Mehrere Domains und gemeinsam genutzte Bereiche - SageMaker Bewährte Methoden für die Studio-Administration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mehrere Domains und gemeinsam genutzte Bereiche

Amazon unterstützt SageMaker jetzt die Erstellung mehrerer SageMaker Domains in einer einzigen AWS-Region für jedes Konto. Jede Domäne kann ihre eigenen Domäneneinstellungen wie den Authentifizierungsmodus und Netzwerkeinstellungen wie VPC und Subnetze haben. Ein Benutzerprofil kann nicht domänenübergreifend gemeinsam genutzt werden. Wenn ein menschlicher Benutzer Teil mehrerer Teams ist, die durch Domänen getrennt sind, erstellen Sie in jeder Domäne ein Benutzerprofil für den Benutzer. Weitere Informationen zum Hinterfüllen von Tags für bestehende Domänen finden Sie in der Übersicht über mehrere Domänen.

Jede Domain, die im IAM-Authentifizierungsmodus eingerichtet ist, kann gemeinsam genutzten Speicherplatz für die Zusammenarbeit zwischen Benutzern nahezu in Echtzeit nutzen. Mit einem gemeinsamen Bereich erhalten Benutzer Zugriff auf ein gemeinsam verwendetes Amazon EFS-Verzeichnis und eine gemeinsam genutzte JupyterServerApp für die Benutzeroberfläche und können diese nahezu in Echtzeit gemeinsam bearbeiten. Die automatische Kennzeichnung von Ressourcen, die in gemeinsam genutzten Bereichen erstellt wurden, ermöglicht es den Administratoren, die Kosten auf Projektebene zu verfolgen. Die gemeinsam genutzte JupyterServer Benutzeroberfläche filtert auch Ressourcen wie Experimente und Modellregistrierungseinträge, sodass nur Elemente angezeigt werden, die für das gemeinsame ML-Projekt relevant sind. Das folgende Diagramm bietet einen Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb der einzelnen Domänen.

Ein Diagramm, das einen Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb einer einzelnen Domain darstellt.

Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb einer einzigen Domain

Richten Sie gemeinsame Bereiche in Ihrer Domain ein

Gemeinsam genutzte Bereiche werden in der Regel für ein bestimmtes ML-Unterfangen oder -Projekt erstellt, bei dem Mitglieder einer einzelnen Domain nahezu in Echtzeit Zugriff auf denselben zugrunde liegenden Dateispeicher und dieselbe IDE benötigen. Der Benutzer kann nahezu in Echtzeit auf seine Notizbücher zugreifen, sie lesen, bearbeiten und teilen, was ihm den schnellsten Weg gibt, mit seinen Kollegen zu iterieren.

Um einen gemeinsam genutzten Bereich zu erstellen, müssen Sie zunächst eine standardmäßige Ausführungsrolle für den Bereich festlegen, die die Berechtigungen aller Benutzer bestimmt, die den Bereich nutzen. Zum Zeitpunkt der Erstellung dieses Artikels haben alle Benutzer innerhalb einer Domäne Zugriff auf alle gemeinsam genutzten Bereiche in ihrer Domäne. Die aktuelle Dokumentation zum Hinzufügen von Shared Spaces zu einer bestehenden Domain finden Sie unter Shared Space erstellen.

Richten Sie Ihre Domain für den IAM-Verbund ein

Bevor Sie einen AWS Identity and Access Management (IAM-) Verbund für Ihre SageMaker Studio-Domain einrichten, müssen Sie eine IAM-Verbundbenutzerrolle (z. B. einen Plattformadministrator) in Ihrem IdP einrichten, wie im Abschnitt Identitätsmanagement beschrieben.

Detaillierte Anweisungen zur Einrichtung von SageMaker Studio mit der IAM-Option finden Sie unter Onboard to Amazon SageMaker Domain Using IAM Identity Center.

Richten Sie Ihre Domain für den Single Sign-On-Verbund (SSO) ein

Um den SSO-Verbund (Single Sign-On) zu verwenden, müssen Sie ihn AWS IAM Identity Center in Ihrem AWS OrganizationsVerwaltungskonto in derselben Region aktivieren, in der Sie Studio ausführen SageMaker müssen. Die Schritte zur Einrichtung der Domäne ähneln den Schritten für den IAM-Verbund, mit der Ausnahme, dass Sie im Abschnitt Authentifizierung die Option AWS IAM Identity Center(iDC) auswählen.

Eine ausführliche Anleitung finden Sie unter Onboarding to Amazon SageMaker Domain Using IAM Identity Center.

