Varios dominios y espacios compartidos - SageMaker Mejores prácticas de administración de Studio
Configura espacios compartidos en tu dominioConfigura tu dominio para la federación (IAM)Configura tu dominio para la federación de inicio de sesión único (SSO)SageMaker Perfil de usuario de StudioAplicación Jupyter ServerLa aplicación Jupyter Kernel GatewayVolumen de Amazon EFSVolumen de Amazon EBSAsegurar el acceso a la URL prefirmadaSageMaker cuotas y límites de dominio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Varios dominios y espacios compartidos

Amazon SageMaker ahora admite la creación de varios SageMaker dominios en uno solo Región de AWS para cada cuenta. Cada dominio puede tener su propia configuración de dominio, como el modo de autenticación, y una configuración de red, como la VPC y las subredes. Un perfil de usuario no se puede compartir entre varios dominios. Si un usuario humano forma parte de varios equipos separados por dominios, cree un perfil de usuario para el usuario en cada dominio. Consulte la Descripción general de varios dominios para obtener información sobre la reposición de etiquetas de los dominios existentes.

Cada dominio configurado en el modo de autenticación de IAM puede utilizar el espacio compartido para ofrecer una colaboración casi en tiempo real entre los usuarios. Con un espacio compartido, los usuarios tienen acceso a un directorio compartido de Amazon EFS y a una JupyterServeraplicación compartida para la interfaz de usuario, y pueden coeditar prácticamente en tiempo real. El etiquetado automático de los recursos creados por los espacios compartidos permite a los administradores realizar un seguimiento de los costos a nivel de proyecto. La JupyterServer interfaz de usuario compartida también filtra recursos como los experimentos y las entradas del registro de modelos, de modo que solo se muestren los elementos relevantes para la tarea de aprendizaje automático compartida. En el diagrama siguiente, se proporciona información general sobre las aplicaciones privadas y los espacios compartidos de cada dominio.

Un diagrama que muestra una descripción general de las aplicaciones privadas y los espacios compartidos dentro de un único dominio.

Descripción general de las aplicaciones privadas y los espacios compartidos dentro de un único dominio

Configura espacios compartidos en tu dominio

Por lo general, los espacios compartidos se crean para una actividad o proyecto de aprendizaje automático en particular, en el que los miembros de un único dominio requieren acceso casi en tiempo real al mismo almacenamiento de archivos y al mismo IDE subyacentes. El usuario puede acceder a sus libretas, leerlas, editarlas y compartirlas prácticamente en tiempo real, lo que le proporciona la forma más rápida de empezar a iterar con sus compañeros.

Para crear un espacio compartido, primero debe designar una función de ejecución predeterminada en el espacio que regirá los permisos de cualquier usuario que utilice el espacio. En el momento de escribir este artículo, todos los usuarios de un dominio tendrán acceso a todos los espacios compartidos de su dominio. Consulta Crear un espacio compartido para obtener la documentación más reciente sobre cómo añadir espacios compartidos a un dominio existente.

Configura tu dominio para la federación de IAM

Antes de configurar la federación AWS Identity and Access Management (IAM) para tu dominio de SageMaker Studio, debes configurar un rol de usuario de la federación de IAM (como un administrador de plataforma) en tu IdP, tal y como se explica en la sección Gestión de identidades.

Para obtener instrucciones detalladas sobre cómo configurar SageMaker Studio con la opción IAM, consulta Cómo integrar Amazon SageMaker Domain Using IAM Identity Center.

Configura tu dominio para la federación de inicio de sesión único (SSO)

Para usar la federación de inicio de sesión único (SSO), debes habilitarla AWS IAM Identity Center en tu cuenta de AWS Organizationsadministración en la misma región en la que necesitas ejecutar Studio. SageMaker Los pasos de configuración del dominio son similares a los pasos de la federación de IAM, con la salvedad de que se selecciona AWS IAM Identity Center(iDC) en la sección de autenticación.

Para obtener instrucciones detalladas, consulta Cómo incorporar un SageMaker dominio de Amazon mediante IAM Identity Center.

SageMaker Perfil de usuario de Studio

Un perfil de usuario representa a un único usuario dentro de un dominio y es la forma principal de hacer referencia a una “persona” con el propósito de compartir, generar informes y otras características orientadas al usuario. Esta entidad se crea cuando un usuario se incorpora a toSageMaker Studio. Si un administrador invita a una persona por correo electrónico o la importa desde IdC, se crea automáticamente un perfil de usuario. Un perfil de usuario es el principal titular de la configuración de un usuario individual y tiene una referencia al directorio particular privado de Amazon Elastic File System (Amazon EFS) del usuario. Recomendamos crear un perfil de usuario para cada usuario físico de la aplicación SageMaker Studio. Cada usuario tiene su propio directorio dedicado en Amazon EFS y los perfiles de usuario no se pueden compartir entre dominios de la misma cuenta.

