Amazon SageMaker Canvas позволяет использовать машинное обучение (ML) для создания прогнозов без необходимости писать какой-либо код. Это достигается за счет комплексного рабочего процесса машинного обучения: ищете ли вы мощную подготовку данных и AutoML, управляемое развертывание конечных точек, упрощенные возможности MLOps или возможность настройки базовых моделей для генеративного искусственного интеллекта, SageMaker Canvas может вам помочь. достичь своих целей.

Чтобы обеспечить гибкость для ваших пользователей и одновременно обеспечить безопасность среды, вы можете внедрить единый вход (SSO) с помощью AWS IAM Identity Center, который является рекомендуемым сервисом AWS для управления доступом пользователей к ресурсам AWS. С помощью IAM Identity Center вы можете создавать или подключать пользователей сотрудников и централизованно управлять их доступом ко всем их учетным записям и приложениям AWS.

В части 1 этой серии описаны необходимые шаги для настройки единого входа для SageMaker Canvas с использованием IAM Identity Center для Amazon SageMaker Studio Classic.

В этом посте мы покажем вам необходимые шаги для настройки единого входа для SageMaker Canvas с помощью IAM Identity Center для обновленной Amazon SageMaker Studio. Ваши пользователи могут беспрепятственно получить доступ к SageMaker Canvas, используя свои учетные данные из IAM Identity Center, без необходимости предварительно заходить в Консоль управления AWS. Мы также демонстрируем, как можно упростить управление пользователями с помощью IAM Identity Center.

Обзор решения

Чтобы настроить единый вход из IAM Identity Center, вам необходимо выполнить следующие шаги:

1. Включите IAM Identity Center с помощью AWS Organizations
2. Создайте домен SageMaker Studio, который использует IAM Identity Center для аутентификации пользователей.
3. Создание пользователей или групп в IAM Identity Center.
4. Добавьте пользователей или группы в домен SageMaker Studio.

Мы также покажем, как переименовать приложение SageMaker Studio, чтобы четко идентифицировать его как SageMaker Canvas, и как получить к нему доступ с помощью IAM Identity Center.

Включить центр идентификации IAM

Выполните следующие действия, чтобы подключить SageMaker Canvas к IAM Identity Center:

1. В консоли IAM Identity Center выберите Давать возможность.
2. Выбирать Включите возможности AWS Organizations.
   
3. Выбирать Редактировать чтобы добавить имя экземпляра.
   
4. Введите имя своего экземпляра (в этом посте — Canvas-app).
5. Выбирать Сохранить изменения.

Создайте домен SageMaker Studio.

В этом разделе мы создаем домен SageMaker Studio и настраиваем метод аутентификации как IAM Identity Center. Выполните следующие шаги:

1. На консоли SageMaker выберите Домены.
2. Выбирать Создать домен.
   
3. Выбирать Настройка для организаций.
4. Выбирать Настраивать.
   
5. Введите доменное имя по вашему выбору (для этого сообщения canvas-domain).
6. Выбирать Следующий.
   
7. Выбирать Центр идентификации AWS.
   
8. Выбирать Создать новую роль.
9. Выберите разрешения SageMaker Canvas, которые вы хотите предоставить.

Дополнительные сведения о разрешениях см. в разделе Пользователи и действия ML.

10. Укажите один или несколько сегментов Amazon Simple Storage Service (Amazon S3).
11. Выбирать Следующий.
    
12. Выбирать SageMaker Studio – новинка.
    
13. Выбирать Следующий.
    

Далее вы можете предоставить сведения о VPC для конфигурации вашей сети.

14. Для этого поста мы выбираем Общественный доступ в Интернет.
    
15. Выберите свой VPC, подсети и группы безопасности.
16. Выбирать Следующий.
    
17. Оставьте конфигурацию хранилища по умолчанию и выберите Следующий.
    
18. Выбирать Представлять на рассмотрение.
    

Подождите, пока статус домена SageMaker изменится на В сервисе.

Переименуйте приложение SageMaker Studio.

