Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura SageMaker Canvas per i tuoi utenti
Per configurare Amazon SageMaker Canvas, procedi come segue:
+ Crea un dominio Amazon SageMaker AI.
+ Crea i profili utente per il dominio.
+ Configura Okta Single Sign-On (Okta SSO) per i tuoi utenti.
+ Attiva la condivisione dei link per i modelli.
Usa Okta Single-Sign On (Okta SSO) per concedere ai tuoi utenti l'accesso ad Amazon Canvas. SageMaker SageMaker Canvas supporta i metodi SSO SAML 2.0. Le seguenti sezioni spiegano le procedure per configurare Okta SSO.
Per configurare un dominio, consulta [Usa una configurazione personalizzata per Amazon SageMaker AI](onboard-custom.md) e segui le istruzioni per configurare il tuo dominio con l’autenticazione IAM. Puoi utilizzare le informazioni seguenti per completare la procedura nella sezione:
+ Puoi ignorare la fase relativa alla creazione di progetti.
+ Non è necessario fornire l'accesso a ulteriori bucket Amazon S3. I tuoi utenti possono utilizzare il bucket predefinito che forniamo quando creiamo un ruolo.
+ Per concedere ai tuoi utenti l'accesso per condividere notebook con i data scientist, attiva **Configurazione della condivisione del notebook**.
+ Usa Amazon SageMaker Studio Classic versione 3.19.0 o successiva. Per informazioni sull'aggiornamento di Amazon SageMaker Studio Classic, consulta[Chiudi e aggiorna Amazon SageMaker Studio Classic](studio-tasks-update-studio.md).
Completa la procedura seguente per configurare Okta. Per tutte le seguenti procedure, dovrai specificare lo stesso ruolo IAM per `IAM-role` .
## Aggiungi l'applicazione SageMaker Canvas a Okta
Configura il metodo Sign-On per Okta.
1. Accedi al pannello di controllo per amministratori di Okta.
1. Scegli **Aggiungi applicazione**. Cerca **AWS Federazione account**.
1. Scegli **Aggiungi**.
1. Facoltativo: modifica il nome in **Amazon SageMaker Canvas**.
1. Scegli **Next (Successivo)**.
1. Scegli **SAML 2.0** come metodo **Sign-On**.
1. Scegli **Metadati del provider di identità** per aprire il file XML dei metadati. Salva il file localmente.
1. Seleziona **Fatto**.
## Configura la federazione degli ID in IAM
AWS Identity and Access Management (IAM) è il AWS servizio che usi per accedere al tuo AWS account. Puoi accedere AWS tramite un account IAM.
1. Accedi alla AWS console.
1. Scegli **AWS Identity and Access Management (IAM)**.
1. Scegli **Provider di identità**.
1. Scegli **Crea provider**.
1. In **Configura provider**, specifica quanto segue:
+ **Tipo di provider**: scegli **SAML** dall'elenco a discesa.
+ **Nome provider**: specifica **Okta**.
+ **Documento di metadati**: carica il documento XML che hai salvato localmente dalla fase 7 di [Aggiungi l'applicazione SageMaker Canvas a Okta](#canvas-set-up-okta).
1. Trova il tuo provider di identità in **Provider di identità**. Copia il valore **ARN del provider**.
1. In **Ruoli**, scegli il ruolo IAM che stai utilizzando per l'accesso SSO a Okta.
1. In **Relazione di attendibilità** per il ruolo IAM, scegli **Modifica relazione di attendibilità**.
1. Modifica la policy della relazione di attendibilità del ruolo IAM specificando il valore **ARN del provider** che hai copiato in precedenza e aggiungi la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:SetSourceIdentity"
]
}
]
}
```
------
1. In **Autorizzazioni**, aggiungi la policy seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*"
}
]
}
```
------
## Configura SageMaker Canvas in Okta
Configura Amazon SageMaker Canvas in Okta utilizzando la seguente procedura.
Per configurare Amazon SageMaker Canvas per l'utilizzo di Okta, segui i passaggi in questa sezione. È necessario specificare nomi utente univoci per ogni **SageMakerStudioProfileName**campo. Ad esempio, puoi utilizzare `user.login` come valore. Se il nome utente è diverso dal nome del profilo SageMaker Canvas, scegli un attributo identificativo univoco diverso. Ad esempio, puoi utilizzare il numero di un ID dipendente per il nome del profilo.
Per un esempio di valori che è possibile impostare in **Attributi**, consulta il codice che segue la procedura.
1. In **Directory**, scegli **Gruppi**.
1. Aggiungi un gruppo come da schema seguente: `sagemaker#canvas#IAM-role#AWS-account-id`.
1. In Okta, apri la configurazione dell’integrazione dell'applicazione **AWS Federazione account**.
1. Seleziona **Accedi per l'**applicazione AWS Account Federation.
1. Scegli **Modifica** e specifica quanto segue:
+ SAML 2.0
+ **Stato di inoltro predefinito**: https://*Region*.console.aws.amazon. com/sagemaker/home? regione = *Region* studio/canvas/open \$1//. *StudioId* Puoi trovare lo Studio Classic ID nella console: [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Scegli **Attributi**.
1. Nei **SageMakerStudioProfileName**campi, specifica valori univoci per ogni nome utente. I nomi utente devono corrispondere ai nomi utente che hai creato nella console AWS .
```
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName
Value: ${user.login}
Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}
```
1. Seleziona **Tipo di ambiente**. Scegli **Normale AWS**.
+ Se il tuo tipo di ambiente non è presente nell’elenco, puoi impostare il tuo URL ACS nel campo **URL ACS**. Se il tipo di ambiente è presente nell’elenco, non devi inserire il tuo URL ACS
1. In **ARN del provider di identità**, specifica l'ARN utilizzato nella fase 6 della procedura precedente.
1. Specifica una **durata della sessione**.
1. Scegli **Collega tutti i ruoli**.
1. Attiva **Usa la mappatura dei gruppi** specificando i seguenti campi:
+ **Filtro dell’app**: `okta`
+ **Filtro del gruppo**: `^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$`
+ **Modello del valore del ruolo**: `arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role`
1. Scegli **Salva/Successivo**.
1. In **Assegnazioni**, assegna l'applicazione al gruppo che hai creato.
## Aggiunta di policy opzionali sul controllo degli accessi in IAM
In IAM, puoi applicare la seguente policy all'utente amministratore che crea i profili utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
```
------
Se scegli di aggiungere la policy precedente all'utente amministratore, devi utilizzare le seguenti autorizzazioni da [Configura la federazione degli ID in IAM](#set-up-id-federation-IAM).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}
```
------