Benutzerdefiniertes Onboarding in Amazon SageMaker Domain mit IAM Identity Center - Amazon SageMaker
Onboard von der Konsole ausOnboard aus AWS CLIZugriff auf die Domain nach dem Onboarding

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefiniertes Onboarding in Amazon SageMaker Domain mit IAM Identity Center

In diesem Thema wird beschrieben, wie Sie Amazon SageMaker Domain mithilfe der Authentifizierung mit AWS IAM Identity Center von der SageMaker Konsole oder der aus einbindenAWS CLI. Weitere Informationen zum Einrichten des vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unter Einrichten von IAM Identity Center für die Verwendung mit Amazon SageMaker Domain. Informationen zum Onboarding mit AWS Identity and Access Management (IAM)-Authentifizierung finden Sie unter Schnelles Onboarding oder Benutzerdefiniertes Onboarding mit IAM.

Themen

Onboard von der Konsole aus

So melden Sie sich mithilfe des IAM-Identity-Center bei Domain an

  1. Öffnen Sie die SageMaker -Konsole.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen.

  3. Wählen Sie unter Admin-Konfigurationen Domänen aus.

  4. Wählen Sie auf der Seite Domänen Domäne entfernen aus.

  5. Wählen Sie auf der Seite SageMaker Domain einrichten die Option Für Organisationen einrichten aus.

  6. Wählen Sie Konfigurieren.

Schritt 1: Domänendetails

  1. Geben Sie bei Domänenname den Namen Ihrer benutzerdefinierten Domäne ein. Dies kann beispielsweise Ihr Projekt- oder Teamname sein.

  2. Wählen Sie Weiter aus.

Schritt 2: Benutzer und ML-Aktivitäten

Wählen Sie die Gruppe aus oder erstellen Sie die Benutzer für die Domain und erteilen Sie ihnen Berechtigungen für die ML-Aktivitäten, auf die sie Zugriff haben sollen.

In diesen Einrichtungsanweisungen verwenden wir die Option IAM Identity Center. Um die IAM-Authentifizierung zu verwenden, müssen Sie einer AWS Organizations-Organisation angehören. Informationen zum Einrichten eines IAM Identity Center finden Sie unter Einrichten von IAM Identity Center für die Verwendung mit Amazon SageMaker Domain.

Die IAM-Rolle, die Sie in diesem Schritt konfigurieren, wird der ausgewählten IAM-Identity-Center-Gruppe und allen Benutzern zugewiesen, die Teil dieser Gruppe sind.

  1. Wählen Sie unter Wie möchten Sie auf Studio zugreifen? die Option AWS Identity Center aus.

  2. Wählen Sie unter Wer wird Studio verwenden? die IAM-Identity-Center-Benutzer oder -Gruppen und dann Auswählen aus. Sie müssen Amazon SageMaker Studio innerhalb derselben Region einrichten, in der Ihr IAM Identity Center konfiguriert ist. Sie können die Region Ihrer Domäne ändern, indem Sie die Region aus der Dropdown-Liste oben rechts in der Konsole auswählen, oder Sie können Ihre IAM-Identity-Center-Region ändern, indem Sie zum AWS -Zugriffsportal navigieren.

  3. Unter Welche ML-Aktivitäten werden ausgeführt? können Sie eine vorhandene Rolle verwenden, indem Sie Vorhandene Rolle verwenden auswählen, oder Sie können eine neue Rolle erstellen, indem Sie Neue Rolle erstellen auswählen und die ML-Aktivitäten überprüfen, auf die die Rolle Zugriff haben soll. Sie können maximal 10 ML-Aktivitäten auswählen.

  4. Bei der Auswahl von ML-Aktivitäten müssen Sie möglicherweise die Anforderungen erfüllen. Um eine Anforderung zu erfüllen, wählen Sie Hinzufügen und schließen Sie die Anforderung ab.