Прежде чем создавать пользователя, давайте переименуем имя приложения SageMaker Studio. Это позволит пользователям быстро идентифицировать приложение SageMaker Canvas при входе в систему через IAM Identity Center, где у них может быть доступ к нескольким приложениям.

1. В консоли IAM Identity Center выберите Приложения.
2. Выберите приложение SageMaker Studio на под управлением AWS вкладка.
   
3. Выбирать Редактировать детали на Действия меню.
   
4. Для Отображаемое имявведите имя (для этого сообщения Canvas).
5. Для Описаниевведите описание.
6. Выбирать Сохранить изменения.
   

Создайте пользователя в IAM Identity Center.

Теперь вы можете создавать пользователей и, при необходимости, группы, которым будет предоставлен доступ к SageMaker Canvas. В этом посте мы создаем одного пользователя, чтобы продемонстрировать процесс предоставления доступа. Однако группы обычно предпочтительнее для лучшего управления пользователями и предоставления доступа в организациях.

Группа пользователей — это совокупность пользователей. Группы позволяют указать разрешения для нескольких пользователей, что упрощает управление разрешениями для этих пользователей. Например, вы можете создать группу пользователей под названием «Бизнес-аналитики» и предоставить этой группе права доступа к SageMaker Canvas; все пользователи в этой группе будут иметь доступ к SageMaker Canvas. Если к вашей организации присоединяется новый пользователь, которому требуется доступ к SageMaker Canvas, вы можете добавить его в группу бизнес-аналитиков. Если человек меняет работу в вашей организации, вместо редактирования разрешений этого пользователя вы можете удалить его из старых групп пользователей и добавить в соответствующие новые группы пользователей.

Выполните следующие шаги, чтобы создать пользователя в IAM Identity Center для проверки доступа к приложению SageMaker Canvas:

1. В консоли IAM Identity Center выберите Пользователи в панели навигации.
2. Выбирать Добавить пользователя.
   
3. Укажите необходимые данные, такие как имя пользователя, адрес электронной почты, имя и фамилия.
   
4. Выбирать Следующий.
   
5. Выбирать Добавить пользователя.
   

Вы увидите сообщение об успешном добавлении пользователя.

Добавьте пользователей в домен SageMaker Studio.

Вам необходимо добавить этого пользователя в созданный вами домен SageMaker. Если вы используете группы, вы добавляете группу, а не только одного пользователя.

1. На консоли SageMaker выберите Домены в панели навигации.
2. Выберите домен, который вы создали.
   
3. Выбирать Назначение пользователей и групп.
   
4. На Пользователи на вкладке выберите созданного вами пользователя.
5. Выбирать Назначение пользователей и групп.
   

Доступ к приложению SageMaker Canvas из IAM Identity Center.

Пользователь получит электронное письмо со ссылкой для установки пароля и инструкциями по подключению к порталу доступа AWS. Ссылка будет действительна до 7 дней.

Когда пользователь получит электронное письмо, он должен выполнить следующие шаги, чтобы получить доступ к SageMaker Canvas:

1. Выбирать Принять приглашение из электронной почты.

2. Установите новый пароль для доступа к SageMaker Canvas в указанной учетной записи и домене.
   

После выполнения аутентификации у пользователя есть три варианта входа в SageMaker Canvas:

• Опция 1 – Доступ из SageMaker Studio через портал IAM Identity Center.
• Вариант 2 – Доступ из SageMaker Canvas через портал IAM Identity Center, минуя SageMaker Studio.
• Вариант 3 – Используйте ссылку на портал IAM Identity Center в IAM Identity Center для доступа к SageMaker Canvas.

В этом разделе мы рассмотрим каждый из этих вариантов.

Опция 1

В первом варианте пользователь сначала обращается к SageMaker Studio, чтобы получить доступ к SageMaker Canvas. Этот вариант подходит для пользователей, которые должны иметь доступ ко всем соответствующим приложениям из SageMaker Studio, включая SageMaker Canvas.

1. Перейдите по URL-адресу портала доступа AWS из своего электронного письма.

2. Войдите в систему, используя учетные данные, которые вы установили для пользователя.

Вы увидите имя приложения, которое вы настроили ранее.

3. Выберите приложение SageMaker Canvas.
   

