Intégration personnalisée à Amazon SageMaker Domain à l'aide d'IAM - Amazon SageMaker

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration personnalisée à Amazon SageMaker Domain à l'aide d'IAM

Cette rubrique décrit comment intégrer Amazon SageMaker Domain à l'aide de la procédure Set up for organizations pour l'authentification AWS Identity and Access Management (IAM) depuis la SageMaker console ou leAWS CLI. Pour une intégration plus rapide avec IAM, veuillez consulter Intégration rapide.

Pour obtenir des informations sur l'intégration via AWS IAM Identity Center (IAM Identity Center), consultez Intégration personnalisée à l'aide d'IAM Identity Center.

Intégration à l'aide de la console

Pour intégrer Domain à l'aide d'IAM
  1. Ouvrez la SageMaker console.

  2. Dans le panneau de navigation de gauche, choisissez Configurations d'administrateur.

  3. Sous Configurations d'administrateur, choisissez Domaines.

  4. Sur la page Domains (Domaines), choisissez Create domain (Créer un domaine).

  5. Sur la page Configurer le SageMaker domaine, choisissez Configurer pour les organisations.

  6. Sélectionnez Configure (Configurer).

Étape 1 : Détails du domaine

  1. Dans Domain Name (Nom de domaine), saisissez un nom unique pour votre domaine. Il peut s'agir, par exemple, du nom de votre projet ou de votre équipe.

  2. Choisissez Suivant.

Étape 2 : Utilisateurs et activités de machine learning

Sélectionnez le groupe ou créez les utilisateurs pour le domaine et accordez des autorisations aux activités ML auxquelles ils auront accès.

Dans ces instructions de configuration, nous utilisons l'option Login through IAM.

Le rôle IAM que vous configurez à cette étape est attribué à tous les utilisateurs que vous ajoutez à cette étape.

  1. Sous Comment souhaitez-vous accéder à Studio ? , choisissez Login through IAM.

  2. Sous Qui utilisera Studio ? ajoutez les noms des profils utilisateur. Pour ajouter un nom de profil utilisateur, choisissez Ajouter un utilisateur, entrez un nom de profil utilisateur, puis sélectionnez Sélectionner.

  3. Sous Quelles activités de machine learning effectuent-ils ? vous pouvez utiliser un rôle existant en choisissant Utiliser un rôle existant ou vous pouvez créer un nouveau rôle en choisissant Créer un nouveau rôle et en cochant les activités de machine learning auxquelles vous souhaitez que le rôle ait accès. Vous pouvez sélectionner au maximum 10 activités ML.

  4. Lors de la sélection des activités de machine learning, vous devrez peut-être satisfaire à des exigences. Pour répondre à une exigence, choisissez Ajouter et complétez l'exigence.

  5. Lorsque toutes les exigences sont satisfaites, choisissez Next.

Étape 3 : Candidatures

Dans cette étape, vous pouvez configurer les applications que vous avez activées à l'étape précédente. Pour plus d'informations sur les activités de ML, voirRéférence d'activité de ML.

Si l'application n'a pas été activée, vous recevez un avertissement pour cette application. Pour activer une application qui n'a pas été activée, revenez à l'étape précédente en choisissant Retour et suivez les instructions précédentes.

SageMaker Configuration du studio :

Dans SageMaker Studio, vous avez la possibilité de choisir entre la nouvelle version et la version classique de Studio comme expérience par défaut. Cela implique de choisir l'environnement ML avec lequel vous allez interagir après avoir ouvert Studio.

  • SageMaker Studio - New inclut plusieurs environnements de développement intégrés (IDE) et applications, dont Amazon SageMaker Studio Classic. S'il est sélectionné, l'IDE Studio Classic possède des paramètres par défaut. Pour plus d'informations sur les paramètres par défaut, consultezParamètres par défaut.

  • SageMaker Studio Classic inclut l'IDE Jupyter. Si vous choisissez cette option, vous pouvez configurer votre configuration Studio Classic.

    Pour plus d'informations sur Studio Classic, consultezAmazon SageMaker Studio classique.