SageMaker Studio-Benutzerprofil

Ein Benutzerprofil stellt einen einzelnen Benutzer innerhalb einer Domain dar und ist die wichtigste Methode, um auf eine „Person“ Bezug zu nehmen, um Inhalte zu teilen, Berichte zu erstellen und andere benutzerorientierte Funktionen zu nutzen. Diese Entität wird erstellt, wenn ein Benutzer Studio einloggt. toSageMaker Wenn ein Administrator eine Person per E-Mail einlädt oder sie aus IdC importiert, wird automatisch ein Benutzerprofil erstellt. Ein Benutzerprofil ist der primäre Inhaber der Einstellungen für einen einzelnen Benutzer und enthält einen Verweis auf das private Amazon Elastic File System (Amazon EFS) -Stammverzeichnis des Benutzers. Wir empfehlen, für jeden physischen Benutzer der SageMaker Studio-Anwendung ein Benutzerprofil zu erstellen. Jeder Benutzer hat sein eigenes Verzeichnis auf Amazon EFS, und Benutzerprofile können nicht domänenübergreifend in demselben Konto gemeinsam genutzt werden.

Jedes Benutzerprofil, das sich die SageMaker Studio-Domain teilt, erhält dedizierte Rechenressource (n) (wie SageMaker Amazon Elastic Compute Cloud (Amazon EC2) -Instance (s)), um Notebooks auszuführen. Die Compute-Instances, die Benutzer eins zugewiesen sind, sind vollständig von denen isoliert, die Benutzer zwei zugewiesen sind. In ähnlicher Weise sind die Rechenressourcen, die Benutzern in einem AWS Konto zugewiesen sind, vollständig von denen getrennt, die Benutzern in einem anderen Konto zugewiesen sind. Jeder Benutzer kann bis zu vier Anwendungen (Apps) in isolierten Docker-Containern oder Images auf demselben Instanztyp ausführen.

Jupyter Server-App

Wenn Sie ein Amazon SageMaker Studio-Notebook für einen Benutzer starten, indem Sie auf die vorsignierte URL zugreifen oder sich mit AWS IAM IDC anmelden, wird die Jupyter Server-App in der vom Service verwalteten VPC-Instance gestartet. SageMaker Jeder Benutzer erhält seine eigene dedizierte Jupyter Server-App in einer privaten App. Standardmäßig wird die Jupyter Server-App für SageMaker Studio-Notebooks auf einer dedizierten ml.t3.medium Instanz ausgeführt (die als Systeminstanztyp reserviert ist). Die Rechenleistung für diese Instanz wird dem Kunden nicht in Rechnung gestellt.

Die Jupyter Kernel Gateway-App

Die Kernel Gateway-App kann über die API oder die SageMaker Studio-Schnittstelle erstellt werden und läuft auf dem ausgewählten Instanztyp. Diese App kann mit einem der integrierten SageMaker Studio-Images ausgeführt werden, die mit gängigen Data Science- und Deep-Learning-Paketen wie TensorFlowApache MXNet und vorkonfiguriert sind. PyTorch

Benutzer können mehrere Jupyter-Notebook-Kernel, Terminalsitzungen und interaktive Konsolen innerhalb derselben Studio Image/Kernel Gateway-App starten und ausführen. SageMaker Benutzer können auch bis zu vier Kernel-Gateway-Apps oder -Images auf derselben physischen Instanz ausführen — jede davon isoliert durch ihren Container/Image.

Um zusätzliche Apps zu erstellen, müssen Sie einen anderen Instanztyp verwenden. In einem Benutzerprofil kann nur eine Instanz eines beliebigen Instanztyps ausgeführt werden. Beispielsweise kann ein Benutzer auf derselben Instanz sowohl ein einfaches Notebook mit dem integrierten Data-Science-Image von SageMaker Studio als auch ein anderes Notebook mit dem integrierten TensorFlow Image ausführen. Benutzern wird die Zeit in Rechnung gestellt, in der die Instanz ausgeführt wird. Um Kosten zu vermeiden, wenn der Benutzer SageMaker Studio nicht aktiv ausführt, muss der Benutzer die Instanz herunterfahren. Weitere Informationen finden Sie unter Studio-Apps herunterfahren und aktualisieren.