Cada perfil de usuario que comparte el dominio de SageMaker Studio recibe recursos informáticos dedicados (como instancias de SageMaker Amazon Elastic Compute Cloud (Amazon EC2)) para ejecutar cuadernos. Las instancias informáticas asignadas al usuario uno están completamente aisladas de las asignadas al usuario dos. Del mismo modo, los recursos informáticos asignados a los usuarios de una AWS cuenta son completamente independientes de los asignados a los usuarios de otra cuenta. Cada usuario puede ejecutar hasta cuatro aplicaciones (aplicaciones) en contenedores Docker aislados o imágenes en el mismo tipo de instancia.

Aplicación Jupyter Server

Al lanzar un bloc de notas de Amazon SageMaker Studio para un usuario accediendo a la URL prefirmada o iniciando sesión con AWS IAM iDC, la aplicación Jupyter Server se lanza en la instancia de VPC gestionada por el servicio. SageMaker Cada usuario obtiene su propia aplicación dedicada de Jupyter Server en una aplicación privada. De forma predeterminada, la aplicación Jupyter Server para cuadernos SageMaker Studio se ejecuta en una ml.t3.medium instancia dedicada (reservada como tipo de instancia del sistema). El procesamiento de esta instancia no se factura al cliente.

La aplicación Jupyter Kernel Gateway

La aplicación Kernel Gateway se puede crear a través de la API o la interfaz de SageMaker Studio y se ejecuta en el tipo de instancia elegido. Esta aplicación se puede ejecutar con una de las imágenes de SageMaker Studio integradas que están preconfiguradas con paquetes populares de ciencia de datos y aprendizaje profundo TensorFlow, como Apache MXNet y. PyTorch

Los usuarios pueden iniciar y ejecutar varios núcleos de cuadernos Jupyter, sesiones de terminal y consolas interactivas desde la misma SageMaker aplicación Studio Image/Kernel Gateway. Los usuarios también pueden ejecutar hasta cuatro aplicaciones o imágenes de Kernel Gateway en la misma instancia física, cada una aislada por su contenedor/imagen.

Para crear aplicaciones adicionales, debe usar un tipo de instancia diferente. Un perfil de usuario solo puede tener una instancia en ejecución, de cualquier tipo de instancia. Por ejemplo, un usuario puede ejecutar un bloc de notas simple con la imagen de ciencia de datos integrada de SageMaker Studio y otro bloc de notas con la TensorFlow imagen integrada, en la misma instancia. A los usuarios se les factura por el tiempo que la instancia esté en ejecución. Para evitar costes cuando el usuario no ejecuta SageMaker Studio de forma activa, debe cerrar la instancia. Para obtener más información, consulta Cómo cerrar y actualizar las aplicaciones de Studio.

Cada vez que cierra y vuelve a abrir una aplicación de Kernel Gateway desde la interfaz de SageMaker Studio, esa aplicación se inicia en una instancia nueva. Esto significa que la instalación del paquete no se prolonga hasta que se reinicie la misma aplicación. Del mismo modo, si un usuario cambia el tipo de instancia en un portátil, se pierden los paquetes instalados y las variables de sesión. Sin embargo, puede utilizar funciones como crear scripts de ciclo de vida e imagen propios para incorporar los paquetes del usuario a SageMaker Studio y conservarlos durante los cambios de instancia y el lanzamiento de nuevas instancias.

Volumen de Amazon Elastic File System

Cuando se crea un dominio, se crea un único volumen de Amazon Elastic File System (Amazon EFS) para ser utilizado por todos los usuarios del dominio. Cada perfil de usuario recibe un directorio principal privado dentro del volumen de Amazon EFS para almacenar las libretas, los GitHub repositorios y los archivos de datos del usuario. Cada espacio de un dominio recibe un directorio privado dentro del volumen de Amazon EFS al que pueden acceder varios perfiles de usuario. El acceso a las carpetas está segregado por usuario, mediante permisos del sistema de archivos. SageMaker Studio crea un ID de usuario global único para cada perfil o espacio de usuario y lo aplica como un ID de usuario/grupo de la Interfaz de Sistema Operativo Portátil (POSIX) para el directorio principal del usuario en EFS, lo que impide que otros usuarios/espacios accedan a sus datos.

Copia de seguridad y recuperación

No se puede adjuntar un volumen EFS existente a un SageMaker dominio nuevo. En un entorno de producción, asegúrese de que se haya realizado una copia de seguridad del volumen de Amazon EFS (en otro volumen de EFS o en Amazon Simple Storage Service (Amazon S3)). Si se elimina accidentalmente un volumen EFS, el administrador debe desmontar y volver a crear el dominio de SageMaker Studio. El proceso es el siguiente:

Realice una copia de seguridad de la lista de perfiles de usuario, espacios y los ID de usuario (UID) de EFS asociados mediante las llamadas ListUserProfiles DescribeUserProfileList Spaces,, y DescribeSpace API.

  1. Cree un nuevo dominio de SageMaker Studio.

  2. Crea los perfiles y espacios de usuario.

  3. Para cada perfil de usuario, copie los archivos de la copia de seguridad en EFS/Amazon S3.

  4. Si lo desea, elimine todas las aplicaciones y los perfiles de usuario del antiguo dominio de SageMaker Studio.

Para obtener instrucciones detalladas, consulte la sección del apéndice Copia de seguridad y recuperación de dominios de SageMaker Studio.

nota

Esto también se puede lograr haciendo una LifecycleConfigurations copia de seguridad de los datos desde y hacia S3 cada vez que un usuario inicia su aplicación.

