Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mehrere Domains und gemeinsam genutzte Bereiche
Amazon
Jede Domain, die im IAM-Authentifizierungsmodus eingerichtet ist, kann gemeinsam genutzten Speicherplatz für die Zusammenarbeit zwischen Benutzern nahezu in Echtzeit nutzen. Mit einem gemeinsamen Bereich erhalten Benutzer Zugriff auf ein gemeinsam verwendetes Amazon EFS-Verzeichnis und eine gemeinsam genutzte JupyterServer
Richten Sie gemeinsame Bereiche in Ihrer Domain ein
Gemeinsam genutzte Bereiche werden in der Regel für ein bestimmtes ML-Unterfangen oder -Projekt erstellt, bei dem Mitglieder einer einzelnen Domain nahezu in Echtzeit Zugriff auf denselben zugrunde liegenden Dateispeicher und dieselbe IDE benötigen. Der Benutzer kann nahezu in Echtzeit auf seine Notizbücher zugreifen, sie lesen, bearbeiten und teilen, was ihm den schnellsten Weg gibt, mit seinen Kollegen zu iterieren.
Um einen gemeinsam genutzten Bereich zu erstellen, müssen Sie zunächst eine standardmäßige Ausführungsrolle für den Bereich festlegen, die die Berechtigungen aller Benutzer bestimmt, die den Bereich nutzen. Zum Zeitpunkt der Erstellung dieses Artikels haben alle Benutzer innerhalb einer Domäne Zugriff auf alle gemeinsam genutzten Bereiche in ihrer Domäne. Die aktuelle Dokumentation zum Hinzufügen von Shared Spaces zu einer bestehenden Domain finden Sie unter Shared Space erstellen.
Richten Sie Ihre Domain für den IAM-Verbund ein
Bevor Sie einen AWS Identity and Access Management (IAM-) Verbund für Ihre SageMaker Studio-Domain einrichten, müssen Sie eine IAM-Verbundbenutzerrolle (z. B. einen Plattformadministrator) in Ihrem IdP einrichten, wie im Abschnitt Identitätsmanagement beschrieben.
Detaillierte Anweisungen zur Einrichtung von SageMaker Studio mit der IAM-Option finden Sie unter Onboard to Amazon SageMaker Domain Using IAM Identity Center.
Richten Sie Ihre Domain für den Single Sign-On-Verbund (SSO) ein
Um den SSO-Verbund (Single Sign-On) zu verwenden, müssen Sie ihn AWS IAM Identity Center in Ihrem AWS Organizations
Eine ausführliche Anleitung finden Sie unter Onboarding to Amazon SageMaker Domain Using IAM Identity Center.
SageMaker Studio-Benutzerprofil
Ein Benutzerprofil stellt einen einzelnen Benutzer innerhalb einer Domain dar und ist die wichtigste Methode, um auf eine „Person“ Bezug zu nehmen, um Inhalte zu teilen, Berichte zu erstellen und andere benutzerorientierte Funktionen zu nutzen. Diese Entität wird erstellt, wenn ein Benutzer Studio einloggt. toSageMaker Wenn ein Administrator eine Person per E-Mail einlädt oder sie aus IdC importiert, wird automatisch ein Benutzerprofil erstellt. Ein Benutzerprofil ist der primäre Inhaber der Einstellungen für einen einzelnen Benutzer und enthält einen Verweis auf das private Amazon Elastic File System (Amazon
Jedes Benutzerprofil, das sich die SageMaker Studio-Domain teilt, erhält dedizierte Rechenressource (n) (wie SageMaker Amazon Elastic Compute Cloud
Jupyter Server-App
Wenn Sie ein Amazon SageMaker Studio-Notebookml.t3.medium
Instanz ausgeführt (die als Systeminstanztyp reserviert ist). Die Rechenleistung für diese Instanz wird dem Kunden nicht in Rechnung gestellt.
