Benutzerdefiniertes Setup für Amazon SageMaker

Die Einrichtung für Organisationen (benutzerdefinierte Einrichtung) führt Sie durch eine erweiterte Einrichtung für Ihre SageMaker Amazon-Domain. Diese Option bietet Informationen und Empfehlungen, die Ihnen helfen, alle Aspekte der Kontokonfiguration, einschließlich Berechtigungen, Integrationen und Verschlüsselung, zu verstehen und zu kontrollieren. Verwenden Sie diese Option, wenn Sie eine benutzerdefinierte Domain einrichten möchten. Informationen zu Domänen finden Sie unter SageMaker Amazon-Domain-Übersicht.

Authentifizierungsmethoden

Bevor Sie die Domäne einrichten, sollten Sie die Authentifizierungsmethoden berücksichtigen, mit denen Ihre Benutzer auf die Domäne zugreifen können.

AWS Identitätscenter:

• Hilft bei der Vereinfachung der Verwaltung von Zugriffsberechtigungen für Benutzergruppen. Sie können Benutzergruppen Berechtigungen gewähren oder verweigern, anstatt diese Berechtigungen jedem einzelnen Benutzer zuzuweisen. Wenn ein Benutzer in eine andere Organisation wechselt, können Sie diesen Benutzer in eine andere AWS Identity and Access Management Identity Center (AWS IAM Identity Center) -Gruppe verschieben. Der Benutzer erhält dann automatisch die Berechtigungen, die für die neue Organisation erforderlich sind.

  Beachten Sie, dass sich das IAM Identity Center in derselben Domäne AWS-Region befinden muss.

  Folgen Sie zur Einrichtung mit IAM Identity Center den folgenden Anweisungen aus dem AWS IAM Identity Center-Benutzerhandbuch:

  • Beginnen Sie mit der Aktivierung. AWS IAM Identity Center

  • Erstellen Sie einen Berechtigungssatz, der der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten folgt.

  • Fügen Sie Gruppen zu Ihrem IAM Identity Center-Verzeichnis hinzu.

  • Weisen Sie Benutzern und Gruppen Single Sign-On-Zugriff zu.

  • Sehen Sie sich die grundlegenden Workflows an, um mit allgemeinen Aufgaben in IAM Identity Center zu beginnen.

• Die Benutzer in IAM Identity Center können über eine AWS-Zugangsportal URL, die ihnen per E-Mail zugeschickt wird, auf die Domain zugreifen. Die E-Mail enthält Anweisungen zum Erstellen eines Kontos für den Zugriff auf die Domain. Weitere Informationen finden Sie unter Melden Sie sich bei der an AWS-Zugangsportal.

  Als Administrator können Sie die AWS-Zugangsportal URL finden, indem Sie zum IAM Identity Center navigieren und die AWS-Zugangsportal URL unter Einstellungsübersicht suchen.

• Ihre Domain muss die AWS Identity and Access Management (IAM) -Authentifizierung verwenden, wenn Sie den Zugriff auf Ihre Domains ausschließlich auf bestimmte Amazon Virtual Private Clouds (VPCs), Schnittstellenendpunkte oder einen vordefinierten Satz von IP-Adressen beschränken möchten. Diese Funktion wird für Domains, die die IAM Identity Center-Authentifizierung verwenden, nicht unterstützt. Sie können IAM Identity Center weiterhin verwenden, um die zentrale Identitätskontrolle Ihrer Mitarbeiter zu ermöglichen. Anweisungen, wie Sie diese Einschränkungen implementieren und gleichzeitig IAM Identity Center beibehalten können, um eine konsistente Benutzeranmeldung zu gewährleisten, finden Sie unter Sicherer Zugriff auf Amazon SageMaker Studio Classic mit IAM Identity Center und einer SAML-Anwendung im AWS Machine Learning-Blog. Beachten Sie in diesem Blog, dass AWS SSO für IAM Identity Center steht.

Melden Sie sich über IAM an:

• Die Benutzerprofile können nach der Anmeldung beim Konto über die SageMaker Konsole auf die Domain zugreifen.

