Enable Single Sign On Identity Center Canvas.jpg

Lienzo de Amazon SageMaker le permite utilizar el aprendizaje automático (ML) para generar predicciones sin tener que escribir ningún código. Lo hace cubriendo el flujo de trabajo de aprendizaje automático de un extremo a otro: ya sea que esté buscando una potente preparación de datos y AutoML, implementación de puntos finales administrada, capacidades MLOps simplificadas o la capacidad de configurar modelos básicos para IA generativaSageMaker Canvas puede ayudarle a alcanzar sus objetivos.

Para permitir agilidad para sus usuarios y al mismo tiempo garantizar entornos seguros, puede adoptar el inicio de sesión único (SSO) utilizando Centro de identidad de AWS IAM, que es el servicio de AWS recomendado para administrar el acceso de los usuarios a los recursos de AWS. Con IAM Identity Center, puede crear o conectar usuarios de la fuerza laboral y administrar de forma centralizada su acceso en todas sus cuentas y aplicaciones de AWS.

Parte 1 de esta serie describe los pasos necesarios para configurar SSO para SageMaker Canvas usando IAM Identity Center para Amazon SageMaker Studio Clásico.

En esta publicación, lo guiaremos a través de los pasos necesarios para configurar SSO para SageMaker Canvas usando IAM Identity Center para la versión actualizada. Amazon SageMaker Estudio. Sus usuarios pueden acceder sin problemas a SageMaker Canvas con sus credenciales desde IAM Identity Center sin tener que pasar primero por el Consola de administración de AWS. También demostramos cómo puede optimizar la administración de usuarios con IAM Identity Center.

Descripción general de la solución

Para configurar SSO desde IAM Identity Center, debe completar los siguientes pasos:

  1. Habilite IAM Identity Center usando Organizaciones de AWS
  2. Cree un dominio de SageMaker Studio que utilice IAM Identity Center para la autenticación de usuarios
  3. Crear usuarios o grupos en IAM Identity Center
  4. Agregar usuarios o grupos al dominio de SageMaker Studio

También mostraremos cómo cambiar el nombre de la aplicación SageMaker Studio para identificarla claramente como SageMaker Canvas y cómo acceder a ella mediante IAM Identity Center.

Habilitar el Centro de identidad de IAM

Siga estos pasos para conectar SageMaker Canvas a IAM Identity Center:

  1. En la consola de IAM Identity Center, elija Permitir.
  2. Elegir Habilitar con AWS Organizations.
  3. Elegir Editar para agregar un nombre de instancia.
  4. Ingrese un nombre para su instancia (para esta publicación, aplicación de lienzo).
  5. Elegir Guardar cambios.

Cree el dominio de SageMaker Studio

En esta sección, creamos el dominio de SageMaker Studio y configuramos el método de autenticación como IAM Identity Center. Complete los siguientes pasos:

  1. En la consola de SageMaker, elija Dominios.
  2. Elegir Crear dominio.
  3. Elegir Configurado para organizaciones.
  4. Elegir Configuración.
  5. Ingrese un nombre de dominio de su elección (para esta publicación, canvas-domain).
  6. Elegir Próximo.
  7. Seleccionar Centro de identidad de AWS.
  8. Elegir Crear un nuevo rol.
  9. Seleccione los permisos de SageMaker Canvas que desea otorgar.

Para obtener más detalles sobre los permisos, consulte Usuarios y actividades de ML.

  1. Especifique uno o más Servicio de almacenamiento simple de Amazon (Amazon S3) cubo.
  2. Elegir Próximo.
  3. Seleccionar Estudio SageMaker – Nuevo.
  4. Elegir Próximo.

A continuación, puede proporcionar detalles de VPC para la configuración de su red.

  1. Para esta publicación, seleccionamos Acceso público a internet.
  2. Elija su VPC, subredes y grupos de seguridad.
  3. Elegir Próximo.
  4. Mantenga la configuración de almacenamiento predeterminada y elija Próximo.
  5. Elegir Entregar.

Espere a que el estado del dominio de SageMaker cambie a En servicio.