Jedes Mal, wenn Sie eine Kernel Gateway-App über die SageMaker Studio-Oberfläche herunterfahren und erneut öffnen, wird diese App auf einer neuen Instanz gestartet. Das bedeutet, dass die Installation des Pakets nicht durch Neustarts derselben App beibehalten wird. Ebenso gehen die installierten Pakete und Sitzungsvariablen verloren, wenn ein Benutzer den Instanztyp auf einem Notebook ändert. Sie können jedoch Funktionen wie Bring Your Own Image und Lifecycle-Skripts verwenden, um die eigenen Pakete des Benutzers in SageMaker Studio zu übertragen und sie über Instanzwechsel und das Starten neuer Instanzen beizubehalten.

Amazon Elastic File System-Volume

Wenn eine Domain erstellt wird, wird ein einzelnes Amazon Elastic File System (Amazon EFS) -Volume erstellt, das von allen Benutzern innerhalb der Domain verwendet werden kann. Jedes Benutzerprofil erhält ein privates Home-Verzeichnis innerhalb des Amazon EFS-Volumes zum Speichern der Notizbücher, GitHub Repositorys und Datendateien des Benutzers. Jeder Bereich innerhalb einer Domain erhält ein privates Verzeichnis innerhalb des Amazon EFS-Volumes, auf das mehrere Benutzerprofile zugreifen können. Der Zugriff auf die Ordner ist durch Dateisystemberechtigungen nach Benutzern getrennt. SageMaker Studio erstellt eine globale eindeutige Benutzer-ID für jedes Benutzerprofil oder jeden Bereich und wendet sie als POSIX-Benutzer-/Gruppen-ID (Portable Operating System Interface) für das Home-Verzeichnis des Benutzers auf EFS an, wodurch verhindert wird, dass andere Benutzer/Bereiche auf seine Daten zugreifen.

Sicherung und Wiederherstellung

Ein vorhandenes EFS-Volume kann nicht an eine neue SageMaker Domäne angehängt werden. Stellen Sie in einer Produktionsumgebung sicher, dass das Amazon EFS-Volume gesichert ist (auf einem anderen EFS-Volume oder auf Amazon Simple Storage Service (Amazon S3)). Wenn ein EFS-Volume versehentlich gelöscht wird, muss der Administrator die SageMaker Studio-Domäne entfernen und neu erstellen. Der Prozess läuft folgendermaßen ab:

Sichern Sie die Liste der Benutzerprofile, Bereiche und der zugehörigen EFS-Benutzer-IDs (UIDs) über die DescribeSpace API-Aufrufe ListUserProfilesDescribeUserProfile,List Spaces,, und.

  1. Erstellen Sie eine neue SageMaker Studio-Domäne.

  2. Erstellen Sie die Benutzerprofile und Bereiche.

  3. Kopieren Sie für jedes Benutzerprofil die Dateien aus dem Backup auf EFS/Amazon S3.

  4. Löschen Sie optional alle Apps und Benutzerprofile in der alten SageMaker Studio-Domain.

Detaillierte Anweisungen finden Sie im Anhang, Abschnitt Sicherung und Wiederherstellung von SageMaker Studio-Domänen.

Anmerkung

Dies kann auch dadurch erreicht werdenLifecycleConfigurations, dass jedes Mal, wenn ein Benutzer seine App startet, Daten auf und von S3 gesichert werden.

Amazon EBS-Volume

Jeder SageMaker Studio Notebook-Instance ist außerdem ein Amazon Elastic Block Store (Amazon EBS) -Speichervolume zugeordnet. Es wird als Root-Volume des Containers oder Images verwendet, das auf der Instance ausgeführt wird. Während der Amazon EFS-Speicher persistent ist, ist das an den Container angehängte Amazon EBS-Volume temporär. Die lokal auf dem Amazon EBS-Volume gespeicherten Daten werden nicht dauerhaft gespeichert, wenn der Kunde die App löscht.

Sicherung des Zugriffs auf die vorsignierte URL

Wenn ein SageMaker Studio-Benutzer den Notizbuch-Link öffnet, validiert SageMaker Studio die IAM-Richtlinie des Verbundbenutzers, um den Zugriff zu autorisieren, und generiert und löst die vorsignierte URL für den Benutzer auf. Da die SageMaker Konsole auf einer Internetdomäne ausgeführt wird, ist diese generierte, vorsignierte URL in der Browsersitzung sichtbar. Dies stellt einen unerwünschten Bedrohungsvektor für Datendiebstahl und den Zugriff auf Kundendaten dar, wenn keine angemessenen Zugriffskontrollen durchgesetzt werden.