• Sie können den Zugriff auf Ihre Domains ausschließlich auf bestimmte Amazon Virtual Private Clouds (VPCs), Schnittstellenendpunkte oder einen vordefinierten Satz von IP-Adressen beschränken, wenn Sie die AWS Identity and Access Management (IAM) -Authentifizierung verwenden. Weitere Informationen finden Sie unter Zugriff nur von Ihrer VPC aus zulassen.

Einrichtung für Organisationen (benutzerdefinierte Einrichtung)

Benutzerdefiniertes Setup mit der Konsole

Nachdem Sie die Voraussetzungen unter erfüllt haben SageMaker Voraussetzungen für Amazon, öffnen Sie die Seite SageMaker Domain einrichten (benutzerdefinierte Konfiguration) und erweitern Sie die folgenden Abschnitte mit Informationen zur Einrichtung.

Öffnen Sie die Option SageMaker Domain einrichten von der SageMaker Konsole aus

1. Öffnen Sie die SageMaker -Konsole.

2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen aus, um die Optionen zu erweitern.

3. Wählen Sie unter Admin-Konfigurationen Domains aus.

4. Wählen Sie auf der Seite Domains Domain entfernen aus.

5. Wählen Sie auf der Seite SageMaker Domain einrichten die Option Für Organisationen einrichten aus.

6. Wählen Sie Set up (Festlegen).

Gehen Sie nach dem Öffnen der Seite „ SageMaker Domain einrichten“ wie folgt vor:

Schritt 1: Domain-Details

1. Geben Sie unter Domainname einen eindeutigen Namen für Ihre Domain ein. Dies kann beispielsweise Ihr Projekt- oder Teamname sein.

2. Wählen Sie Weiter aus.

Schritt 2: Benutzer und ML-Aktivitäten

In diesem Schritt richten Sie die Authentifizierungsmethode, die Benutzer und die Berechtigungen für Ihre Domain ein.

1. Unter Wie möchten Sie auf Studio zugreifen? , können Sie eine von zwei Optionen wählen. Informationen zu den Authentifizierungsmethoden finden Sie unterAuthentifizierungsmethoden. Einzelheiten zu den Optionen finden Sie im Folgenden:

   • AWS Identitätszentrum:

     Unter Wer wird Studio verwenden? wählen Sie eine AWS IAM Identity Center Gruppe aus, die auf die Domain zugreifen soll.

     Wenn Sie Keine Identity Center-Benutzergruppe wählen, erstellen Sie eine Domain ohne Benutzer. Sie können der Domain nach der Erstellung der Domain IAM Identity Center-Gruppen hinzufügen. Weitere Informationen finden Sie unter Domains anzeigen und bearbeiten.

   • Melden Sie sich über IAM an:

     Unter Wer wird Studio verwenden? Wählen Sie + Benutzer hinzufügen, geben Sie einen neuen Benutzerprofilnamen ein und wählen Sie Hinzufügen, um einen Benutzerprofilnamen zu erstellen und hinzuzufügen.

     Sie können diesen Vorgang wiederholen, um mehrere Benutzerprofile zu erstellen.

2. Unter Wer wird Studio verwenden? wählen Sie die IAM Identity Center-Benutzer oder -Gruppen aus und klicken Sie dann auf Auswählen. Sie müssen Amazon SageMaker Studio in derselben Region einrichten, in der Ihr IAM Identity Center konfiguriert ist. Sie können die Region Ihrer Domain ändern, indem Sie die Region aus der Dropdownliste oben rechts in der Konsole auswählen, oder Sie können Ihre IAM Identity Center-Region ändern, indem Sie zum Zugangsportal navigieren.AWS

3. Unter welchen ML-Aktivitäten führen sie durch? Sie können eine bestehende Rolle verwenden, indem Sie Bestehende Rolle verwenden wählen, oder Sie können eine neue Rolle erstellen, indem Sie Neue Rolle erstellen auswählen und die ML-Aktivitäten markieren, auf die die Rolle Zugriff haben soll.

4. Bei der Auswahl von ML-Aktivitäten müssen Sie möglicherweise die Anforderungen erfüllen. Um eine Anforderung zu erfüllen, wählen Sie Hinzufügen und füllen Sie die Anforderung aus.

