Gunakan pengaturan khusus untuk Amazon SageMaker AI

Pengaturan untuk organisasi (penyiapan khusus) memandu Anda melalui penyiapan lanjutan untuk domain Amazon SageMaker AI Anda. Opsi ini memberikan informasi dan rekomendasi untuk membantu Anda memahami dan mengontrol semua aspek konfigurasi akun, termasuk izin, integrasi, dan enkripsi. Gunakan opsi ini jika Anda ingin menyiapkan domain khusus. Untuk informasi tentang domain, lihatIkhtisar domain Amazon SageMaker AI.

Metode otentikasi

Sebelum Anda mengatur domain, pertimbangkan metode otentikasi bagi pengguna Anda untuk mengakses domain.

AWS Pusat Identitas:

• Membantu menyederhanakan administrasi izin akses ke grup pengguna. Anda dapat memberikan atau menolak izin ke grup pengguna, alih-alih menerapkan izin tersebut ke setiap pengguna individu. Jika pengguna pindah ke organisasi lain, Anda dapat memindahkan pengguna tersebut ke grup AWS Identity and Access Management Identity center (AWS IAM Identity Center) yang berbeda. Pengguna kemudian secara otomatis menerima izin yang diperlukan untuk organisasi baru.

  Perhatikan bahwa Pusat Identitas IAM harus Wilayah AWS sama dengan domain.

  Untuk mengatur dengan IAM Identity Center, gunakan petunjuk berikut dari Panduan Pengguna Pusat AWS Identitas IAM:

  • Mulailah dengan mengaktifkan AWS IAM Identity Center.

  • Buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

  • Tambahkan grup ke direktori Pusat Identitas IAM Anda.

  • Tetapkan akses masuk tunggal ke pengguna dan grup.

  • Lihat alur kerja dasar untuk memulai tugas umum di Pusat Identitas IAM.

• Pengguna di IAM Identity Center dapat mengakses domain menggunakan Portal akses AWS URL yang dikirim melalui email kepada mereka. Email memberikan instruksi untuk membuat akun untuk mengakses domain. Untuk informasi selengkapnya, lihat Masuk ke Portal akses AWS.

  Sebagai administrator, Anda dapat menemukan Portal akses AWS URL dengan menavigasi ke Pusat Identitas IAM dan menemukan Portal akses AWS URL di bawah ringkasan Pengaturan.

• Domain Anda harus menggunakan autentikasi AWS Identity and Access Management (IAM) jika Anda ingin membatasi akses ke domain Anda secara eksklusif ke Amazon Virtual Private Clouds (VPCs) tertentu, titik akhir antarmuka, atau kumpulan alamat IP yang telah ditentukan sebelumnya. Fitur ini tidak didukung untuk domain yang menggunakan autentikasi IAM Identity Center. Anda masih dapat menggunakan IAM Identity Center untuk mengaktifkan kontrol identitas tenaga kerja terpusat. Untuk petunjuk tentang cara menerapkan pembatasan ini sambil menjaga Pusat Identitas IAM agar memberikan pengalaman masuk pengguna yang konsisten, lihat Akses aman ke Amazon SageMaker Studio Classic dengan IAM Identity Center dan aplikasi SAMP di blog pembelajaran mesin.AWS Perhatikan bahwa AWS SSO adalah IAM Identity Center di blog ini.

Login melalui IAM:

• Profil pengguna dapat mengakses domain melalui konsol SageMaker AI setelah masuk ke akun.

• Anda dapat membatasi akses ke domain Anda secara eksklusif ke Amazon Virtual Private Clouds (VPCs) tertentu, titik akhir antarmuka, atau kumpulan alamat IP yang telah ditentukan saat menggunakan autentikasi AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat Izinkan Akses Hanya dari Dalam VPC Anda.

Pengaturan untuk organisasi (pengaturan khusus)

Penyiapan khusus menggunakan konsol

Setelah memenuhi prasyarat diLengkapi prasyarat Amazon SageMaker AI, buka halaman Siapkan Domain SageMaker AI (pengaturan khusus) dan perluas bagian berikut untuk informasi tentang penyiapan.