Вы будете перенаправлены в SageMaker Studio.

4. Выбирать Запустить холст.
   
5. Выбирать Открытый холст.
   

Вы будете перенаправлены на холст SageMaker.

Вариант 2

В этом варианте пользователь по-прежнему проходит через портал IAM Identity Center, но обходит SageMaker Studio и переходит непосредственно в SageMaker Canvas. Эту опцию следует использовать, когда доступ к SageMaker Studio не требуется, поскольку вход пользователя в SageMaker всегда приведет его непосредственно к SageMaker Canvas.

1. На консоли SageMaker выберите Домены в панели навигации.
2. Запишите идентификатор домена SageMaker.
   
3. Откройте AWS CloudShell или любой другой интерфейс командной строки и выполните следующую команду, указав идентификатор своего домена. Эта команда обновляет целевое приложение по умолчанию для домена SageMaker с SageMaker Studio на SageMaker Canvas:

   aws sagemaker update-domain --domain-id <SAGEMAKER DOMAIN ID> --default-user-settings '{"DefaultLandingUri":"app:Canvas:models","StudioWebPortal":"DISABLED"}'

Вы увидите следующий ответ, если команда выполнена успешно.

4. Перейдите по URL-адресу портала доступа AWS из своего электронного письма.
5. Войдите в систему, используя учетные данные, которые вы установили для пользователя.
6. Выберите приложение SageMaker Canvas.

На этот раз вы будете перенаправлены на SageMaker Canvas, минуя SageMaker Studio.

Вариант 3

Если целевое приложение по умолчанию для домена SageMaker было обновлено с SageMaker Studio на SageMaker Canvas в Варианте 2, пользователь также может использовать ссылку на портал IAM Identity Center для доступа к SageMaker Canvas. Для этого выберите URL-адрес портала доступа AWS, указанный в источнике удостоверений на консоли IAM Identity Center. Вы можете использовать этот URL-адрес в качестве закладки браузера или интегрировать его в собственное приложение для прямого доступа к SageMaker Canvas.

Очистить

Чтобы избежать будущих расходов на сеанс, выйдите из SageMaker Canvas.

Заключение

В этом посте мы обсудили, как пользователи могут безопасно получить доступ к SageMaker Canvas с помощью единого входа. Для этого мы настроили IAM Identity Center и связали его с доменом SageMaker, где используется SageMaker Canvas. Теперь пользователи находятся в одном клике от использования SageMaker Canvas и решения новых задач с помощью машинного обучения без кода. Этот подход поддерживает требования к безопасной среде групп облачной разработки и безопасности, обеспечивая при этом гибкость и независимость групп разработчиков.

Чтобы узнать больше о SageMaker Canvas, ознакомьтесь с анонсом Amazon SageMaker Canvas — визуальной возможности машинного обучения без кода для бизнес-аналитиков. SageMaker Canvas также обеспечивает сотрудничество с группами специалистов по обработке и анализу данных. Дополнительные сведения см. в разделе «Создание, совместное использование, развертывание: как бизнес-аналитики и специалисты по обработке данных ускоряют вывод продуктов на рынок с помощью машинного обучения без кода и Amazon SageMaker Canvas». ИТ-администраторам мы предлагаем ознакомиться с разделом Настройка и управление Amazon SageMaker Canvas (для ИТ-администраторов).

Об авторах

Дирадж Тхакур — архитектор решений Amazon Web Services. Он работает с клиентами и партнерами AWS, предоставляя рекомендации по внедрению, миграции и стратегии корпоративного облака. Он увлечен технологиями, ему нравится создавать и экспериментировать в области аналитики и искусственного интеллекта и машинного обучения.

Дэн Синнрайх — старший менеджер по продуктам в AWS, помогающий демократизировать машинное обучение с помощью инноваций с низким кодом или без него. До работы в AWS Дэн создавал и коммерциализировал платформы SaaS и модели рисков временных рядов, используемые институциональными инвесторами для управления рисками и оптимизации инвестиционных портфелей. В свободное от работы время он играет в хоккей, занимается подводным плаванием и читает научную фантастику.