5. Wenn alle Anforderungen erfüllt sind, wählen Sie Weiter.

Schritt 3: Bewerbungen

In diesem Schritt können Sie die Anwendungen konfigurieren, die Sie im vorherigen Schritt aktiviert haben. Weitere Informationen zu den ML-Aktivitäten finden Sie unterReferenz zur ML-Aktivität.

Wenn die Anwendung nicht aktiviert wurde, erhalten Sie eine Warnung für diese Anwendung. Um eine Anwendung zu aktivieren, die nicht aktiviert wurde, kehren Sie zum vorherigen Schritt zurück, indem Sie Zurück wählen und den vorherigen Anweisungen folgen.

• Studio-Konfiguration:

  Unter Studio haben Sie die Möglichkeit, zwischen der neuen und der klassischen Version von Studio als Standarderlebnis zu wählen. Das bedeutet, dass Sie auswählen müssen, mit welcher ML-Umgebung Sie interagieren, wenn Sie Studio öffnen.

  • Studio — Neu umfasst mehrere integrierte Entwicklungsumgebungen (IDEs) und Anwendungen, darunter Amazon SageMaker Studio Classic. Wenn diese Option ausgewählt ist, hat die Studio Classic-IDE Standardeinstellungen. Informationen zu den Standardeinstellungen finden Sie unterStandardeinstellungen.

  • Studio Classic enthält die Jupyter-IDE. Falls ausgewählt, können Sie Ihre Studio Classic-Konfiguration konfigurieren.

    Informationen zu Studio Classic finden Sie unterAmazon SageMaker Studio Classic.

• SageMaker Canvas-Konfiguration:

  Wenn Sie Amazon SageMaker Canvas aktiviert haben, finden Sie Erste Schritte mit Amazon SageMaker Canvas die Anweisungen und Konfigurationsdetails für das Onboarding unter.

• Studio Classic-Konfiguration:

  Wenn Sie Studio — Neu (empfohlen) als Standarderlebnis ausgewählt haben, verfügt die Studio Classic-IDE über Standardeinstellungen. Informationen zu den Standardeinstellungen finden Sie unterStandardeinstellungen.

  Wenn Sie Studio Classic als Standardoberfläche ausgewählt haben, können Sie die gemeinsame Nutzung von Notebook-Ressourcen aktivieren oder deaktivieren. Zu den Notebook-Ressourcen gehören Artefakte wie Zellausgabe und Git-Repositorys. Weitere Informationen zu Notebook-Ressourcen finden Sie unterTeilen und verwenden Sie ein Amazon SageMaker Studio Classic-Notizbuch.

  Wenn Sie die gemeinsame Nutzung von Notebook-Ressourcen aktiviert haben:

  1. Geben Sie unter S3-Standort für gemeinsam nutzbare Notebook-Ressourcen Ihren Amazon S3 S3-Standort ein.

  2. Lassen Sie unter Verschlüsselungsschlüssel — optional die Option Keine benutzerdefinierte Verschlüsselung stehen oder wählen Sie einen vorhandenen AWS KMS Schlüssel aus oder wählen Sie Enter a KMS key ARN und geben Sie den ARN Ihres AWS KMS Schlüssels ein.

  3. Wählen Sie unter Einstellungen für die gemeinsame Nutzung von Notebook-Zellenausgängen die Option Benutzern die gemeinsame Nutzung der Zellenausgabe erlauben oder Die gemeinsame Nutzung der Mobilfunkausgabe deaktivieren aus.

• RStudio-Konfiguration:

  Um RStudio zu aktivieren, benötigen Sie eine RStudio-Lizenz. Informationen zur Einrichtung finden Sie unter. RStudio-Lizenz

  1. Stellen Sie unter RStudio Workbench sicher, dass Ihre RStudio-Lizenz automatisch erkannt wird. Weitere Informationen zum Erwerb einer RStudio-Lizenz und deren Aktivierung finden Sie SageMaker unterRStudio-Lizenz.

  2. Wählen Sie einen Instance-Typ aus, auf dem Ihr RStudio-Server gestartet werden soll. Weitere Informationen finden Sie unter StudioServerPro R-Instanztyp.