Buka Setel Domain SageMaker AI dari konsol SageMaker AI

1. Buka konsol SageMaker AI.

2. Di panel navigasi kiri, pilih Konfigurasi admin untuk memperluas opsi.

3. Di bawah Konfigurasi Admin, pilih Domain.

4. Dari halaman Domain, pilih Buat domain.

5. Pada halaman Siapkan domain SageMaker AI, pilih Siapkan untuk organisasi.

6. Pilih Siapkan.

Setelah Anda membuka halaman Siapkan Domain SageMaker AI, gunakan petunjuk berikut:

Langkah 1: Detail domain

1. Untuk nama Domain, masukkan nama unik untuk domain Anda. Misalnya, ini bisa berupa nama proyek atau tim Anda.

2. Pilih Berikutnya.

Langkah 2: Pengguna dan Aktivitas ML

Pada langkah ini Anda mengatur metode otentikasi, pengguna, dan izin untuk domain Anda.

1. Di bawah Bagaimana Anda ingin mengakses Studio? , Anda dapat memilih salah satu dari dua opsi. Untuk informasi tentang metode otentikasi, lihatMetode otentikasi. Rincian tentang opsi disediakan sebagai berikut:

   • AWS Pusat Identitas:

     Di bawah Siapa yang akan menggunakan Studio? pilih AWS IAM Identity Center grup yang akan mengakses domain.

     Jika Anda memilih grup pengguna No Identity Center, Anda membuat domain tanpa pengguna. Anda dapat menambahkan grup Pusat Identitas IAM ke domain setelah pembuatan domain. Untuk informasi selengkapnya, lihat Edit pengaturan domain.

   • Login melalui IAM:

     Di bawah Siapa yang akan menggunakan Studio? pilih + Tambahkan pengguna, masukkan nama profil pengguna baru, dan pilih Tambah untuk membuat dan menambahkan nama profil pengguna.

     Anda dapat mengulangi proses ini untuk membuat beberapa profil pengguna.

2. Di bawah Siapa yang akan menggunakan Studio? pilih pengguna atau grup Pusat Identitas IAM, lalu pilih Pilih. Anda perlu menyiapkan Amazon SageMaker Studio dalam Wilayah yang sama di mana Pusat Identitas IAM Anda dikonfigurasi. Anda dapat mengubah Wilayah domain Anda dengan memilih Wilayah dari daftar tarik-turun di kanan atas konsol atau Anda dapat mengubah Wilayah Pusat Identitas IAM Anda dengan menavigasi ke portal akses.AWS

3. Di bawah Aktivitas ML apa yang mereka lakukan? Anda dapat menggunakan peran yang ada dengan memilih Gunakan peran yang ada atau Anda dapat membuat peran baru dengan memilih Buat peran baru dan memeriksa aktivitas ML yang ingin peran tersebut dapat diakses.

4. Saat memilih aktivitas ML, Anda mungkin perlu memenuhi persyaratan. Untuk memenuhi persyaratan, pilih Tambah dan lengkapi persyaratan.

5. Setelah semua persyaratan terpenuhi, pilih Berikutnya.

Langkah 3: Aplikasi

Pada langkah ini, Anda dapat mengonfigurasi aplikasi yang telah Anda aktifkan pada langkah sebelumnya. Untuk informasi lebih lanjut tentang aktivitas ML, lihatReferensi aktivitas ML.

Jika aplikasi belum diaktifkan, Anda menerima peringatan untuk aplikasi itu. Untuk mengaktifkan aplikasi yang belum diaktifkan, kembali ke langkah sebelumnya dengan memilih Kembali dan ikuti instruksi sebelumnya.

• Konfigurasi studio:

  Di bawah Studio, Anda memiliki opsi untuk memilih antara versi Studio yang lebih baru dan klasik sebagai pengalaman default Anda. Ini berarti memilih lingkungan ML yang berinteraksi dengan Anda saat Anda membuka Studio.