  5. Nachdem alle Anforderungen erfüllt sind, wählen Sie Weiter aus.

Schritt 3: Anwendungen

In diesem Schritt können Sie die Anwendungen konfigurieren, die Sie im vorherigen Schritt aktiviert haben. Weitere Informationen zu den ML-Aktivitäten finden Sie unter Referenz zur ML-Aktivität.

Wenn die Anwendung nicht aktiviert wurde, erhalten Sie eine Warnung für diese Anwendung. Um eine Anwendung zu aktivieren, die nicht aktiviert wurde, kehren Sie zum vorherigen Schritt zurück, indem Sie Zurück wählen und den vorherigen Anweisungen folgen.

SageMaker Studio-Konfiguration:

Unter SageMaker Studio haben Sie die Möglichkeit, zwischen der neuen und der klassischen Version von Studio als Standardumgebung zu wählen. Das bedeutet, dass Sie wählen, mit welcher ML-Umgebung Sie nach dem Öffnen von Studio interagieren möchten.

  • SageMaker Studio – New umfasst mehrere integrierte Entwicklungsumgebungen (IDEs) und Anwendungen, einschließlich Amazon SageMaker Studio Classic. Wenn diese Option ausgewählt ist, verfügt die Studio Classic IDE über Standardeinstellungen. Informationen zu den Standardeinstellungen finden Sie unter Standardeinstellungen.

  • SageMaker Studio Classic enthält die Jupyter-IDE. Falls ausgewählt, können Sie Ihre Studio Classic-Konfiguration konfigurieren.

    Weitere Informationen zu Studio Classic finden Sie unter Amazon SageMaker Studio Classic.

SageMaker Canvas-Konfiguration:

Wenn Sie Amazon SageMaker Canvas aktiviert haben, Erste Schritte mit Amazon SageMaker Canvas finden Sie unter die Anweisungen und Konfigurationsdetails für das Onboarding.

SageMaker Studio Classic-Konfiguration:

Wenn Sie SageMaker Studio – Neu (empfohlen) als Standarderfahrung ausgewählt haben, verfügt die Studio Classic IDE über Standardeinstellungen. Informationen zu den Standardeinstellungen finden Sie unter Standardeinstellungen.

Wenn Sie Studio Classic als Standarderfahrung ausgewählt haben, können Sie die gemeinsame Nutzung von Notebook-Ressourcen aktivieren oder deaktivieren. Notebook-Ressourcen umfassen Artefakte wie Zellenausgabe und Git-Repositorys. Weitere Informationen zu Notebook-Ressourcen finden Sie unter Freigeben und Verwenden eines Amazon SageMaker Studio Classic Notebooks.

Wenn Sie die gemeinsame Nutzung von Notebook-Ressourcen aktiviert haben:

  1. Geben Sie unter S3-Speicherort für gemeinsam nutzbare Notebook-Ressourcen Ihren Amazon S3-Speicherort ein.

  2. Behalten Sie unter Verschlüsselungsschlüssel – optional als Keine benutzerdefinierte Verschlüsselung bei oder wählen Sie einen vorhandenen AWS KMS Schlüssel aus oder wählen Sie KMS-Schlüssel-ARN eingeben und geben Sie den ARN Ihres AWS KMS Schlüssels ein.

  3. Wählen Sie unter Präferenz für die gemeinsame Nutzung von Notebook-Zellen die Option Benutzern erlauben, die Zellenausgabe gemeinsam zu nutzen oder Zellausgabe deaktivieren aus.

RStudio-Konfiguration:

Um RStudio zu aktivieren, benötigen Sie eine RStudio-Lizenz. Informationen zum Einrichten finden Sie unter RStudio-Lizenz.

  1. Stellen Sie unter RStudio Workbench sicher, dass Ihre RStudio-Lizenz automatisch erkannt wird. Weitere Informationen zum Abrufen einer RStudio-Lizenz und zum Aktivieren mit SageMakerfinden Sie unter RStudio-Lizenz.