  3. Erstellen Sie unter Berechtigung Ihre Rolle oder wählen Sie eine vorhandene Rolle aus. Der Benutzer muss über die folgenden Richtlinienberechtigungen verfügen: Diese Richtlinie ermöglicht der StudioServerPro R-Anwendung den Zugriff auf die erforderlichen Ressourcen. Es ermöglicht Amazon auch SageMaker , automatisch eine StudioServerPro R-Anwendung zu starten, wenn sich die bestehende R StudioServer Pro-Anwendung im Failed Status Deleted Oder befindet. Weitere Informationen zum Bearbeiten von Rollenberechtigungen finden Sie unter Ändern einer Rollenberechtigungsrichtlinie (Konsole).

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. Fügen Sie unter RStudio Connect die URL für Ihren RStudio Connect-Server hinzu. RStudio Connect ist eine Veröffentlichungsplattform für Shiny-Anwendungen, R-Markdown-Berichte, Dashboards, Diagramme und mehr. Wenn Sie RStudio on einbinden SageMaker, wird kein RStudio Connect-Server erstellt. Weitere Informationen finden Sie unter URL für RStudio Connect.

  5. Fügen Sie unter RStudio Package Manager die URL für Ihren RStudio Package Manager hinzu. SageMaker erstellt ein Standard-Paket-Repository für den Package Manager, wenn Sie RStudio einbinden. Weitere Informationen zu RStudio Package Manager finden Sie unter RStudio Package Manager.

  6. Klicken Sie auf Weiter.

• Konfiguration des Code-Editors:

  Wenn Sie den Code-Editor aktiviert haben, finden Sie Erste Schritte mit dem Code-Editor in Amazon SageMaker Studio eine Übersicht und die Konfigurationsdetails unter.

Schritt 4: Netzwerk

Wählen Sie aus, wie Studio eine Verbindung zu anderen AWS Diensten herstellen soll.

Sie können den Internetzugang zu Ihrem Studio deaktivieren, indem Sie den Netzwerkzugriffstyp Nur Virtual Private Cloud (VPC) angeben. Wenn Sie diese Option wählen, können Sie ein Studio-Notebook nur ausführen, wenn Ihre VPC über einen Schnittstellenendpunkt zur SageMaker API und Runtime oder über ein Network Address Translation (NAT) -Gateway mit Internetzugang verfügt und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. Weitere Informationen zu Amazon VPCs finden Sie unterWählen Sie eine Amazon VPC.

Wenn Sie sich für Virtual Private Cloud (VPC) entscheiden, sind nur die folgenden Schritte erforderlich. Wenn Sie sich für öffentlichen Internetzugang entscheiden, sind die ersten beiden der folgenden Schritte erforderlich.

1. Wählen Sie unter VPC die Amazon VPC-ID aus.

2. Wählen Sie unter Subnetz ein oder mehrere Subnetze aus. Wenn Sie keine Subnetze auswählen, werden alle Subnetze in der Amazon VPC SageMaker verwendet. Wir empfehlen, dass Sie mehrere Subnetze verwenden, die nicht in eingeschränkten Availability Zones erstellt wurden. Die Verwendung von Subnetzen in diesen eingeschränkten Availability Zones kann zu Fehlern bei unzureichender Kapazität und längeren Anwendungserstellungszeiten führen. Weitere Informationen über eingeschränkte Availability Zones finden Sie unter Availability Zones.

3. Wählen Sie unter Sicherheitsgruppe (n) ein oder mehrere Subnetze aus.

Wenn nur VPC ausgewählt ist, SageMaker werden die für die Domäne definierten Sicherheitsgruppeneinstellungen automatisch auf alle gemeinsam genutzten Bereiche angewendet, die in der Domäne erstellt wurden. Wenn Nur öffentliches Internet ausgewählt ist, werden die Sicherheitsgruppeneinstellungen SageMaker nicht auf gemeinsam genutzte Bereiche angewendet, die in der Domäne erstellt wurden.

