Usa una configuración personalizada para Amazon SageMaker AI

La sección Configuración para organizaciones (configuración personalizada) te guía a través de una configuración avanzada para tu dominio de Amazon SageMaker AI. Esta opción proporciona información y recomendaciones para ayudarlo a comprender y controlar todos los aspectos de la configuración de la cuenta, incluidos los permisos, las integraciones y el cifrado. Utilice esta opción si desea configurar un dominio personalizado. Para obtener más información sobre los dominios, consulte Descripción general del dominio Amazon SageMaker AI.

Métodos de autenticación

Antes de configurar el dominio, analice los métodos de autenticación para que los usuarios accedan al dominio.

AWS Centro de identidad:

• Ayuda a simplificar la administración de los permisos de acceso para grupos de usuarios. Puede conceder o denegar permisos a grupos de usuarios, en lugar de aplicar esos permisos a cada usuario individual. Si un usuario se muda a una organización diferente, puede moverlo a un grupo de centros de AWS Identity and Access Management identidad (AWS IAM Identity Center) diferente. Así el usuario recibirá automáticamente los permisos necesarios para la nueva organización.

  Tenga en cuenta que el centro de identidad de IAM debe estar en el mismo lugar Región de AWS que el dominio.

  Para configurarlo con IAM Identity Center, siga estas instrucciones de la Guía del usuario de AWS IAM Identity Center:

  • Comience con Habilitación de AWS IAM Identity Center.

  • Cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

  • Añada grupos al directorio de IAM Identity Center.

  • Asigne acceso de inicio de sesión único a usuarios y grupos.

  • Consulte los flujos de trabajo básicos para comenzar a realizar tareas habituales en IAM Identity Center.

• Los usuarios del Centro de Identidad de IAM pueden acceder al dominio mediante una Portal de acceso a AWS URL que se les envía por correo electrónico. Este correo electrónico contiene instrucciones para crear una cuenta para acceder al dominio. Para obtener más información, consulte Cómo iniciar sesión en el Portal de acceso a AWS.

  Como administrador, para encontrar la Portal de acceso a AWS URL, diríjase al Centro de Identidad de IAM y busque la Portal de acceso a AWS URL en el resumen de la configuración.

• Su dominio debe utilizar la autenticación AWS Identity and Access Management (IAM) si desea restringir el acceso a sus dominios exclusivamente a determinadas Amazon Virtual Private Clouds (VPCs), puntos de enlace de interfaz o un conjunto predefinido de direcciones IP. Esta característica no se admite en los dominios que utilizan autenticación de IAM Identity Center. Puede seguir utilizando IAM Identity Center para permitir el control centralizado de la identidad de los empleados. Para obtener instrucciones sobre cómo implementar estas restricciones y, al mismo tiempo, mantener el Centro de identidad de IAM para proporcionar una experiencia de inicio de sesión de usuario coherente, consulte Acceso seguro a Amazon SageMaker Studio Classic con el Centro de identidad de IAM y una aplicación SAML en el AWS blog de aprendizaje automático. Tenga en cuenta que AWS SSO es el centro de identidad de IAM en este blog.

Inicie sesión a través de IAM:

• Los perfiles de usuario pueden acceder al dominio a través de la consola de SageMaker IA después de iniciar sesión en la cuenta.

• Puede restringir el acceso a sus dominios exclusivamente a Amazon Virtual Private Clouds (VPCs), puntos de enlace de interfaz o un conjunto predefinido de direcciones IP determinadas cuando utilice la autenticación AWS Identity and Access Management (IAM). Para obtener más información, consulte Permitir el acceso solo desde su VPC.

Configuración para organizaciones (configuración personalizada)

Configuración personalizada mediante la consola

Tras cumplir los requisitos previosComplete los requisitos previos de Amazon SageMaker AI, abra la página Configurar dominio de SageMaker IA (configuración personalizada) y amplíe las siguientes secciones para obtener información sobre la configuración.

Abre la sección Configurar dominio de SageMaker IA desde la consola de SageMaker IA

1. Abre la consola de SageMaker IA.

2. En el panel de navegación izquierdo, seleccione Configuraciones de administración para expandir las opciones.

3. En Configuraciones de administración, elija Dominios.

4. En la página Dominios, elija Crear dominio.

5. En la página Configurar un dominio de SageMaker IA, selecciona Configurar para organizaciones.

6. Elija Set up (Configurar).

Una vez que hayas abierto la página de configuración del dominio de SageMaker IA, sigue las siguientes instrucciones:

Paso 1: detalles del dominio

1. En Nombre del dominio, introduzca un nombre único para su dominio. Por ejemplo, puede ser el nombre de su proyecto o equipo.

