启用 Amazon SageMaker Canvas 的单点登录访问权限,使用 AWS IAM 身份
使用AWS IAM身份中心启用Amazon SageMaker Canvas的单点登录访问:第2部分
关键要点
在这篇文章中,我们将介绍如何通过AWS IAM身份中心配置Amazon SageMaker Canvas的单点登录SSO访问。该过程不仅确保了安全性,还简化了用户的管理。通过遵循本文中的步骤,您可以让用户更方便地访问SageMaker Canvas。
Amazon SageMaker Canvas使用户能够通过不编写代码的方式使用机器学习ML进行预测。它覆盖了端到端的ML工作流程,无论您是需要强大的数据准备和自动化机器学习AutoML,还是管理端点部署、简化的MLOps能力,或配置生成性人工智能Generative AI的基础模型,SageMaker Canvas都能帮助您实现目标。
为了在确保安全环境的同时提升用户的灵活性,您可以使用AWS IAM身份中心启用单点登录SSO,这也是管理AWS资源用户访问的推荐服务。通过IAM身份中心,您可以创建或连接工作用户,并集中管理其在所有AWS账户和应用程序中的访问权限。
本系列的第一部分讲述了如何为Amazon SageMaker Studio Classic配置SSO。
在本篇文章中,我们将指导您如何为更新的Amazon SageMaker Studio配置SageMaker Canvas的SSO。您的用户可以通过IAM身份中心凭证无缝访问SageMaker Canvas,而不必首先经过AWS管理控制台。我们还将展示如何使用IAM身份中心简化用户管理。
解决方案概述
要从IAM身份中心配置SSO,您需要完成以下步骤:
使用AWS Organizations启用IAM身份中心创建一个使用IAM身份中心进行用户身份验证的SageMaker Studio域在IAM身份中心中创建用户或用户组将用户或用户组添加到SageMaker Studio域我们还将展示如何重命名SageMaker Studio应用程序,以便用户可以清楚地识别它为SageMaker Canvas,以及如何使用IAM身份中心访问它。
启用IAM身份中心
按照以下步骤将SageMaker Canvas连接到IAM身份中心:
在IAM身份中心控制台中,选择启用。选择与AWS Organizations一起启用。选择编辑以添加实例名称。输入您的实例名称在本文中为canvasapp。选择保存更改。创建SageMaker Studio域
在本节中,我们创建SageMaker Studio域并将身份验证方法配置为IAM身份中心。请完成以下步骤:
在SageMaker控制台中,选择域。选择创建域。 选择为组织进行设置。选择设置。输入您选择的域名在本文中为canvasdomain。选择下一步。选择AWS身份中心。选择创建新角色。选择您希望授予的SageMaker Canvas权限。有关权限的更多详细信息,请参阅用户和ML活动。
指定一个或多个Amazon S3桶。选择下一步。选择SageMaker Studio 新。选择下一步。接下来,您可以提供网络配置的VPC详细信息:
在本篇文章中,我们选择公共互联网访问。选择您的VPC、子网和安全组。选择下一步。加速器试用3天保持默认的存储配置,然后选择下一步。选择提交。等待SageMaker域状态更改为提供服务中。
重命名SageMaker Studio应用程序
在创建用户之前,让我们重命名SageMaker Studio应用程序的名称。这将使用户在通过IAM身份中心登录时快速识别SageMaker Canvas应用程序,因为他们可能会访问多个应用程序。
在IAM身份中心控制台中,选择应用程序。在AWS管理选项卡中选择SageMaker Studio应用程序。在操作菜单中选择编辑详细信息。在显示名称中输入名称在本文中为Canvas。在描述中输入描述。选择保存更改。在IAM身份中心中创建用户
现在,您可以创建用户,并选择性地创建用户组,以便授予对SageMaker Canvas的访问权限。为了演示该访问过程,我们将创建一个用户。通常,创建用户组更可取,以便更好地进行用户管理,在组织中更方便地配置访问权限。
用户组是一群用户的集合。用户组允许您为多个用户指定权限,这可以使管理这些用户的权限更为简单。例如,您可以创建一个名为业务分析师的用户组,并为该组授予SageMaker Canvas的权限;所有在该组中的用户将拥有SageMaker Canvas的访问权限。如果组织中有新用户加入并需要访问SageMaker Canvas,可以将其添加到业务分析师组中。如果某人在组织中调动工作,您可以将其从旧用户组中移除,并添加到相应的新用户组,而无需编辑该用户的权限。
完成以下步骤,以在IAM身份中心中创建用户以测试SageMaker Canvas应用程序的访问:
在IAM身份中心控制台中,选择导航窗格中的用户。选择添加用户。提供所需的详细信息,例如用户名、电子邮件地址、名和姓。选择下一步。选择添加用户。您会看到用户成功添加的消息。
将用户添加到SageMaker Studio域
您需要将此用户添加到您创建的SageMaker域。如果您使用组,则需要添加组,而不仅仅是单个用户。
在SageMaker控制台中,选择导航窗格中的域。选择您创建的域。选择分配用户和组。在用户选项卡中,选择您创建的用户。选择分配用户和组。从IAM身份中心访问SageMaker Canvas应用程序
用户将收到一封电子邮件,其中包含设置密码和连接到AWS访问门户的说明的链接。该链接在7天内有效。
当用户收到邮件时,必须完成以下步骤以访问SageMaker Canvas:
从邮件中选择接受邀请。设置新密码,以在指定的账户和域中访问SageMaker Canvas。验证通过后,用户可以选择三种方式登录SageMaker Canvas:
选项一 通过IAM身份中心门户从SageMaker Studio访问选项二 通过IAM身份中心门户直接访问SageMaker Canvas,跳过SageMaker Studio选项三 使用IAM身份中心中的链接访问SageMaker Canvas以下是每种选项的详细说明。
选项一
在第一种选项中,用户首先通过SageMaker Studio访问SageMaker Canvas。此选项适合于希望从SageMaker Studio访问所有相关应用程序的用户,包括SageMaker Canvas。
从电子邮件中导航到AWS访问门户URL。使用为用户设置的凭据登录。您将看到您之前配置的应用程序名称。
选择SageMaker Canvas应用程序。您将被重定向到SageMaker Studio。
选择运行Canvas。选择打开Canvas。
您将被重定向到SageMaker Canvas。
选项二
在此选项中,用户仍然通过IAM身份中心门户,但绕过SageMaker Studio直接进入SageMaker Canvas。当不需要访问SageMaker Studio时,可以使用此选项,因为用户的SageMaker登录将直接将其带入SageMaker Canvas。
在SageMaker控制台中,选择导航窗格中的域。记下SageMaker域ID。打开AWS CloudShell或其他CLI,并运行以下命令,提供您的域ID。此命令将SageMaker域的默认着陆应用程序从SageMaker Studio更新为SageMaker Canvas:bash aws sagemaker updatedomain domainid ltSAGEMAKER DOMAIN IDgt defaultusersettings {DefaultLandingUriappCanvasmodelsStudioWebPortalDISABLED}
如果命令成功运行,您将看到以下响应。