  • Studio mencakup beberapa lingkungan pengembangan terintegrasi (IDEs) dan aplikasi, termasuk Amazon SageMaker Studio Classic. Jika dipilih, Studio Classic IDE memiliki pengaturan default. Untuk informasi tentang pengaturan default, lihatPengaturan default.

    Untuk informasi tentang Studio, lihat SageMaker Studio Amazon.

  • Studio Classic termasuk IDE Jupyter. Jika dipilih, Anda dapat mengonfigurasi konfigurasi Studio Classic.

    Untuk informasi tentang Studio Classic, lihatAmazon SageMaker Studio Klasik.

• SageMaker Konfigurasi kanvas:

  Jika Anda mengaktifkan Amazon SageMaker Canvas, lihat Memulai dengan menggunakan Amazon SageMaker Canvas petunjuk dan detail konfigurasi untuk orientasi.

• Konfigurasi Studio Klasik:

  Jika Anda memilih Studio (disarankan) sebagai pengalaman default, Studio Classic IDE memiliki pengaturan default. Untuk informasi tentang pengaturan default, lihatPengaturan default.

  Jika Anda memilih Studio Classic sebagai pengalaman default, Anda dapat memilih untuk mengaktifkan atau menonaktifkan berbagi sumber daya notebook. Sumber daya notebook mencakup artefak seperti keluaran sel dan repositori Git. Untuk informasi selengkapnya tentang sumber daya Notebook, lihatBagikan dan Gunakan Notebook Amazon SageMaker Studio Classic.

  Jika Anda mengaktifkan berbagi sumber daya notebook:

  1. Di bawah lokasi S3 untuk sumber daya notebook yang dapat dibagikan, masukkan lokasi Amazon S3 Anda.

  2. Di bawah kunci Enkripsi - opsional, biarkan sebagai Tanpa Enkripsi Kustom atau pilih AWS KMS kunci yang ada atau pilih Masukkan ARN kunci KMS dan masukkan ARN kunci AWS KMS Anda.

  3. Di bawah Preferensi berbagi keluaran sel Notebook, pilih Izinkan pengguna berbagi keluaran sel atau Nonaktifkan berbagi keluaran sel.

• RStudiokonfigurasi:

  Untuk mengaktifkan RStudio, Anda memerlukan RStudio lisensi. Untuk mengaturnya, lihatDapatkan RStudio lisensi.

  1. Di bawah RStudio Workbench, verifikasi bahwa RStudio lisensi Anda terdeteksi secara otomatis. Untuk informasi lebih lanjut tentang mendapatkan RStudio lisensi dan mengaktifkannya dengan SageMaker AI, lihatDapatkan RStudio lisensi.

  2. Pilih jenis instans untuk meluncurkan RStudio Server Anda. Untuk informasi selengkapnya, lihat Jenis StudioServerPro contoh R.

  3. Di bawah Izin, buat peran Anda atau pilih peran yang ada. Peran harus memiliki kebijakan izin berikut. Kebijakan ini memungkinkan RStudio ServerPro aplikasi untuk mengakses sumber daya yang diperlukan. Ini juga memungkinkan Amazon SageMaker AI untuk secara otomatis meluncurkan RStudio ServerPro aplikasi ketika RStudio ServerPro aplikasi yang ada dalam Failed status Deleted atau. Untuk informasi tentang menambahkan izin ke peran, lihat Memodifikasi kebijakan izin peran (konsol).

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. Di bawah RStudio Connect, tambahkan URL untuk server RStudio Connect Anda. RStudio Connect adalah platform penerbitan untuk aplikasi Shiny, laporan R Markdown, dasbor, plot, dan banyak lagi. Saat Anda onboard ke RStudio SageMaker AI, server RStudio Connect tidak dibuat. Untuk informasi selengkapnya, lihat Tambahkan URL RStudio Connect.