Volumen de Amazon EBS

También se adjunta un volumen de almacenamiento de Amazon Elastic Block Store (Amazon EBS) a cada instancia de SageMaker Studio Notebook. Se utiliza como volumen raíz del contenedor o la imagen que se ejecuta en la instancia. Si bien el almacenamiento de Amazon EFS es persistente, el volumen de Amazon EBS adjunto al contenedor es temporal. Los datos almacenados localmente en el volumen de Amazon EBS no se conservarán si el cliente elimina la aplicación.

Asegurar el acceso a la URL prefirmada

Cuando un usuario de SageMaker Studio abre el enlace del bloc de notas, SageMaker Studio valida la política de IAM del usuario federado para autorizar el acceso y genera y resuelve la URL prefirmada del usuario. Como la SageMaker consola se ejecuta en un dominio de Internet, esta URL generada y prefirmada es visible en la sesión del navegador. Esto representa un vector de amenaza no deseado para el robo de datos y el acceso a los datos de los clientes cuando no se aplican los controles de acceso adecuados.

Studio admite varios métodos para reforzar los controles de acceso contra el robo de datos mediante URL prefirmadas:

  • Validación de la IP del cliente mediante la condición de política de IAM aws:sourceIp

  • Validación de la VPC del cliente mediante la condición IAM aws:sourceVpc

  • Validación del punto final de la VPC del cliente mediante la condición de política de IAM aws:sourceVpce

Al acceder a las libretas de SageMaker Studio desde la SageMaker consola, la única opción disponible es utilizar la validación de la IP del cliente con la condición de política de IAM. aws:sourceIp Sin embargo, puede utilizar productos de enrutamiento de tráfico para navegadores, como Zscaler, para garantizar la escalabilidad y el cumplimiento del acceso a Internet de sus empleados. Estos productos de enrutamiento de tráfico generan su propia IP de origen, cuyo rango de IP no está controlado por el cliente empresarial. Esto impide que estos clientes empresariales utilicen la aws:sourceIp condición.

Para utilizar la validación de puntos de enlace de la VPC del cliente mediante la condición de política de IAMaws:sourceVpce, la creación de una URL prefirmada debe originarse en la misma VPC del cliente en la que se ha implementado SageMaker Studio, y la resolución de la URL prefirmada debe realizarse a través de un punto de enlace de la VPC de Studio en la SageMaker VPC del cliente. Esta resolución de la URL prefirmada durante el tiempo de acceso para los usuarios de la red corporativa se puede lograr mediante reglas de reenvío de DNS (tanto en Zscaler como en el DNS corporativo) y, luego, en el punto final de la VPC del cliente mediante un solucionador de entradas Amazon Route 53, como se muestra en la siguiente arquitectura:

Un diagrama que muestra el acceso a la URL prefirmada de Studio con el punto final de la VPC a través de la red corporativa.

Acceso a la URL prefirmada de Studio con el punto final de VPC a través de la red corporativa

Para obtener step-by-step orientación sobre la configuración de la arquitectura anterior, consulte Secure Amazon SageMaker Studio presignadas, parte 1: Infraestructura fundamental.

SageMaker cuotas y límites de dominio

  • SageMaker La federación de SSO de dominios de Studio solo se admite en la región, en todas las cuentas de los miembros de la AWS organización en la que se aprovisiona AWS Identity Center.

  • Actualmente, los espacios compartidos no son compatibles con los dominios configurados con AWS Identity Center.

  • La configuración de la VPC y la subred no se puede cambiar después de crear el dominio. Sin embargo, puede crear un dominio nuevo con una configuración de VPC y subred diferente.

  • El acceso al dominio no se puede cambiar entre los modos IAM y SSO después de crear el dominio. Puede crear un dominio nuevo con un modo de autenticación diferente.

  • Hay un límite de cuatro aplicaciones de gateway del núcleo por tipo de instancia lanzadas para cada usuario.

  • Cada usuario puede lanzar solo una instancia de cada tipo de instancia.

  • Hay límites en cuanto a los recursos que se consumen en un dominio, como el número de instancias lanzadas por tipo de instancia y el número de perfiles de usuario que se pueden crear. Consulta la página de cuotas de servicio para obtener una lista completa de los límites de servicio.

  • Los clientes pueden presentar un caso de soporte empresarial con una justificación empresarial para aumentar los límites de recursos predeterminados, como el número de dominios o perfiles de usuario, sujetos a restricciones a nivel de cuenta.

  • El límite máximo de aplicaciones simultáneas por cuenta es de 2500 aplicaciones. Los límites de dominios y perfiles de usuario dependen de este límite estricto. Por ejemplo, una cuenta puede tener un único dominio con 1000 perfiles de usuario o 20 dominios con 50 perfiles de usuario cada uno.