Cambiar el nombre de la aplicación SageMaker Studio

Antes de crear un usuario, cambiemos el nombre de la aplicación SageMaker Studio. Esto permitirá a los usuarios identificar rápidamente la aplicación SageMaker Canvas cuando inicien sesión a través de IAM Identity Center, donde pueden tener acceso a múltiples aplicaciones.

  1. En la consola de IAM Identity Center, elija Aplicaciones.
  2. Elija la aplicación SageMaker Studio en el AWS administrado pestaña.
  3. Elegir Editar detalles sobre el Comportamiento menú.
  4. Para Nombre para mostraringresa un nombre (para esta publicación, Canvas).
  5. Para Descripcióningrese una descripción.
  6. Elegir Guardar cambios.

Crear un usuario en IAM Identity Center

Ahora puede crear usuarios y, opcionalmente, grupos a los que se les dará acceso a SageMaker Canvas. Para esta publicación, creamos un usuario único para demostrar el proceso para proporcionar acceso. Sin embargo, normalmente se prefieren los grupos para una mejor gestión de usuarios y para proporcionar acceso en las organizaciones.

Un grupo de usuarios es una colección de usuarios. Los grupos le permiten especificar permisos para varios usuarios, lo que puede hacer que sea más sencillo administrar los permisos para esos usuarios. Por ejemplo, podría tener un grupo de usuarios llamado analistas de negocios y otorgarle permiso a ese grupo de usuarios para SageMaker Canvas; todos los usuarios de ese grupo tendrán acceso a SageMaker Canvas. Si un nuevo usuario se une a su organización y necesita acceso a SageMaker Canvas, puede agregarlo al grupo de analistas de negocios. Si una persona cambia de trabajo en su organización, en lugar de editar los permisos de ese usuario, puede eliminarlo de los grupos de usuarios antiguos y agregarlo a los nuevos grupos de usuarios apropiados.

Complete los siguientes pasos para crear un usuario en IAM Identity Center para probar el acceso a la aplicación SageMaker Canvas:

  1. En la consola de IAM Identity Center, elija Usuarios en el panel de navegación.
  2. Elegir Agregar usuario.
  3. Proporcione los detalles requeridos, como el nombre de usuario, la dirección de correo electrónico, el nombre y el apellido.
  4. Elegir Próximo.
  5. Elegir Agregar usuario.

Verá un mensaje de éxito que indica que el usuario se ha agregado correctamente.

Agregar usuarios al dominio de SageMaker Studio

Debe agregar este usuario al dominio de SageMaker que creó. Si está utilizando grupos, agregue el grupo, no solo un usuario.

  1. En la consola de SageMaker, elija Dominios en el panel de navegación.
  2. Elija el dominio que creó.
  3. Elegir Asignar usuarios y grupos.
  4. Sobre el Usuarios pestaña, seleccione el usuario que creó.
  5. Elegir Asignar usuarios y grupos.

Acceda a la aplicación SageMaker Canvas desde IAM Identity Center

El usuario recibirá un correo electrónico con un enlace para configurar una contraseña e instrucciones para conectarse al portal de acceso de AWS. El enlace tendrá una validez de hasta 7 días.

Cuando el usuario recibe el correo electrónico, debe completar los siguientes pasos para obtener acceso a SageMaker Canvas:

  1. Elegir Aceptar la invitacion desde el correo electrónico.

  1. Establezca una nueva contraseña para acceder a SageMaker Canvas en la cuenta y el dominio especificados.

Una vez realizada la autenticación, el usuario tiene tres opciones para iniciar sesión en SageMaker Canvas:

  • Opción 1 – Acceso desde SageMaker Studio a través del portal IAM Identity Center
  • opcion 2 – Acceso desde SageMaker Canvas a través del portal IAM Identity Center, sin pasar por SageMaker Studio
  • Opción 3 – Utilice el enlace del portal de IAM Identity Center en IAM Identity Center para acceder a SageMaker Canvas

Analizamos cada una de estas opciones en esta sección.

Opción 1

En la primera opción, el usuario accede primero a SageMaker Studio para acceder a SageMaker Canvas. Esta opción es apropiada para usuarios que deberían poder acceder a todas las aplicaciones relevantes desde SageMaker Studio, incluido SageMaker Canvas.

  1. Navegue hasta la URL del portal de acceso de AWS desde su correo electrónico.

  1. Inicie sesión con las credenciales que configuró para el usuario.

Verá el nombre de la aplicación que configuró anteriormente.