  5. Di bawah RStudio Package Manager, tambahkan URL untuk RStudio Package Manager Anda. SageMaker AI membuat repositori paket default untuk Package Manager saat Anda onboard. RStudio Untuk informasi selengkapnya tentang RStudio Package Manager, lihatPerbarui URL RStudio Package Manager.

  6. Pilih Selanjutnya.

• Konfigurasi Editor Kode:

  Jika Anda mengaktifkan Editor Kode, lihat Editor Kode di Amazon SageMaker Studio ikhtisar dan detail konfigurasi.

Langkah 4: Sesuaikan UI Studio

Di bagian ini Anda dapat menyesuaikan aplikasi yang dapat dilihat dan alat pembelajaran mesin (ML) yang ditampilkan di Studio. Kustomisasi ini hanya menyembunyikan aplikasi dan alat ML di panel navigasi kiri di Studio. Untuk informasi tentang UI Studio, lihatIkhtisar Amazon SageMaker Studio UI.

Untuk informasi tentang aplikasi, lihatAplikasi yang didukung di Amazon SageMaker Studio.

Fitur kustomisasi Studio UI tidak tersedia di Studio Classic. Jika Anda ingin menetapkan Studio sebagai pengalaman default Anda, pilih Sebelumnya dan kembali ke langkah sebelumnya.

1. Pada halaman Customize Studio UI, Anda dapat menyembunyikan aplikasi dan alat ML yang ditampilkan di Studio dengan menonaktifkannya.

2. Setelah Anda meninjau perubahan Anda, pilih Berikutnya.

Langkah 5: Mengatur pengaturan jaringan

Pilih bagaimana Anda ingin Studio terhubung ke AWS layanan lain.

Anda dapat memilih untuk menonaktifkan akses internet ke Studio Anda dengan menentukan jenis akses jaringan hanya Virtual Private Cloud (VPC) Virtual Private Cloud (VPC). Jika Anda memilih opsi ini, Anda tidak dapat menjalankan notebook Studio kecuali VPC Anda memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau gateway Network Address Translation (NAT) dengan akses internet, dan grup keamanan Anda mengizinkan koneksi keluar. Untuk informasi lebih lanjut tentang Amazon VPCs, lihatPilih VPC Amazon.

Jika Anda memilih Virtual Private Cloud (VPC) Hanya langkah-langkah berikut yang diperlukan. Jika Anda memilih akses internet publik, dua langkah pertama berikut diperlukan.

1. Di bawah VPC, pilih ID VPC Amazon.

2. Di bawah Subnet, pilih satu atau lebih subnet. Jika Anda tidak memilih subnet apa pun, SageMaker AI menggunakan semua subnet di Amazon VPC. Kami menyarankan Anda menggunakan beberapa subnet yang tidak dibuat di Availability Zone yang dibatasi. Menggunakan subnet di Availability Zone yang dibatasi ini dapat mengakibatkan kesalahan kapasitas yang tidak mencukupi dan waktu pembuatan aplikasi yang lebih lama. Untuk informasi selengkapnya tentang Zona Ketersediaan terbatas, lihat Availability Zone.

3. Di bawah Grup keamanan, pilih satu atau beberapa subnet.

Jika hanya VPC yang dipilih, SageMaker AI secara otomatis menerapkan pengaturan grup keamanan yang ditentukan untuk domain ke semua ruang bersama yang dibuat di domain. Jika hanya Internet publik yang dipilih, SageMaker AI tidak menerapkan pengaturan grup keamanan ke ruang bersama yang dibuat di domain.

Langkah 6: Konfigurasikan penyimpanan

Anda memiliki opsi untuk mengenkripsi data Anda. Sistem file Amazon Elastic File System (Amazon EFS) dan Amazon Elastic Block Store (Amazon EBS) file system yang dibuat untuk Anda saat Anda membuat domain. Ukuran Amazon EBS digunakan oleh Editor Kode dan JupyterLab spasi.