  2. Wählen Sie einen Instanztyp aus, auf dem Ihr RStudio-Server gestartet werden soll. Weitere Informationen finden Sie unter R-StudioServerPro Instance-Typ.

  3. Erstellen Sie unter Berechtigung Ihre Rolle oder wählen Sie eine vorhandene Rolle aus. Der Benutzer muss über die folgenden Richtlinienberechtigungen verfügen: Diese Richtlinie ermöglicht der R-StudioServerPro Anwendung den Zugriff auf die erforderlichen Ressourcen. Außerdem kann Amazon automatisch eine R SageMaker -StudioServerPro Anwendung starten, wenn sich die vorhandene RStudioServerPro-Anwendung im Failed Status Deleted oder befindet. Weitere Informationen zum Bearbeiten von Rollenberechtigungen finden Sie unter Ändern einer Rollenberechtigungsrichtlinie (Konsole).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

  4. Fügen Sie unter RStudio Connect die URL für Ihren RStudio Connect-Server hinzu. RStudio Connect ist eine Veröffentlichungsplattform für Shiny-Anwendungen, R-Markdown-Berichte, Dashboards, Diagramme und mehr. Wenn Sie RStudio in einbinden SageMaker, wird kein RStudio-Connect-Server erstellt. Weitere Informationen finden Sie unter URL für RStudio Connect.

  5. Fügen Sie unter RStudio Package Manager die URL für Ihren RStudio Package Manager hinzu. SageMaker erstellt ein Standardpaket-Repository für den Package Manager, wenn Sie RStudio einbinden. Weitere Informationen zu RStudio Package Manager finden Sie unter RStudio Package Manager.

  6. Klicken Sie auf Weiter.

Code-Editor-Konfiguration:

Wenn Sie den Code-Editor aktiviert haben, finden Sie unter Code-Editor eine Übersicht und die Konfigurationsdetails.

Schritt 4: Netzwerk

Wählen Sie aus, wie Studio eine Verbindung zu anderen -AWSServices herstellen soll.

Sie können den Internetzugang für Ihr Studio deaktivieren, indem Sie den Netzwerkzugriffstyp Nur Virtual Private Cloud (VPC) angeben. Wenn Sie diese Option wählen, können Sie ein Studio-Notebook nur ausführen, wenn Ihre VPC über einen Schnittstellenendpunkt zur SageMaker API und Laufzeit oder ein NAT-Gateway (Network Address Translation) mit Internetzugang verfügt und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. Weitere Informationen zu Amazon VPCs finden Sie unter Wählen Sie eine Amazon VPC.

Wenn Sie Virtual Private Cloud (VPC) auswählen, sind nur die folgenden Schritte erforderlich. Wenn Sie den öffentlichen Internetzugang wählen, sind die ersten beiden der folgenden Schritte erforderlich.

  1. Wählen Sie unter VPC die Amazon-VPC-ID aus.

  2. Wählen Sie unter Subnetz ein oder mehrere Subnetze aus. Wenn Sie keine Subnetze auswählen, SageMaker verwendet alle Subnetze in der Amazon VPC. Wir empfehlen, dass Sie mehrere Subnetze verwenden, die nicht in eingeschränkten Availability Zones erstellt wurden. Die Verwendung von Subnetzen in diesen eingeschränkten Availability Zones kann zu Fehlern bei unzureichender Kapazität und längeren Anwendungserstellungszeiten führen. Weitere Informationen über eingeschränkte Availability Zones finden Sie unter Availability Zones.

  3. Wählen Sie unter Sicherheitsgruppe(n) ein oder mehrere Subnetze aus.

Wenn Nur VPC ausgewählt ist, wendet die für die Domain definierten Sicherheitsgruppeneinstellungen SageMaker automatisch auf alle gemeinsam genutzten Bereiche an, die in der Domain erstellt wurden. Wenn Nur öffentliches Internet ausgewählt ist, wendet die Sicherheitsgruppeneinstellungen nicht auf gemeinsam genutzte Bereiche an, die in der Domain erstellt wurden. SageMaker

Schritt 5: Speicher

Sie haben die Möglichkeit, Ihre Daten zu verschlüsseln. Die Dateisysteme Amazon Elastic File System (Amazon EFS) und Amazon Elastic Block Store (Amazon EBS) ,die beim Erstellen einer Domain für Sie erstellt werden. Amazon-EBS-Größen werden sowohl vom Code Editor als auch von JupyterLab Leerzeichen verwendet.