SageMaker Configuration du canevas :

Si Amazon SageMaker Canvas est activé, consultez Commencer à utiliser Amazon SageMaker Canvas les instructions et les détails de configuration pour l'intégration.

SageMaker Configuration de Studio Classic :

Si vous avez choisi SageMaker Studio - New (recommandé) comme expérience par défaut, l'IDE Studio Classic possède des paramètres par défaut. Pour plus d'informations sur les paramètres par défaut, consultezParamètres par défaut.

Si vous avez choisi Studio Classic comme expérience par défaut, vous pouvez choisir d'activer ou de désactiver le partage des ressources du bloc-notes. Les ressources du bloc-notes incluent des artefacts tels que la sortie des cellules et les référentiels Git. Pour plus d'informations sur les ressources du bloc-notes, consultezPartager et utiliser un bloc-notes Amazon SageMaker Studio Classic.

Si vous avez activé le partage des ressources du bloc-notes :

  1. Sous Emplacement S3 pour les ressources de bloc-notes partageables, saisissez votre emplacement Amazon S3.

  2. Sous Clé de chiffrement - facultatif, laissez le champ Pas de chiffrement personnalisé ou choisissez une AWS KMS clé existante ou choisissez Enter a KMS key ARN et entrez l'ARN de votre AWS KMS clé.

  3. Sous Préférence de partage de sortie de cellule du bloc-notes, choisissez Autoriser les utilisateurs à partager la sortie de cellule ou Désactiver le partage de sortie de cellule.

Configuration de RStudio :

Pour activer RStudio, vous aurez besoin d'une licence RStudio. Pour configurer cela, voirLicence RStudio.

  1. Sous RStudio Workbench (Workbench RStudio), vérifiez que votre licence RStudio est automatiquement détectée. Pour plus d'informations sur l'obtention d'une licence RStudio et son activation avec SageMaker, consultezLicence RStudio.

  2. Sélectionnez un type d'instance sur lequel lancer votre serveur RStudio. Pour plus d’informations, consultez Type d'StudioServerPro instance R.

  3. Sous Permission (Autorisation), créez votre rôle ou sélectionnez un rôle existant. Le rôle doit avoir la politique d'autorisations suivante. Cette politique permet à l'StudioServerPro application R d'accéder aux ressources nécessaires. Cela permet également SageMaker à Amazon de lancer automatiquement une StudioServerPro application R lorsque l'StudioServerProapplication R existante est au Failed statut Deleted or. Pour savoir comment ajouter des autorisations à un rôle, veuillez consulter Modification d'une politique d'autorisations de rôle (console).

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] }
  4. Sous RStudio Connect, ajoutez l'URL de votre serveur RStudio Connect. RStudio Connect est une plateforme de publication pour les applications Shiny, les rapports R Markdown, les tableaux de bord, les diagrammes et plus encore. Lorsque vous intégrez RStudio le SageMaker, aucun serveur RStudio Connect n'est créé. Pour plus d’informations, consultez URL RStudio Connect.

  5. Sous RStudio Package Manager, ajoutez l'URL de votre RStudio Package Manager. SageMaker crée un référentiel de packages par défaut pour le gestionnaire de packages lorsque vous intégrez RStudio. Pour plus d'informations sur RStudio Package Manager, veuillez consulter RStudio Package Manager.

  6. Sélectionnez Suivant.

Configuration de l'éditeur de code :

Si l'éditeur de code est activé, consultez l'éditeur de code pour une vue d'ensemble et les détails de configuration.

Étape 4 : Réseau

Choisissez la manière dont vous souhaitez que Studio se connecte aux autres AWS services.

Vous pouvez choisir de désactiver l'accès Internet à votre studio en spécifiant le type d'accès réseau Virtual Private Cloud (VPC) Only. Si vous choisissez cette option, vous ne pouvez pas exécuter un bloc-notes Studio à moins que votre VPC ne dispose d'un point de terminaison d'interface vers l' SageMaker API et le runtime, ou d'une passerelle NAT (Network Address Translation) avec accès à Internet, et que vos groupes de sécurité autorisent les connexions sortantes. Pour plus d'informations sur les Amazon VPC, consultezChoix d'un réseau Amazon VPC.