Anda tidak dapat mengubah kunci enkripsi setelah mengenkripsi sistem file Amazon EFS dan Amazon EBS Anda. Untuk mengenkripsi sistem file Amazon EFS dan Amazon EBS, Anda dapat menggunakan konfigurasi berikut.

• Di bawah kunci Enkripsi - opsional, biarkan sebagai Tanpa Enkripsi Kustom atau pilih kunci KMS yang ada atau pilih Masukkan ARN kunci KMS dan masukkan ARN kunci KMS Anda.

• Di bawah Ukuran ruang default - opsional, masukkan ukuran ruang default.

• Di bawah Ukuran ruang maksimum - opsional, masukkan ukuran ruang maksimum.

Langkah 7: Tinjau dan buat

Tinjau pengaturan domain Anda. Jika Anda perlu mengubah pengaturan, pilih Edit di sebelah langkah yang relevan. Setelah Anda mengonfirmasi bahwa pengaturan domain Anda akurat, pilih Kirim dan domain dibuat untuk Anda. Proses ini mungkin memerlukan waktu beberapa menit.

Penyiapan khusus menggunakan AWS CLI

Bagian berikut memberikan AWS CLI petunjuk untuk pengaturan kustom domain Anda menggunakan Pusat Identitas IAM atau metode autentikasi IAM.

Setelah memenuhi prasyarat, termasuk menyiapkan AWS CLI kredensil Anda, diLengkapi prasyarat Amazon SageMaker AI, gunakan langkah-langkah berikut.

1. Buat peran eksekusi yang digunakan untuk membuat domain dan melampirkan AmazonSageMakerFullAccesskebijakan. Anda juga dapat menggunakan peran yang ada, setidaknya, memiliki kebijakan kepercayaan terlampir yang memberikan izin SageMaker AI untuk mengambil peran tersebut. Untuk informasi selengkapnya, lihat Cara menggunakan peran eksekusi SageMaker AI.

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. Dapatkan Amazon Virtual Private Cloud (Amazon VPC) default dari akun Anda.

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. Dapatkan daftar subnet di Amazon VPC default.

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. Buat domain dengan meneruskan ID VPC Amazon default, subnet, dan peran eksekusi ARN. Anda juga harus melewati gambar SageMaker AI ARN. Untuk informasi tentang JupyterLab versi yang tersedia ARNs, lihatMengatur JupyterLab versi default.

   Untukauthentication-mode, gunakan SSO untuk autentikasi IAM Identity Center atau IAM untuk autentikasi IAM.

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

   Anda dapat menggunakan AWS CLI untuk menyesuaikan aplikasi dan alat ML yang ditampilkan di Studio untuk domain, menggunakan StudioWebPortalSettings. Gunakan HiddenAppTypes untuk menyembunyikan aplikasi dan HiddenMlTools menyembunyikan alat ML. Untuk informasi selengkapnya tentang menyesuaikan navigasi kiri UI Studio, lihatSembunyikan alat dan aplikasi pembelajaran mesin di Amazon SageMaker Studio UI. Fitur ini tidak tersedia untuk Studio Classic.

5. Verifikasi bahwa domain telah dibuat.

   aws --region region sagemaker list-domains

Penyiapan khusus menggunakan AWS CloudFormation

Untuk informasi tentang membuat domain menggunakan AWS CloudFormation, lihat AWS::SageMaker::Domaindi Panduan AWS CloudFormation Pengguna.

Untuk contoh AWS CloudFormation templat yang dapat Anda gunakan untuk menyiapkan domain, lihat Membuat domain Amazon SageMaker AI menggunakan AWS CloudFormation di aws-samples GitHub repositori.

Setelah domain diatur, pengguna administratif dapat melihat dan mengedit domain. Untuk informasi selengkapnya, lihat Lihat domain dan Edit pengaturan domain.

Akses domain setelah onboarding

Pengguna dapat mengakses SageMaker AI menggunakan:

• URL login jika domain disiapkan menggunakan autentikasi Pusat Identitas IAM. Untuk selengkapnya, lihat Cara masuk ke portal pengguna.

• Konsol SageMaker AI.