Sie können den Verschlüsselungsschlüssel nach der Verschlüsselung Ihrer Amazon-EFS- und Amazon-EBS-Dateisysteme nicht mehr ändern. Um Ihre Amazon-EFS- und Amazon-EBS-Dateisysteme zu verschlüsseln, können Sie die folgenden Konfigurationen verwenden.

  • Behalten Sie unter Verschlüsselungsschlüssel – optional als Keine benutzerdefinierte Verschlüsselung bei oder wählen Sie einen vorhandenen KMS-Schlüssel aus oder wählen Sie KMS-Schlüssel-ARN eingeben und geben Sie den ARN Ihres KMS-Schlüssels ein.

  • Geben Sie unter Standardraumgröße – optional die Standardraumgröße ein.

  • Geben Sie unter Maximale Platzgröße – optional die maximale Platzgröße ein.

Schritt 6: Überprüfen und Erstellen

Überprüfen Sie Ihre Domäneneinstellungen. Wenn Sie die Einstellungen ändern müssen, wählen Sie Bearbeiten neben dem entsprechenden Schritt aus. Sobald Sie bestätigt haben, dass Ihre Domain-Einstellungen korrekt sind, wählen Sie Senden und die Domain wird für Sie erstellt. Dieser Vorgang kann einige Minuten dauern.

Onboard aus AWS CLI

Verwenden Sie die folgenden Befehle, um eine Domäne mithilfe der Authentifizierung mithilfe des IAM Identity Center von zu integrieren AWS CLI.

  1. Erstellen Sie eine Ausführungsrolle, die zum Erstellen einer Domäne verwendet wird, und fügen Sie die AmazonSageMakerFullAccess Richtlinie an. Sie können auch eine vorhandene Rolle verwenden, die mindestens über eine angehängte Vertrauensrichtlinie verfügt, die die SageMaker Berechtigung zur Übernahme der Rolle gewährt. Weitere Informationen finden Sie unter SageMaker Rollen.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Holen Sie sich die Amazon Virtual Private Cloud (Amazon VPC) Ihres Kontos.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Rufen Sie die Liste der Subnetze in der Standard-Amazon-VPC.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Erstellen Sie eine Domäne, indem Sie die standardmäßige Amazon-VPC-ID, die Subnetze und den ARN für die Ausführungsrolle übergeben. Sie müssen auch einen SageMaker Image-ARN übergeben. Informationen zu den verfügbaren JupyterLab Versions-ARNs finden Sie unter Festlegen einer JupyterLab Standardversion.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode SSO --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

  5. Stellen Sie sicher, dass die Domäne erstellt wurde.

    aws --region region sagemaker  list-domains

Zugriff auf die Domain nach dem Onboarding

Nachdem Sie Zugriff auf die Domäne erhalten haben, erhalten Sie eine E-Mail, in der Sie aufgefordert werden, ein Passwort zu erstellen und das IAM Identity Center zu verwenden. Die E-Mail enthält auch die URL für die Anmeldung bei Studio. Weitere Informationen zur Anmeldung und Sitzungsdauer findenSie unter Anmelden beim Benutzerportal.

Nach der Aktivierung Ihres Kontos rufen Sie die Studio-URL auf, melden sich an und warten, bis Ihr Benutzerprofil erstellt wurde. Bei nachfolgenden Besuchen müssen Sie nur warten, bis die Studio-App geladen wird.

Versehen Sie die URL mit einem Lesezeichen. Die URL ist auch auf der Seite mit den Domäneneinstellungen verfügbar.