Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurez SageMaker Canvas pour vos utilisateurs
Pour configurer Amazon SageMaker Canvas, procédez comme suit :
+ Créez un domaine Amazon SageMaker AI.
+ Créez des profils utilisateur pour ce domaine.
+ Configurez l'authentification unique Okta (Okta SSO) pour vos utilisateurs.
+ Activez le partage de liens pour les modèles.
Utilisez Okta Single-Sign On (Okta SSO) pour autoriser vos utilisateurs à accéder à Amazon Canvas. SageMaker SageMaker Canvas prend en charge les méthodes SSO SAML 2.0. Les sections suivantes vous guident à travers les procédures de configuration SSO Okta.
Pour configurer un domaine, consultez [Utiliser une configuration personnalisée pour Amazon SageMaker AI](onboard-custom.md) et suivez les instructions de configuration de votre domaine à l’aide de l’authentification IAM. Vous pouvez suivre ces conseils pour terminer la procédure dans la section :
+ Vous pouvez ignorer l'étape concernant la création de projets.
+ Vous n'avez pas besoin de fournir l'accès à d'autres compartiments Amazon S3. Vos utilisateurs peuvent utiliser le compartiment par défaut que nous fournissons lorsque nous créons un rôle.
+ Pour donner à vos utilisateurs la possibilité de partager leurs blocs-notes avec des scientifiques des données, activez **Notebook Sharing Configuration** (Configuration du partage de bloc-notes).
+ Utilisez Amazon SageMaker Studio Classic version 3.19.0 ou ultérieure. Pour plus d'informations sur la mise à jour d'Amazon SageMaker Studio Classic, consultez[Arrêter et mettre à jour Amazon SageMaker Studio Classic](studio-tasks-update-studio.md).
Suivez la procédure ci-dessous pour configurer Okta. Pour toutes les procédures suivantes, vous spécifiez le même rôle IAM pour `{{IAM-role}}`.
## Ajoutez l'application SageMaker Canvas à Okta
Configurez la méthode d’authentification pour Okta.
1. Connectez-vous au tableau de bord d'administration d'Okta.
1. Choisissez **Add application** (Ajouter une application). Recherchez **AWS Account Federation**.
1. Choisissez **Ajouter**.
1. Facultatif : remplacez le nom par **Amazon SageMaker Canvas**.
1. Choisissez **Suivant**.
1. Pour **SAML 2.0**, choisissez la méthode **Sign-On** (Authentification).
1. Choisissez **Identify Provider Metadata** (Identifier les médatonnées du fournisseur) pour ouvrir le fichier XML de métadonnées. Enregistrez le fichier au niveau local.
1. Sélectionnez **Exécuté**.
## Configurer la fédération d'ID dans IAM
Gestion des identités et des accès AWS (IAM) est le AWS service que vous utilisez pour accéder à votre AWS compte. Vous pouvez y accéder AWS par le biais d'un compte IAM.
1. Connectez-vous à la AWS console.
1. Choisissez **Gestion des identités et des accès AWS (IAM)**.
1. Choisissez **Identity Providers** (Fournisseurs d'identité).
1. Choisissez **Create provider** (Créer un fournisseur).
1. Pour **Configure Provider** (Configurer le fournisseur), spécifiez les paramètres suivants :
+ **Provider Type** (Type de fournisseur) : dans la liste déroulante, choisissez **SAML**.
+ **Provider Name** (Nom du fournisseur) – Spécifiez **Okta**.
+ **Metadata Document** (Document de métadonnées) – Chargez le document XML que vous avez enregistré localement à l'étape 7 de [Ajoutez l'application SageMaker Canvas à Okta](#canvas-set-up-okta).
1. Trouvez votre fournisseur d'identité sous **Identity Providers** (Fournisseurs d'identité). Copiez sa valeur **ARN Provider** (ARN fournisseur).
1. Pour **Roles** (Rôles), choisissez le rôle IAM que vous utilisez pour accéder à l'authentification unique Okta.
1. Sous **Trust Relationship** (Relation d'approbation) pour le rôle IAM, choisissez **Edit Trust Relationship** (Modifier la relation d'approbation).