2. Elija Next (Siguiente).

Paso 2: usuarios y actividades de ML

En este paso, configurará el método de autenticación, los usuarios y los permisos de su dominio.

1. En ¿Cómo desea acceder a Studio?, puede elegir una de dos opciones. Para obtener más información sobre los métodos de autenticación, consulte Métodos de autenticación. A continuación, se proporcionan detalles sobre las opciones:

   • AWS Centro de identidad:

     En ¿Quién usará Studio? elige un AWS IAM Identity Center grupo que accederá al dominio.

     Si elige No hay ningún grupo de usuarios de Identity Center, creará un dominio sin usuarios. Puede añadir grupos de IAM Identity Center al dominio después de crear el dominio. Para obtener más información, consulte Edición de la configuración del dominio.

   • Inicie sesión a través de IAM:

     En ¿Quién usará Studio?, seleccione + Agregar usuario, introduzca un nombre de perfil de usuario nuevo y seleccione Agregar para crear y añadir un nombre de perfil de usuario.

     Puede repetir este proceso para crear varios perfiles de usuario.

2. En ¿Quién usará Studio?, seleccione los usuarios o grupos de IAM Identity Center y, a continuación, elija Seleccionar. Debe configurar Amazon SageMaker Studio en la misma región en la que está configurado su centro de identidad de IAM. Para cambiar la región de su dominio, selecciónela en la lista desplegable situada en la parte superior derecha de la consola o cambie la región de IAM Identity Center accediendo al portal de acceso de AWS.

3. En ¿Qué actividades de ML realizan?, puede usar un rol existente seleccionando Utilizar un rol existente o puede crear un nuevo rol eligiendo Crear un nuevo rol y marcando las actividades de ML a las que desea que tenga acceso el rol.

4. Al seleccionar las actividades de ML, es posible que necesite cumplir unos requisitos. Para cumplir un requisito, elija Agrega y complete el requisito.

5. Una vez que se hayan cumplido todos los requisitos, seleccione Siguiente.

Paso 3: aplicaciones

En este paso, puede configurar las aplicaciones que ha habilitado en el paso anterior. Para obtener más información sobre las actividades de ML, consulte Referencia de actividad de ML.

Si la aplicación no está habilitada, recibirá una advertencia para esa aplicación. Para habilitar una aplicación que no esté habilitada, vuelva al paso anterior; para ello, seleccione Atrás y siga las instrucciones anteriores.

• Configuración de Studio:

  En Studio, tiene la opción de elegir entre la versión más reciente y la clásica de Studio como experiencia predeterminada. Esto significa que debe elegir el entorno de ML con el que interactúa al abrir Studio.

  • Studio incluye varios entornos de desarrollo integrados (IDEs) y aplicaciones, incluido Amazon SageMaker Studio Classic. Si se selecciona, el IDE de Studio Classic tiene la configuración predeterminada. Para obtener más información sobre la configuración predeterminada, consulte Configuración predeterminada.

    Para obtener más información sobre Studio, consulte Amazon SageMaker Studio.

  • Studio Classic incluye el IDE de Jupyter. Si lo elige, puede realizar la configuración de Studio Classic.

    Para obtener información sobre Studio Classic, consulte Amazon SageMaker Studio Clásico.

• SageMaker Configuración de Canvas:

  Si tienes Amazon SageMaker Canvas activado, consulta Cómo empezar a usar Amazon SageMaker Canvas las instrucciones y los detalles de configuración para la incorporación.

• Configuración de Studio Classic:

  Si eligió Studio (recomendado) como experiencia predeterminada, el IDE de Studio Classic tiene la configuración predeterminada. Para obtener más información sobre la configuración predeterminada, consulte Configuración predeterminada.

  Si ha elegido Studio Classic como experiencia predeterminada, puede optar por habilitar o deshabilitar el uso compartido de recursos de cuaderno. Los recursos de cuaderno incluyen artefactos como la salida de celda y los repositorios de Git. Para obtener más información acerca de los recursos de cuaderno, consulte Compartir y usar un bloc de notas Amazon SageMaker Studio Classic.

  Se ha habilitado el uso compartido de recursos de cuaderno:

  1. En Ubicación de S3 para recursos de cuadernos de uso compartido, introduzca su ubicación de Amazon S3.

  2. En Clave de cifrado (opcional), deje como Sin cifrado personalizado o elija una AWS KMS clave existente o elija Introducir un ARN de clave KMS e introduzca el ARN de su AWS KMS clave.