Schritt 5: Speicher

Sie haben die Möglichkeit, Ihre Daten zu verschlüsseln. Die Dateisysteme Amazon Elastic File System (Amazon EFS) und Amazon Elastic Block Store (Amazon EBS), die für Sie erstellt werden, wenn Sie eine Domain erstellen. Amazon EBS-Größen werden sowohl vom Code-Editor als auch von JupyterLab Leerzeichen verwendet.

Sie können den Verschlüsselungsschlüssel nicht mehr ändern, nachdem Sie Ihre Amazon EFS- und Amazon EBS-Dateisysteme verschlüsselt haben. Um Ihre Amazon EFS- und Amazon EBS-Dateisysteme zu verschlüsseln, können Sie die folgenden Konfigurationen verwenden.

• Lassen Sie unter Verschlüsselungsschlüssel — optional die Option Keine benutzerdefinierte Verschlüsselung stehen oder wählen Sie einen vorhandenen KMS-Schlüssel aus oder wählen Sie Enter a KMS key ARN und geben Sie den ARN Ihres KMS-Schlüssels ein.

• Geben Sie unter Standardspeichergröße — optional die Standardspeichergröße ein.

• Geben Sie unter Maximale Speichergröße — optional die maximale Speichergröße ein.

Schritt 6: Überprüfen und erstellen

Überprüfe deine Domain-Einstellungen. Wenn Sie die Einstellungen ändern müssen, wählen Sie neben dem entsprechenden Schritt Bearbeiten aus. Sobald Sie bestätigt haben, dass Ihre Domain-Einstellungen korrekt sind, wählen Sie Senden und die Domain wird für Sie erstellt. Dieser Vorgang kann einige Minuten dauern.

Benutzerdefiniertes Setup mit dem AWS CLI

Die folgenden Abschnitte enthalten AWS CLI Anweisungen für die benutzerdefinierte Einrichtung Ihrer Domain mithilfe der IAM Identity Center- oder IAM-Authentifizierungsmethoden.

Gehen Sie wie folgt vor, nachdem Sie die Voraussetzungen erfüllt haben, einschließlich der Einrichtung Ihrer AWS CLI Anmeldeinformationen. SageMaker Voraussetzungen für Amazon

1. Erstellen Sie eine Ausführungsrolle, die zum Erstellen einer Domäne verwendet wird, und fügen Sie die AmazonSageMakerFullZugriffsrichtlinie hinzu. Sie können auch eine bestehende Rolle verwenden, der mindestens eine Vertrauensrichtlinie angehängt ist, die die SageMaker Erlaubnis erteilt, die Rolle zu übernehmen. Weitere Informationen finden Sie unter Wie verwendet man SageMaker Ausführungsrollen.

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. Holen Sie sich die Amazon Virtual Private Cloud (Amazon VPC) Ihres Kontos.

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. Rufen Sie die Liste der Subnetze in der Standard-Amazon-VPC.

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. Erstellen Sie eine Domain, indem Sie die standardmäßige Amazon VPC-ID, die Subnetze und den ARN für die Ausführungsrolle übergeben. Sie müssen auch einen SageMaker Bild-ARN übergeben. Informationen zu den verfügbaren JupyterLab Versionen von ARNs finden Sie unterEine JupyterLab Standardversion festlegen.

   Verwenden Sie SSO für authentication-mode die IAM Identity Center-Authentifizierung oder IAM für die IAM-Authentifizierung.

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

5. Stellen Sie sicher, dass die Domain erstellt wurde.

   aws --region region sagemaker list-domains

Benutzerdefiniertes Setup mit AWS CloudFormation

Informationen zum Erstellen einer Domäne mit AWS CloudFormation finden Sie AWS::SageMaker::Domainim AWS CloudFormation Benutzerhandbuch.

Nachdem die Domäne eingerichtet wurde, kann der Administratorbenutzer die Domäne anzeigen und bearbeiten. Weitere Informationen finden Sie unter Domains anzeigen und bearbeiten.

Greifen Sie nach dem Onboarding auf die Domain zu

Die Benutzer können wie folgt SageMaker zugreifen:

• Die Anmelde-URL, wenn die Domain mit der IAM Identity Center-Authentifizierung eingerichtet wurde. Weitere Informationen finden Sie unter So melden Sie sich beim Benutzerportal an.

• Die SageMaker Konsole.