As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configure o SageMaker Canvas para seus usuários
Para configurar o Amazon SageMaker Canvas, faça o seguinte:
+ Crie um domínio Amazon SageMaker AI.
+ Crie perfis de usuário para o domínio
+ Configure a autenticação única do Okta (Okta SSO, Single Sign On) para seus usuários.
+ Ative o compartilhamento de links para modelos.
Use o Okta Single-Sign On (Okta SSO) para conceder aos seus usuários acesso ao Amazon Canvas. SageMaker SageMaker O Canvas oferece suporte aos métodos SAML 2.0 SSO. As seções a seguir orientam você pelos procedimentos para configurar o Okta SSO.
Para configurar um domínio, consulte [Use a configuração personalizada para Amazon SageMaker AI](onboard-custom.md) e siga as instruções para configurar seu domínio usando a autenticação do IAM. Você pode usar as seguintes informações para ajudar a concluir o procedimento na seção:
+ Você pode ignorar a etapa de criação de projetos.
+ Não é necessário fornecer acesso a buckets adicionais do Amazon S3. Seus usuários podem usar o bucket padrão que fornecemos quando criamos uma função.
+ Para conceder aos usuários acesso para compartilhar seus cadernos com cientistas de dados, ative a **Configuração de compartilhamento do caderno**.
+ Use o Amazon SageMaker Studio Classic versão 3.19.0 ou posterior. Para obter informações sobre a atualização do Amazon SageMaker Studio Classic, consulte[Desligue e atualize o Amazon SageMaker Studio Classic](studio-tasks-update-studio.md).
Utilize o procedimento a seguir para configurar o Okta. Para todos os procedimentos a seguir, você especifica a mesmo perfil do IAM para `IAM-role`.
## Adicione o aplicativo SageMaker Canvas ao Okta
Configure o método de login para o Okta.
1. Faça login no painel de administração do Okta.
1. Escolha **Adicionar aplicação**. Pesquise por **Federação de contas da AWS **.
1. Escolha **Adicionar**.
1. Opcional: altere o nome para **Amazon SageMaker Canvas**.
1. Escolha **Próximo**.
1. Escolha **SAML 2.0** como o método de **autenticação**.
1. Escolha **Metadados do provedor de identidade** para abrir o arquivo XML de metadados. Salve o arquivo localmente.
1. Selecione **Concluído**.
## Configurar federação de ID no IAM
AWS Identity and Access Management (IAM) é o AWS serviço que você usa para obter acesso à sua AWS conta. Você obtém acesso AWS por meio de uma conta do IAM.
1. Faça login no AWS console.
1. Escolha **AWS Identity and Access Management (IAM)**.
1. Escolha **Provedores de identidades**.
1. Escolha **Criar provedor**.
1. Para **Configurar provedor**, especifique o seguinte:
+ **Tipo de provedor**: na lista suspensa, escolha **SAML**.
+ **Nome do provedor**: especifique **Okta**.
+ **Documento de metadados**: faça o upload do documento XML que você salvou localmente a partir da etapa 7 de [Adicione o aplicativo SageMaker Canvas ao Okta](#canvas-set-up-okta).
1. Encontre seu provedor de identidades em **Provedores de identidades**. Copie o valor do **ARN do provedor**.
1. Em **Perfis**, escolha o perfil do IAM que você está usando para acessar o Okta SSO.
1. Sob **Relações de confiança** do perfil do IAM, escolha **Editar relação de confiança**.
1. Modifique a política de relacionamento de confiança do IAM especificando o valor do **ARN do provedor** que você copiou e adicione a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:SetSourceIdentity"
]
}
]
}
```
------
1. Para **Permissões**, adicione a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*"
}
]
}
```
------
## Configurar o SageMaker Canvas no Okta
Configure o Amazon SageMaker Canvas no Okta usando o procedimento a seguir.
Para configurar o Amazon SageMaker Canvas para usar o Okta, siga as etapas nesta seção. Você deve especificar nomes de usuário exclusivos para cada **SageMakerStudioProfileName**campo. Por exemplo, você pode usar `user.login` como um valor. Se o nome de usuário for diferente do nome do perfil do SageMaker Canvas, escolha um atributo de identificação exclusivo diferente. Por exemplo, você pode usar o número de identificação de um funcionário para o nome do perfil.
Para ver um exemplo de valores que você pode definir para **Atributos**, consulte o código a seguir ao procedimento.
1. Em **Diretório**, escolha **Grupos**.
1. Adicione um grupo com o seguinte padrão: `sagemaker#canvas#IAM-role#AWS-account-id`.
1. No Okta, abra a configuração de integração da aplicação **Federação de contas da AWS **.
1. Selecione **Sign On** para o aplicativo de Federação de AWS Contas.
1. Escolha **Editar** e especifique o seguinte:
+ SAML 2.0
+ **Estado de retransmissão padrão** — https://*Region*.console.aws.amazon. com/sagemaker/home? região = *Region* studio/canvas/open \$1//. *StudioId* Você pode encontrar a ID do Studio Classic no console: [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Selecione **Atributos**.
1. Nos **SageMakerStudioProfileName**campos, especifique valores exclusivos para cada nome de usuário. Os nomes de usuário devem corresponder aos nomes de usuário que você criou no console da AWS .
```
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName
Value: ${user.login}
Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}
```
1. Selecione **Tipo de ambiente**. Escolha ** AWS Regular**.
+ Se o tipo de ambiente não estiver listado, você poderá definir o URL do ACS no campo **URL do ACS**. Se o tipo de ambiente estiver listado, não será preciso inserir o URL do ACS
1. Para o **ARN do provedor de identidades**, especifique o ARN usado na etapa 6 do procedimento anterior.
1. Especifique a **Duração da sessão**.
1. Escolha **Participar de todos os perfis**.
1. Ative a **Usar mapeamento de grupos** especificando os seguintes campos:
+ **Filtro de aplicações**: `okta`
+ **Filtro de grupo**: `^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$`
+ **Padrão de valor do perfil**: `arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role`
1. Escolha **Salvar/Próximo**.
1. Em **Atribuições**, atribua a aplicação ao grupo que você criou.
## Adicione políticas opcionais sobre controle de acesso no IAM
No IAM, você pode aplicar a política a seguir ao usuário administrador que cria os perfis de usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
```
------
Se você optar por adicionar a política anterior ao usuário administrador, deverá usar as seguintes permissões de [Configurar federação de ID no IAM](#set-up-id-federation-IAM):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}
```
------