Studio unterstützt einige Methoden zur Durchsetzung von Zugriffskontrollen gegen Datendiebstahl mit vorsignierten URLs:

  • Client-IP-Validierung mithilfe der IAM-Richtlinienbedingung aws:sourceIp

  • Client-VPC-Validierung mithilfe der IAM-Bedingung aws:sourceVpc

  • Validierung von Client-VPC-Endpunkten mithilfe der IAM-Richtlinienbedingung aws:sourceVpce

Wenn Sie von der SageMaker Konsole aus auf SageMaker Studio-Notebooks zugreifen, besteht die einzige verfügbare Option darin, die Client-IP-Validierung mit der IAM-Richtlinienbedingung zu verwenden. aws:sourceIp Sie können jedoch Produkte für das Routing von Browser-Traffic wie Zscaler verwenden, um sicherzustellen, dass der Internetzugang Ihrer Belegschaft skalierbar und gesetzeskonform ist. Diese Traffic-Routing-Produkte generieren ihre eigene Quell-IP, deren IP-Bereich nicht vom Unternehmenskunden kontrolliert wird. Dies macht es diesen Unternehmenskunden unmöglich, die aws:sourceIp Bedingung zu nutzen.

Um die Client-VPC-Endpunktvalidierung mithilfe der IAM-Richtlinienbedingung zu verwendenaws:sourceVpce, muss die Erstellung einer vorsignierten URL von derselben Kunden-VPC ausgehen, in der SageMaker Studio bereitgestellt wird, und die Auflösung der vorsignierten URL muss über einen SageMaker Studio-VPC-Endpunkt auf der Kunden-VPC erfolgen. Diese Auflösung der vorsignierten URL während der Zugriffszeit für Benutzer des Unternehmensnetzwerks kann mithilfe von DNS-Weiterleitungsregeln (sowohl in Zscaler als auch im Unternehmens-DNS) und dann mithilfe eines Amazon Route 53-Inbound-Resolvers in den VPC-Endpunkt des Kunden erfolgen, wie in der folgenden Architektur dargestellt:

Ein Diagramm, das den Zugriff auf die vorsignierte Studio-URL mit VPC-Endpunkt über das Unternehmensnetzwerk zeigt.

Zugreifen auf die vorsignierte Studio-URL mit VPC-Endpunkt über das Unternehmensnetzwerk

step-by-step Anleitungen zur Einrichtung der vorherigen Architektur finden Sie unter Sichere vorsignierte URLs von Amazon SageMaker Studio, Teil 1: Grundlegende Infrastruktur.

SageMaker Domain-Kontingente und Limits

  • SageMaker Der SSO-Verbund für Studio-Domänen wird nur in der Region unterstützt, und zwar für alle Mitgliedskonten der AWS Organisation, in der AWS Identity Center bereitgestellt wird.

  • Gemeinsam genutzte Bereiche werden derzeit nicht für Domains unterstützt, die mit AWS Identity Center eingerichtet wurden.

  • VPC- und Subnetzkonfiguration können nach dem Erstellen der Domain nicht geändert werden. Sie können jedoch eine neue Domain mit einer anderen VPC- und Subnetzkonfiguration erstellen.

  • Der Domänenzugriff kann nach dem Erstellen der Domain nicht zwischen den Modi IAM und SSO umgeschaltet werden. Sie können eine neue Domain mit einem anderen Authentifizierungsmodus erstellen.

  • Es gibt ein Limit von vier Kernel-Gateway-Apps pro Instance-Typ, die für jeden Benutzer gestartet werden.

  • Jeder Benutzer kann nur eine Instanz jedes Instanztyps starten.

  • Es gibt Beschränkungen für den Ressourcenverbrauch innerhalb einer Domain, z. B. die Anzahl der nach Instance-Typen gestarteten Instanzen und die Anzahl der Benutzerprofile, die erstellt werden können. Eine vollständige Liste der Servicebeschränkungen finden Sie auf der Seite mit den Servicekontingenten.

  • Kunden können eine Support-Anfrage mit geschäftlicher Begründung einreichen, um die standardmäßigen Ressourcenlimits, wie z. B. die Anzahl der Domänen oder Benutzerprofile, zu erhöhen, für die Einschränkungen auf Kontoebene gelten.

  • Das feste Limit für die Anzahl gleichzeitiger Apps pro Konto liegt bei 2.500 Apps. Die Beschränkungen für Domänen und Benutzerprofile hängen von diesem festen Limit ab. Ein Konto kann beispielsweise eine einzelne Domäne mit 1.000 Benutzerprofilen oder 20 Domänen mit jeweils 50 Benutzerprofilen haben.