1. Modifiez la politique de relation d'approbation IAM en spécifiant la **Provider ARN** (ARN fournisseur) que vous avez copiée et ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:{{saml-provider}}/Okta"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:{{saml-provider}}/Okta"
},
"Action": [
"sts:SetSourceIdentity"
]
}
]
}
```
------
1. Pour **Permissions** (Autorisation), ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*"
}
]
}
```
------
## Configurer SageMaker Canvas dans Okta
Configurez Amazon SageMaker Canvas dans Okta en suivant la procédure suivante.
Pour configurer Amazon SageMaker Canvas afin d'utiliser Okta, suivez les étapes décrites dans cette section. Vous devez spécifier des noms d'utilisateur uniques pour chaque **SageMakerStudioProfileName**champ. Par exemple, vous pouvez utiliser `user.login` en tant que valeur. Si le nom d'utilisateur est différent du nom du profil SageMaker Canvas, choisissez un autre attribut d'identification unique. Par exemple, vous pouvez utiliser l'ID d'un employé comme nom de profil.
Pour obtenir un exemple de valeurs que vous pouvez définir pour **Attributs**, consultez le code suivant la procédure.
1. Sous **Directory** (Répertoire), choisissez **Groups** (Groupes).
1. Ajoutez un groupe avec le modèle suivant : `sagemaker#canvas#{{IAM-role}}#{{AWS-account-id}}`.
1. Dans Okta, ouvrez la configuration d'intégration d'application **AWS Account Federation**.
1. Sélectionnez **Se connecter pour l'**application AWS Account Federation.
1. Choisissez **Edit** (Modifier) et spécifiez les paramètres suivants :
+ SAML 2.0
+ **État du relais par défaut** — https ://{{Region}}.console.aws.amazon. com/sagemaker/home? région= {{Region}} \#//studio/canvas/open. {{StudioId}} Vous pouvez trouver l'identifiant Studio Classic dans la console : [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Choisissez **Attributes** (Attributs).
1. Dans les **SageMakerStudioProfileName**champs, spécifiez des valeurs uniques pour chaque nom d'utilisateur. Les noms d’utilisateur doivent correspondre aux noms d’utilisateur que vous avez créés dans la console AWS .
```
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName
Value: ${user.login}
Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}
```
1. Sélectionnez **Environment Type** (Type d'environnement). Choisissez **Regular AWS** ( AWS classique).
+ Si votre type d’environnement ne figure pas dans la liste, vous pouvez définir votre URL ACS dans le champ **URL ACS**. Si votre type d'environnement est répertorié, vous n'avez pas besoin de saisir votre URL ACS.
1. Pour **ARN du fournisseur d’identité**, spécifiez l’ARN que vous avez utilisé à l’étape 6 de la procédure précédente.
1. Spécifiez une **Session Duration** (Durée de la session).
1. Choisissez **Join all roles** (Joindre tous les rôles).
1. Activez **Use Group Mapping** (Utiliser le mappage de groupe) en spécifiant les champs suivants :
+ **App Filter** (Filtre d'application) – `okta`
+ **Group Filter** (Filtre de groupe) – `^aws\#\S+\#(?{{IAM-role}}[\w\-]+)\#(?{{accountid}}\d+)$`
+ **Role Value Pattern** (Modèle de valeur de rôle) – `arn:aws:iam::${{accountid}}:saml-provider/Okta,arn:aws:iam::${{accountid}}:role/{{IAM-role}}`
1. Choisissez **Save/Next** (Enregistrer/Suivant).
1. Sous **Assignments** (Affectations), attribuez l'application au groupe que vous avez créé.
## Ajouter des politiques facultatives sur le contrôle d'accès dans IAM
Dans IAM, vous pouvez appliquer la politique suivante à l'utilisateur administrateur qui crée les profils utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
```
------
Si vous choisissez d’ajouter la politique précédente à l’utilisateur administrateur, vous devez utiliser les autorisations suivantes à partir de [Configurer la fédération d'ID dans IAM](#set-up-id-federation-IAM).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}
```
------