  3. En la sección Preferencia de uso compartido de salida de celdas del cuaderno, seleccione Permitir a los usuarios compartir la salida de celdas o Deshabilitar el uso compartido de la salida de celdas.

• RStudioconfiguración:

  Para habilitarlo RStudio, necesita una RStudio licencia. Para configurarla, consulte Obtenga una RStudio licencia.

  1. En RStudio Workbench, compruebe que su RStudio licencia se detecte automáticamente. Para obtener más información sobre cómo obtener una RStudio licencia y activarla con SageMaker AI, consulteObtenga una RStudio licencia.

  2. Seleccione un tipo de instancia en el que lanzar su RStudio servidor. Para obtener más información, consulte RStudioServerPro tipo de instancia.

  3. En Permiso, cree su rol o seleccione uno existente. El rol debe tener la siguiente política de permisos: Esta política permite a la RStudio ServerPro aplicación acceder a los recursos necesarios. También permite a Amazon SageMaker AI lanzar automáticamente una RStudio ServerPro aplicación cuando la RStudio ServerPro aplicación existente está en Failed estado Deleted o. Para obtener información acerca de cómo agregar permisos a un rol, consulte Modificación de una política de permisos de rol (consola).

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. En RStudio Connect, añade la URL de tu servidor RStudio Connect. RStudio Connect es una plataforma de publicación para aplicaciones Shiny, informes de R Markdown, paneles, gráficos y más. Cuando te incorporas RStudio a una SageMaker IA, no se crea un servidor RStudio Connect. Para obtener más información, consulte Añadir una URL de RStudio Connect.

  5. En RStudio Package Manager, agrega la URL de tu RStudio Package Manager. SageMaker AI crea un repositorio de paquetes predeterminado para el Package Manager cuando lo incorporas RStudio. Para obtener más información sobre RStudio Package Manager, consulteActualizar la URL RStudio del Package Manager.

  6. Seleccione Siguiente.

• Configuración del Editor de código:

  Si tiene el Editor de código habilitado, consulte Editor de código en Amazon SageMaker Studio para obtener una descripción general y los detalles de configuración.

Paso 4: personalización de la interfaz de usuario de Studio

En esta sección, puede personalizar las aplicaciones visibles y las herramientas de machine learning (ML) que se muestran en Studio. Esta personalización solo oculta las aplicaciones y las herramientas de ML en el panel de navegación izquierdo de Studio. Para obtener más información sobre la IU de Studio, consulte Descripción general de la interfaz de usuario de Amazon SageMaker Studio.

Para obtener más información sobre las aplicaciones, consulte Aplicaciones compatibles con Amazon SageMaker Studio.

La característica de personalización de la IU de Studio no está disponible en Studio Classic. Si desea configurar Studio como su experiencia predeterminada, seleccione Anterior y vuelva al paso anterior.

1. En la página Personalizar IU de Studio, puede ocultar las aplicaciones y herramientas de ML que aparecen en Studio desactivándolas.

2. Una vez revisados los cambios, seleccione Siguiente.

Paso 5: configuración de los ajustes de red

Elija cómo quiere que Studio se conecte a otros AWS servicios.

Puede optar por deshabilitar el acceso a Internet en su Studio especificando el tipo de acceso a la red Solo nube privada virtual (VPC). Si elige esta opción, no podrá ejecutar un bloc de notas de Studio a menos que su VPC tenga un punto final de interfaz para la SageMaker API y el tiempo de ejecución, o una puerta de enlace de traducción de direcciones de red (NAT) con acceso a Internet, y sus grupos de seguridad permitan las conexiones salientes. Para obtener más información sobre Amazon VPCs, consulteElección de una Amazon VPC.

Si elige Solo nube privada virtual (VPC), se requieren los siguientes pasos. Si elige Acceso público a Internet, se requieren los dos primeros pasos siguientes.

1. En VPC, elija el ID de la VPC de Amazon.

2. En Subred, elija una o varias subredes. Si no elige ninguna subred, la SageMaker IA utilizará todas las subredes de la Amazon VPC. Se recomienda utilizar varias subredes que no se creen en zonas de disponibilidad restringidas. El uso de subredes en zonas de disponibilidad restringida puede provocar errores de capacidad insuficiente y prolongar los tiempos de creación de aplicaciones. Para obtener más información sobre las zonas de disponibilidad restringida, consulte Zonas de disponibilidad.