Die Jupyter Kernel Gateway-App
Die Kernel Gateway-App
Benutzer können mehrere Jupyter-Notebook-Kernel, Terminalsitzungen und interaktive Konsolen innerhalb derselben Studio Image/Kernel Gateway-App starten und ausführen. SageMaker Benutzer können auch bis zu vier Kernel-Gateway-Apps oder -Images auf derselben physischen Instanz ausführen — jede davon isoliert durch ihren Container/Image.
Um zusätzliche Apps zu erstellen, müssen Sie einen anderen Instanztyp verwenden. In einem Benutzerprofil kann nur eine Instanz eines beliebigen Instanztyps ausgeführt werden. Beispielsweise kann ein Benutzer auf derselben Instanz sowohl ein einfaches Notebook mit dem integrierten Data-Science-Image von SageMaker Studio als auch ein anderes Notebook mit dem integrierten TensorFlow Image ausführen. Benutzern wird die Zeit in Rechnung gestellt, in der die Instanz ausgeführt wird. Um Kosten zu vermeiden, wenn der Benutzer SageMaker Studio nicht aktiv ausführt, muss der Benutzer die Instanz herunterfahren. Weitere Informationen finden Sie unter Studio-Apps herunterfahren und aktualisieren.
Jedes Mal, wenn Sie eine Kernel Gateway-App über die SageMaker Studio-Oberfläche herunterfahren und erneut öffnen, wird diese App auf einer neuen Instanz gestartet. Das bedeutet, dass die Installation des Pakets nicht durch Neustarts derselben App beibehalten wird. Ebenso gehen die installierten Pakete und Sitzungsvariablen verloren, wenn ein Benutzer den Instanztyp auf einem Notebook ändert. Sie können jedoch Funktionen wie Bring Your Own Image und Lifecycle-Skripts verwenden, um die eigenen Pakete des Benutzers in SageMaker Studio zu übertragen und sie über Instanzwechsel und das Starten neuer Instanzen beizubehalten.
Amazon Elastic File System-Volume
Wenn eine Domain erstellt wird, wird ein einzelnes Amazon Elastic File System
Sicherung und Wiederherstellung
Ein vorhandenes EFS-Volume kann nicht an eine neue SageMaker Domäne angehängt werden. Stellen Sie in einer Produktionsumgebung sicher, dass das Amazon EFS-Volume gesichert ist (auf einem anderen EFS-Volume oder auf Amazon Simple Storage Service
Sichern Sie die Liste der Benutzerprofile, Bereiche und der zugehörigen EFS-Benutzer-IDs (UIDs) über die DescribeSpace
API-Aufrufe ListUserProfiles
DescribeUserProfile
,List
Spaces
,, und.
-
Erstellen Sie eine neue SageMaker Studio-Domäne.
-
Erstellen Sie die Benutzerprofile und Bereiche.
-
Kopieren Sie für jedes Benutzerprofil die Dateien aus dem Backup auf EFS/Amazon S3.
-
Löschen Sie optional alle Apps und Benutzerprofile in der alten SageMaker Studio-Domain.
Detaillierte Anweisungen finden Sie im Anhang, Abschnitt Sicherung und Wiederherstellung von SageMaker Studio-Domänen.
Anmerkung
Dies kann auch dadurch erreicht werdenLifecycleConfigurations
, dass jedes Mal, wenn ein Benutzer seine App startet, Daten auf und von S3 gesichert werden.
Amazon EBS-Volume
Jeder SageMaker Studio Notebook-Instance ist außerdem ein Amazon Elastic Block Store
Sicherung des Zugriffs auf die vorsignierte URL
Wenn ein SageMaker Studio-Benutzer den Notizbuch-Link öffnet, validiert SageMaker Studio die IAM-Richtlinie des Verbundbenutzers, um den Zugriff zu autorisieren, und generiert und löst die vorsignierte URL für den Benutzer auf. Da die SageMaker Konsole auf einer Internetdomäne ausgeführt wird, ist diese generierte, vorsignierte URL in der Browsersitzung sichtbar. Dies stellt einen unerwünschten Bedrohungsvektor für Datendiebstahl und den Zugriff auf Kundendaten dar, wenn keine angemessenen Zugriffskontrollen durchgesetzt werden.