Si vous choisissez Virtual Private Cloud (VPC), seules les étapes suivantes sont requises. Si vous choisissez Accès public à Internet, les deux premières étapes suivantes sont requises.

  1. Sous VPC, choisissez l'identifiant Amazon VPC.

  2. Sous Sous-réseau, sélectionnez un ou plusieurs sous-réseaux. Si vous ne choisissez aucun sous-réseau, SageMaker utilise tous les sous-réseaux d'Amazon VPC. Nous vous recommandons d'utiliser plusieurs sous-réseaux qui ne sont pas créés dans les zones de disponibilité restreintes. L'utilisation de sous-réseaux dans ces zones de disponibilité restreintes peut entraîner des erreurs de capacité insuffisante et des délais de création d'applications plus longs. Pour plus d'informations sur les zones de disponibilité restreintes, consultez Zones de disponibilité.

  3. Sous Groupe (s) de sécurité, choisissez un ou plusieurs sous-réseaux.

Si VPC uniquement est sélectionné, applique SageMaker automatiquement les paramètres du groupe de sécurité définis pour le domaine à tous les espaces partagés créés dans le domaine. Si Internet public uniquement est sélectionné, les paramètres du groupe de sécurité SageMaker ne sont pas appliqués aux espaces partagés créés dans le domaine.

Étape 5 : Stockage

Vous avez la possibilité de chiffrer vos données. Les systèmes de fichiers Amazon Elastic File System (Amazon EFS) et Amazon Elastic Block Store (Amazon EBS) créés pour vous lorsque vous créez un domaine. Les tailles Amazon EBS sont utilisées à la fois par l'éditeur de code et par les JupyterLab espaces.

Vous ne pouvez pas modifier la clé de chiffrement après avoir chiffré vos systèmes de fichiers Amazon EFS et Amazon EBS. Pour chiffrer vos systèmes de fichiers Amazon EFS et Amazon EBS, vous pouvez utiliser les configurations suivantes.

  • Sous Clé de chiffrement - facultatif, laissez le champ Pas de chiffrement personnalisé ou choisissez une clé KMS existante ou choisissez Enter a KMS key ARN et entrez l'ARN de votre clé KMS.

  • Sous Taille d'espace par défaut - facultatif, entrez la taille d'espace par défaut.

  • Sous Taille maximale de l'espace - facultatif, entrez la taille maximale de l'espace.

Étape 6 : Réviser et créer

Vérifiez les paramètres de votre domaine. Si vous devez modifier les paramètres, choisissez Modifier à côté de l'étape correspondante. Une fois que vous avez confirmé que les paramètres de votre domaine sont corrects, choisissez Soumettre et le domaine est créé pour vous. Ce processus peut prendre quelques minutes.

Intégration à l'aide de l'AWS CLI

Utilisez les commandes suivantes pour intégrer un domaine à l'aide d'une authentification avec IAM à partir de l'AWS CLI.

  1. Créez un rôle d'exécution utilisé pour créer un domaine et attachez la AmazonSageMakerFullAccesspolitique. Vous pouvez également utiliser un rôle existant auquel est associée, au minimum, une politique de confiance qui accorde SageMaker l'autorisation d'assumer le rôle. Pour plus d’informations, consultez SageMaker Rôles.

    aws iam create-role --role-name execution-role-name aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
  2. Obtenez le réseau Amazon Virtual Private Cloud (Amazon VPC) par défaut de votre compte.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
  3. Obtenez la liste des sous-réseaux du réseau Amazon VPC par défaut.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
  4. Créez un domaine en transmettant l'ID de réseau Amazon VPC par défaut, les sous-réseaux et l'ARN du rôle d'exécution. Vous devez également transmettre un ARN SageMaker d'image. Pour plus d'informations sur les ARN de JupyterLab version disponibles, consultezConfiguration d'une JupyterLab version par défaut.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode IAM --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text
  5. Vérifiez que le domaine a été créé.

    aws --region region sagemaker list-domains