3. En Grupos de seguridad, elija una o varias subredes.

Si solo se selecciona VPC, SageMaker AI aplica automáticamente la configuración del grupo de seguridad definida para el dominio a todos los espacios compartidos creados en el dominio. Si se selecciona Solo Internet pública, SageMaker AI no aplica la configuración del grupo de seguridad a los espacios compartidos creados en el dominio.

Paso 6: configuración del almacenamiento

Tiene la opción de cifrar los datos. Los sistemas de archivos Amazon Elastic File System (Amazon EFS) y Amazon Elastic Block Store (Amazon EBS) que se crean automáticamente al crear un dominio. Tanto el editor de código como los JupyterLab espacios utilizan los tamaños de Amazon EBS.

No puede cambiar la clave de cifrado después de cifrar los sistemas de archivos de Amazon EFS y Amazon EBS. Para cifrar sus sistemas de archivos de Amazon EFS y Amazon EBS, puede utilizar las siguientes configuraciones.

• En Clave de cifrado: opcional, deje Sin cifrado personalizado o elija una clave de KMS existente, o bien elija Especifique el ARN de una clave de KMS e introduzca el ARN de su clave de KMS.

• En Tamaño de espacio predeterminado: opcional, introduzca el tamaño de espacio predeterminado.

• En Tamaño de espacio máximo: opcional, introduzca el tamaño de espacio máximo.

Paso 7: revisión y creación

Revise los ajustes del dominio. Si necesita cambiar los ajustes, seleccione Editar junto al paso correspondiente. Cuando confirme que los ajustes del dominio son correctos, seleccione Enviar y el dominio se creará automáticamente. Este proceso puede demorar unos minutos.

Configuración personalizada mediante el AWS CLI

En las siguientes secciones se proporcionan AWS CLI instrucciones para la configuración personalizada de su dominio mediante el Centro de identidad de IAM o los métodos de autenticación de IAM.

Tras cumplir los requisitos previos, incluida la configuración de sus AWS CLI credenciales, Complete los requisitos previos de Amazon SageMaker AI siga estos pasos.

1. Cree un rol de ejecución que se utilice para crear un dominio y adjunte la AmazonSageMakerFullAccesspolítica. También puedes usar un rol existente que tenga, como mínimo, una política de confianza adjunta que otorgue permiso a la SageMaker IA para asumir el rol. Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA.

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. Obtenga la Amazon Virtual Private Cloud (Amazon VPC) predeterminada de su cuenta.

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. Obtenga la lista de subredes de la Amazon VPC predeterminada.

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. Cree un dominio pasando el ID de Amazon VPC predeterminado, las subredes y el ARN del rol de ejecución. También debes pasar un ARN de imagen de SageMaker IA. Para obtener información sobre la JupyterLab versión disponible ARNs, consulteEstablecer una JupyterLab versión predeterminada.

   En authentication-mode, utilice SSO para la autenticación de IAM Identity Center o IAM para la autenticación de IAM.

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

   AWS CLI Para personalizar las aplicaciones y herramientas de aprendizaje automático que se muestran en Studio para el dominio, puede utilizar StudioWebPortalSettings. Utilice HiddenAppTypes para ocultar aplicaciones y HiddenMlTools para ocultar herramientas de ML. Para obtener más información sobre cómo personalizar la navegación izquierda de la IU de Studio, consulte Oculte las herramientas y aplicaciones de aprendizaje automático en la interfaz de usuario de Amazon SageMaker Studio. Esta característica no está disponible para Studio Classic.

5. Compruebe que se haya creado el dominio.

   aws --region region sagemaker list-domains

Configuración personalizada mediante AWS CloudFormation

Para obtener información sobre cómo crear un dominio mediante AWS CloudFormation, consulte AWS::SageMaker::Domainla Guía del AWS CloudFormation usuario.

Para ver un ejemplo de una AWS CloudFormation plantilla que puedes usar para configurar tu dominio, consulta Cómo crear dominios de Amazon SageMaker AI AWS CloudFormation en el aws-samples GitHub repositorio.

Una vez configurado el dominio, el usuario administrativo puede verlo y editarlo. Para obtener más información, consulte Visualización de dominios y Edición de la configuración del dominio.

Acceso al dominio después de la incorporación

Los usuarios pueden acceder a la SageMaker IA mediante:

• La URL de inicio de sesión si el dominio se ha configurado mediante la autenticación de IAM Identity Center. Para obtener más información, consulte Cómo iniciar sesión en el portal de acceso AWS.

• La consola de SageMaker IA.