Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengatur SageMaker Kanvas untuk Pengguna Anda
Untuk menyiapkan Amazon SageMaker Canvas, lakukan hal berikut:
+ Buat domain Amazon SageMaker AI.
+ Buat profil pengguna untuk domain
+ Siapkan Okta Single Sign On (Okta SSO) untuk pengguna Anda.
+ Aktifkan berbagi tautan untuk model.
Gunakan Okta Single-Sign On (Okta SSO) untuk memberi pengguna Anda akses ke Amazon Canvas. SageMaker SageMaker Canvas mendukung metode SAFL 2.0 SSO. Bagian berikut memandu Anda melalui prosedur untuk mengatur Okta SSO.
Untuk menyiapkan domain, lihat [Gunakan pengaturan khusus untuk Amazon SageMaker AI](onboard-custom.md) dan ikuti petunjuk untuk menyiapkan domain menggunakan autentikasi IAM. Anda dapat menggunakan informasi berikut untuk membantu Anda menyelesaikan prosedur di bagian ini:
+ Anda dapat mengabaikan langkah tentang membuat proyek.
+ Anda tidak perlu menyediakan akses ke bucket Amazon S3 tambahan. Pengguna Anda dapat menggunakan bucket default yang kami sediakan saat kami membuat peran.
+ Untuk memberi pengguna Anda akses untuk berbagi buku catatan mereka dengan ilmuwan data, aktifkan **Konfigurasi Berbagi Notebook**.
+ Gunakan Amazon SageMaker Studio Classic versi 3.19.0 atau yang lebih baru. Untuk informasi tentang memperbarui Amazon SageMaker Studio Classic, lihat[Matikan dan Perbarui Amazon SageMaker Studio Classic](studio-tasks-update-studio.md).
Gunakan prosedur berikut untuk mengatur Okta. Untuk semua prosedur berikut, Anda menentukan peran IAM yang sama untuk`IAM-role`.
## Tambahkan aplikasi SageMaker Canvas ke Okta
Siapkan metode sign-on untuk Okta.
1. Masuk ke dasbor Admin Okta.
1. Pilih **Tambahkan aplikasi**. Cari **Federasi AWS Akun**.
1. Pilih **Tambahkan**.
1. Opsional: Ubah nama menjadi **Amazon SageMaker Canvas**.
1. Pilih **Berikutnya**.
1. Pilih **SAMP 2.0 sebagai metode** **Sign-On**.
1. Pilih **Metadata Penyedia Identitas** untuk membuka file XMLmetadata. Simpan file secara lokal.
1. Pilih **Selesai**.
## Mengatur federasi ID di IAM
AWS Identity and Access Management (IAM) adalah AWS layanan yang Anda gunakan untuk mendapatkan akses ke AWS akun Anda. Anda mendapatkan akses AWS melalui akun IAM.
1. Masuk ke AWS konsol.
1. Pilih **AWS Identity and Access Management (IAM).**
1. Pilih **Penyedia Identitas**.
1. Pilih **Buat Penyedia**.
1. Untuk **Configure Provider**, tentukan yang berikut ini:
+ **Jenis Penyedia** **- Dari daftar dropdown, pilih SAMP.**
+ **Nama Penyedia** — Tentukan **Okta**.
+ **Dokumen Metadata** — Unggah dokumen XHTML yang telah Anda simpan secara lokal dari langkah 7. [Tambahkan aplikasi SageMaker Canvas ke Okta](#canvas-set-up-okta)
1. Temukan penyedia identitas Anda di bawah Penyedia **Identitas**. Salin nilai **ARN Penyedianya**.
1. Untuk **Peran**, pilih peran IAM yang Anda gunakan untuk akses Okta SSO.
1. Di bawah **Trust Relationship** untuk peran IAM, pilih **Edit Trust Relationship**.
1. Ubah kebijakan hubungan kepercayaan IAM dengan menentukan nilai **ARN Penyedia** yang telah Anda salin dan tambahkan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:SetSourceIdentity"
]
}
]
}
```
------
1. Untuk **Izin**, tambahkan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*"
}
]
}
```
------
## Konfigurasikan SageMaker Canvas di Okta
Konfigurasikan Amazon SageMaker Canvas di Okta menggunakan prosedur berikut.
Untuk mengonfigurasi Amazon SageMaker Canvas untuk menggunakan Okta, ikuti langkah-langkah di bagian ini. Anda harus menentukan nama pengguna unik untuk setiap **SageMakerStudioProfileName**bidang. Misalnya, Anda dapat menggunakan `user.login` sebagai nilai. Jika nama pengguna berbeda dari nama profil SageMaker Canvas, pilih atribut identifikasi unik yang berbeda. Misalnya, Anda dapat menggunakan nomor ID karyawan untuk nama profil.
Untuk contoh nilai yang dapat Anda atur untuk **Atribut**, lihat kode mengikuti prosedur.
1. Di bawah **Direktori**, pilih **Grup**.
1. Tambahkan grup dengan pola berikut:`sagemaker#canvas#IAM-role#AWS-account-id`.
1. Di Okta, buka konfigurasi integrasi aplikasi **Federasi AWS Akun**.
1. Pilih **Masuk** untuk aplikasi Federasi AWS Akun.
1. Pilih **Edit** dan tentukan yang berikut ini:
+ SAML 2.0
+ **Status Relai Default** - https://*Region*.console.aws.amazon. com/sagemaker/home? wilayah= *Region* studio/canvas/open \$1//. *StudioId* Anda dapat menemukan ID Studio Classic di konsol: [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Pilih **Atribut**.
1. Di **SageMakerStudioProfileName**bidang, tentukan nilai unik untuk setiap nama pengguna. Nama pengguna harus cocok dengan nama pengguna yang Anda buat di konsol. AWS
```
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName
Value: ${user.login}
Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}
```
1. Pilih **Jenis Lingkungan**. Pilih **Reguler AWS**.
+ Jika jenis lingkungan Anda tidak terdaftar, Anda dapat mengatur URL ACS Anda di bidang **URL ACS**. Jika jenis lingkungan Anda terdaftar, Anda tidak perlu memasukkan URL ACS
1. Untuk **ARN Penyedia Identitas**, tentukan ARN yang Anda gunakan pada langkah 6 dari prosedur sebelumnya.
1. Tentukan **Durasi Sesi**.
1. Pilih **Bergabung dengan semua peran**.
1. Aktifkan **Gunakan Pemetaan Grup** dengan menentukan bidang berikut:
+ **Filter Aplikasi** - `okta`
+ **Filter Grup** - `^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$`
+ **Pola Nilai Peran** - `arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role`
1. Pilih **Simpan/Berikutnya**.
1. Di bawah **Penugasan**, tetapkan aplikasi ke grup yang telah Anda buat.
## Tambahkan kebijakan opsional tentang kontrol akses di IAM
Di IAM, Anda dapat menerapkan kebijakan berikut ke pengguna administrator yang membuat profil pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
```
------
Jika Anda memilih untuk menambahkan kebijakan sebelumnya ke pengguna admin, Anda harus menggunakan izin berikut dari. [Mengatur federasi ID di IAM](#set-up-id-federation-IAM)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}
```
------