Studio unterstützt einige Methoden zur Durchsetzung von Zugriffskontrollen gegen Datendiebstahl mit vorsignierten URLs:
-
Client-IP-Validierung mithilfe der IAM-Richtlinienbedingung
aws:sourceIp
-
Client-VPC-Validierung mithilfe der IAM-Bedingung
aws:sourceVpc
-
Validierung von Client-VPC-Endpunkten mithilfe der IAM-Richtlinienbedingung
aws:sourceVpce
Wenn Sie von der SageMaker Konsole aus auf SageMaker Studio-Notebooks zugreifen, besteht die einzige verfügbare Option darin, die Client-IP-Validierung mit der IAM-Richtlinienbedingung zu verwenden. aws:sourceIp
Sie können jedoch Produkte für das Routing von Browser-Traffic wie Zscaleraws:sourceIp
Bedingung zu nutzen.
Um die Client-VPC-Endpunktvalidierung mithilfe der IAM-Richtlinienbedingung zu verwendenaws:sourceVpce
, muss die Erstellung einer vorsignierten URL von derselben Kunden-VPC ausgehen, in der SageMaker Studio bereitgestellt wird, und die Auflösung der vorsignierten URL muss über einen SageMaker Studio-VPC-Endpunkt auf der Kunden-VPC erfolgen. Diese Auflösung der vorsignierten URL während der Zugriffszeit für Benutzer des Unternehmensnetzwerks kann mithilfe von DNS-Weiterleitungsregeln (sowohl in Zscaler als auch im Unternehmens-DNS) und dann mithilfe eines Amazon Route 53-Inbound-Resolvers
step-by-step Anleitungen zur Einrichtung der vorherigen Architektur finden Sie unter Sichere vorsignierte URLs von Amazon SageMaker Studio, Teil 1: Grundlegende Infrastruktur
SageMaker Domain-Kontingente und Limits
-
SageMaker Der SSO-Verbund für Studio-Domänen wird nur in der Region unterstützt, und zwar für alle Mitgliedskonten der AWS Organisation, in der AWS Identity Center bereitgestellt wird.
-
Gemeinsam genutzte Bereiche werden derzeit nicht für Domains unterstützt, die mit AWS Identity Center eingerichtet wurden.
-
VPC- und Subnetzkonfiguration können nach dem Erstellen der Domain nicht geändert werden. Sie können jedoch eine neue Domain mit einer anderen VPC- und Subnetzkonfiguration erstellen.
-
Der Domänenzugriff kann nach dem Erstellen der Domain nicht zwischen den Modi IAM und SSO umgeschaltet werden. Sie können eine neue Domain mit einem anderen Authentifizierungsmodus erstellen.
-
Es gibt ein Limit von vier Kernel-Gateway-Apps pro Instance-Typ, die für jeden Benutzer gestartet werden.
-
Jeder Benutzer kann nur eine Instanz jedes Instanztyps starten.
-
Es gibt Beschränkungen für den Ressourcenverbrauch innerhalb einer Domain, z. B. die Anzahl der nach Instance-Typen gestarteten Instanzen und die Anzahl der Benutzerprofile, die erstellt werden können. Eine vollständige Liste der Servicebeschränkungen finden Sie auf der Seite mit den Servicekontingenten.
-
Kunden können eine Support-Anfrage mit geschäftlicher Begründung einreichen, um die standardmäßigen Ressourcenlimits, wie z. B. die Anzahl der Domänen oder Benutzerprofile, zu erhöhen, für die Einschränkungen auf Kontoebene gelten.
-
Das feste Limit für die Anzahl gleichzeitiger Apps pro Konto liegt bei 2.500 Apps. Die Beschränkungen für Domänen und Benutzerprofile hängen von diesem festen Limit ab. Ein Konto kann beispielsweise eine einzelne Domäne mit 1.000 Benutzerprofilen oder 20 Domänen mit jeweils 50 Benutzerprofilen haben.