  1. Elija la aplicación SageMaker Canvas.

Serás redirigido a SageMaker Studio.

  1. Elegir Ejecutar lienzo.
  2. Elegir Abrir lienzo.

Serás redirigido a SageMaker Canvas.

opcion 2

En esta opción, el usuario aún pasa por el portal de IAM Identity Center, pero omite SageMaker Studio para ir directamente a SageMaker Canvas. Esta opción debe usarse cuando no es necesario acceder a SageMaker Studio, ya que el inicio de sesión de SageMaker del usuario siempre lo llevará directamente a SageMaker Canvas.

  1. En la consola de SageMaker, elija Dominios en el panel de navegación.
  2. Anote el ID del dominio de SageMaker.
  3. Abierto AWS CloudShell o cualquier otra CLI y ejecute el siguiente comando, proporcionando su ID de dominio. Este comando actualiza la aplicación de inicio predeterminada para el dominio de SageMaker desde SageMaker Studio a SageMaker Canvas:
    aws sagemaker update-domain --domain-id <SAGEMAKER DOMAIN ID> --default-user-settings '{"DefaultLandingUri":"app:Canvas:models","StudioWebPortal":"DISABLED"}'

Verá la siguiente respuesta si el comando se ejecuta correctamente.

  1. Navegue hasta la URL del portal de acceso de AWS desde su correo electrónico.
  2. Inicie sesión con las credenciales que configuró para el usuario.
  3. Elija la aplicación SageMaker Canvas.

Esta vez serás redirigido a SageMaker Canvas, sin pasar por SageMaker Studio.

Opción 3

Si la aplicación de inicio predeterminada para el dominio de SageMaker se actualizó de SageMaker Studio a SageMaker Canvas en la Opción 2, un usuario también puede usar el enlace del portal de IAM Identity Center para acceder a SageMaker Canvas. Para hacerlo, elija la URL del portal de acceso de AWS que se muestra en la fuente de identidad en la consola de IAM Identity Center. Puede utilizar esta URL como marcador del navegador o integrarla con su aplicación personalizada para obtener acceso directo a SageMaker Canvas.

Limpiar

Para evitar incurrir en futuros cargos de sesióncierre sesión en SageMaker Canvas.

Conclusión

En esta publicación, analizamos cómo los usuarios pueden acceder de forma segura a SageMaker Canvas mediante SSO. Para hacer esto, configuramos IAM Identity Center y lo vinculamos al dominio de SageMaker donde se utiliza SageMaker Canvas. Los usuarios ahora están a un clic de usar SageMaker Canvas y resolver nuevos desafíos con aprendizaje automático sin código. Este enfoque respalda los requisitos de entorno seguro de los equipos de seguridad e ingeniería de la nube, al tiempo que permite la agilidad y la independencia de los equipos de desarrollo.

Para obtener más información sobre SageMaker Canvas, consulte Anuncio de Amazon SageMaker Canvas: una capacidad de aprendizaje automático visual y sin código para analistas de negocios. SageMaker Canvas también permite la colaboración con equipos de ciencia de datos. Para obtener más información, consulte Construya, comparta e implemente: cómo los analistas de negocios y científicos de datos logran un tiempo de comercialización más rápido utilizando aprendizaje automático sin código y Amazon SageMaker Canvas. Para los administradores de TI, sugerimos consultar Configuración y administración de Amazon SageMaker Canvas (para administradores de TI).


Sobre los autores

Dhiraj Thakur es arquitecto de soluciones en Amazon Web Services. Trabaja con clientes y socios de AWS para brindar orientación sobre la adopción, migración y estrategia de la nube empresarial. Le apasiona la tecnología y le gusta construir y experimentar en el espacio de análisis e IA/ML.

Dan Sinnreich es gerente senior de productos en AWS y ayuda a democratizar el aprendizaje automático con innovaciones de bajo código o sin código. Antes de AWS, Dan creó y comercializó plataformas SaaS y modelos de riesgo de series temporales utilizados por inversores institucionales para gestionar el riesgo y optimizar las carteras de inversión. Fuera del trabajo, se le puede encontrar jugando hockey, buceando y leyendo ciencia ficción.