, sélectionnez **Créer un nouveau secret**. Sinon, si vous avez déjà créé un AWS Secrets Manager secret avec vos informations d'identification, entrez l'ARN du secret. Si vous créez un secret, procédez comme suit :
1. Pour **Fournisseur d'identité**, sélectionnez **SALESFORCE**.
1. Pour **ID client**, **Secret client**, **URL d'autorisation** et **URL de jeton**, entrez toutes les informations que vous avez collectées auprès de Salesforce Data Cloud lors de la procédure précédente.
1. Enregistrez les paramètres de votre domaine ou de votre profil utilisateur.
Vous devriez désormais être en mesure de créer une connexion à vos données dans Salesforce Data Cloud à partir de Canvas.
## Configuration OAuth pour Snowflake
Pour configurer l'authentification pour Snowflake, Canvas prend en charge les fournisseurs d'identité, que vous pouvez utiliser au lieu de demander aux utilisateurs d'entrer leurs informations d'identification directement dans Canvas.
Vous trouverez ci-dessous des liens vers la documentation Snowflake qui répertorient les fournisseurs d'identité pris en charge par Canvas :
+ [Azure AD](https://docs.snowflake.com/en/user-guide/oauth-azure.html)
+ [Okta](https://docs.snowflake.com/en/user-guide/oauth-okta.html)
+ [Ping Federate](https://docs.snowflake.com/en/user-guide/oauth-pingfed.html)
Le processus suivant décrit les étapes générales que vous devez suivre. Pour obtenir des instructions plus détaillées sur l'exécution de ces étapes, vous pouvez vous référer à la section [Configuration de Snowflake Access OAuth](data-wrangler-import.md#data-wrangler-snowflake-oauth-setup) de la documentation Data Wrangler pour savoir comment importer des données à partir de Snowflake.
OAuth Pour configurer Snowflake, procédez comme suit :
1. Enregistrez Canvas en tant qu'application auprès du fournisseur d'identité. Cela nécessite de spécifier une URL de redirection vers Canvas, qui doit être au format suivant : `https://.studio..sagemaker.aws/canvas/default`
1. Dans le fournisseur d'identité, créez un serveur ou une API qui envoie OAuth des jetons à Canvas afin que Canvas puisse accéder à Snowflake. Lors de la configuration du serveur, utilisez le code d'autorisation et les types d'octroi de jetons d'actualisation, spécifiez la durée de vie du jeton d'accès et définissez une politique de jeton d'actualisation. En outre, dans le cadre de l'intégration OAuth de sécurité externe pour Snowflake, activez. `external_oauth_any_role_mode`
1. Obtenez les informations suivantes auprès du fournisseur d'identité : URL du jeton, URL d'autorisation, ID client, secret client. Pour Azure AD, récupérez également les informations d'identification du OAuth scope.
1. Stockez les informations récupérées à l'étape précédente dans un AWS Secrets Manager secret.
1. Pour Okta et Ping Federate, le secret doit avoir le format suivant :
```
{"token_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/token",
"client_id":"example-client-id", "client_secret":"example-client-secret", "identity_provider":"OKTA"|"PING_FEDERATE",
"authorization_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/authorize"}
```
1. Pour Azure AD, le secret doit également inclure les informations d'identification de l' OAuth étendue en tant que `datasource_oauth_scope` champ.
Après avoir configuré le fournisseur d'identité et le secret, vous devez créer un [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)secret pour stocker les informations et les ajouter à votre domaine ou profil utilisateur Amazon SageMaker AI. Notez que vous pouvez ajouter un secret à la fois à un domaine et à un profil utilisateur, mais Canvas recherche d’abord les secrets dans le profil utilisateur.
Pour ajouter un secret à votre domaine ou à votre profil utilisateur, procédez comme suit :
1. Accédez à la [console Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Choisissez **Domaines** dans le volet de navigation.
1. Dans la liste des **domaines**, choisissez votre domaine.
1. Si vous ajoutez votre secret à votre domaine, procédez comme suit :
1. Choisissez le domaine.
1. Sur la page **Paramètres de domaine**, choisissez l’onglet **Paramètres de domaine**.
1. Choisissez **Modifier**.
1. Si vous ajoutez le secret à votre profil utilisateur, procédez comme suit :
1. Choisissez le domaine de l’utilisateur.
1. Sur la page **Paramètres de domaine**, choisissez le profil utilisateur.
1. Sur la page **Détails de l’utilisateur**, choisissez **Modifier**.
1. Dans le panneau de navigation, choisissez **Paramètres de Canvas**.
1. Pour **OAuth les paramètres**, choisissez **Ajouter une OAuth configuration**.
1. Pour **Source de données**, sélectionnez **Snowflake**.
1. Pour **Configuration du secret**, sélectionnez **Créer un nouveau secret**. Sinon, si vous avez déjà créé un AWS Secrets Manager secret avec vos informations d'identification, entrez l'ARN du secret. Si vous créez un secret, procédez comme suit :
1. Pour **Fournisseur d'identité**, sélectionnez **SNOWFLAKE**.
1. Pour **ID client**, **Secret client**, **URL d'autorisation** et **URL de jeton**, entrez toutes les informations que vous avez collectées auprès du fournisseur d'identité lors de la procédure précédente.
1. Enregistrez les paramètres de votre domaine ou de votre profil utilisateur.
Vous devriez désormais être en mesure de créer une connexion à vos données dans Snowflake à partir de Canvas.