Gunakan pengaturan khusus untuk Amazon SageMaker

Pengaturan untuk organisasi (penyiapan khusus) memandu Anda melalui penyiapan lanjutan untuk SageMaker domain Amazon Anda. Opsi ini memberikan informasi dan rekomendasi untuk membantu Anda memahami dan mengontrol semua aspek konfigurasi akun, termasuk izin, integrasi, dan enkripsi. Gunakan opsi ini jika Anda ingin menyiapkan domain khusus. Untuk informasi tentang domain, lihatIkhtisar SageMaker domain Amazon.

Metode otentikasi

Sebelum Anda mengatur domain, pertimbangkan metode otentikasi bagi pengguna Anda untuk mengakses domain.

AWS Pusat Identitas:

• Membantu menyederhanakan administrasi izin akses ke grup pengguna. Anda dapat memberikan atau menolak izin ke grup pengguna, alih-alih menerapkan izin tersebut ke setiap pengguna individu. Jika pengguna pindah ke organisasi lain, Anda dapat memindahkan pengguna tersebut ke grup AWS Identity and Access Management Identity center (AWS IAM Identity Center) yang berbeda. Pengguna kemudian secara otomatis menerima izin yang diperlukan untuk organisasi baru.

  Perhatikan bahwa Pusat IAM Identitas harus Wilayah AWS sama dengan domain.

  Untuk mengatur dengan Pusat IAM Identitas, gunakan petunjuk berikut dari Panduan Pengguna Pusat AWS IAM Identitas:

  • Mulailah dengan mengaktifkan AWS IAM Identity Center.

  • Buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

  • Tambahkan grup ke direktori Pusat IAM Identitas Anda.

  • Tetapkan akses masuk tunggal ke pengguna dan grup.

  • Lihat alur kerja dasar untuk memulai tugas umum di Pusat IAM Identitas.

• Pengguna di Pusat IAM Identitas dapat mengakses domain menggunakan email Portal akses AWS URL kepada mereka. Email memberikan instruksi untuk membuat akun untuk mengakses domain. Untuk informasi selengkapnya, lihat Masuk ke Portal akses AWS.

  Sebagai administrator, Anda dapat menemukannya Portal akses AWS URL dengan menavigasi ke Pusat IAM Identitas dan menemukan ringkasan Pengaturan di Portal akses AWS URLbawah.

• Domain Anda harus menggunakan AWS Identity and Access Management (IAM) otentikasi jika Anda ingin membatasi akses ke domain Anda secara eksklusif ke Amazon Virtual Private Clouds (VPCs) tertentu, titik akhir antarmuka, atau kumpulan alamat IP yang telah ditentukan sebelumnya. Fitur ini tidak didukung untuk domain yang menggunakan otentikasi Pusat IAM Identitas. Anda masih dapat menggunakan Pusat IAM Identitas untuk mengaktifkan kontrol identitas tenaga kerja terpusat. Untuk petunjuk tentang cara menerapkan pembatasan ini sambil menjaga Pusat IAM Identitas agar memberikan pengalaman masuk pengguna yang konsisten, lihat Akses aman ke Amazon SageMaker Studio Classic dengan Pusat IAM Identitas dan SAML aplikasi di blog pembelajaran AWS mesin. Perhatikan bahwa AWS SSO adalah Pusat IAM Identitas di blog ini.

Login melalui IAM:

• Profil pengguna dapat mengakses domain melalui SageMaker konsol setelah masuk ke akun.

• Anda dapat membatasi akses ke domain Anda secara eksklusif ke Amazon Virtual Private Clouds (VPCs) tertentu, titik akhir antarmuka, atau kumpulan alamat IP yang telah ditentukan saat menggunakan AWS Identity and Access Management () otentikasi. IAM Untuk informasi selengkapnya, lihat Izinkan Akses Hanya dari Dalam VPC.

Pengaturan untuk organisasi (pengaturan khusus)

Penyiapan khusus menggunakan konsol

Setelah memenuhi prasyarat diLengkapi SageMaker prasyarat Amazon, buka halaman Siapkan SageMaker Domain (pengaturan khusus) dan perluas bagian berikut untuk informasi tentang penyiapan.

Buka Setel SageMaker Domain dari SageMaker konsol

1. Buka SageMaker konsol.

2. Di panel navigasi kiri, pilih Konfigurasi admin untuk memperluas opsi.

3. Di bawah konfigurasi Admin, pilih Domain.

4. Dari halaman Domain, pilih Buat domain.

5. Pada halaman Siapkan SageMaker domain, pilih Siapkan untuk organisasi.

6. Pilih Siapkan.

Setelah Anda membuka halaman Siapkan SageMaker Domain, gunakan petunjuk berikut:

Langkah 1: Detail domain

1. Untuk nama Domain, masukkan nama unik untuk domain Anda. Misalnya, ini bisa berupa nama proyek atau tim Anda.

2. Pilih Berikutnya.

Langkah 2: Pengguna dan Aktivitas ML

Pada langkah ini Anda mengatur metode otentikasi, pengguna, dan izin untuk domain Anda.

1. Di bawah Bagaimana Anda ingin mengakses Studio? , Anda dapat memilih salah satu dari dua opsi. Untuk informasi tentang metode otentikasi, lihatMetode otentikasi. Rincian tentang opsi disediakan sebagai berikut:

   • AWS Pusat Identitas:

     Di bawah Siapa yang akan menggunakan Studio? pilih AWS IAM Identity Center grup yang akan mengakses domain.

     Jika Anda memilih grup pengguna No Identity Center, Anda membuat domain tanpa pengguna. Anda dapat menambahkan grup Pusat IAM Identitas ke domain setelah pembuatan domain. Untuk informasi selengkapnya, lihat Edit pengaturan domain.

   • Login melalui IAM:

     Di bawah Siapa yang akan menggunakan Studio? pilih + Tambahkan pengguna, masukkan nama profil pengguna baru, dan pilih Tambah untuk membuat dan menambahkan nama profil pengguna.

     Anda dapat mengulangi proses ini untuk membuat beberapa profil pengguna.

2. Di bawah Siapa yang akan menggunakan Studio? pilih pengguna atau grup Pusat IAM Identitas, lalu pilih Pilih. Anda perlu menyiapkan Amazon SageMaker Studio dalam Wilayah yang sama di mana Pusat IAM Identitas Anda dikonfigurasi. Anda dapat mengubah Wilayah domain Anda dengan memilih Wilayah dari daftar tarik-turun di kanan atas konsol atau Anda dapat mengubah Wilayah Pusat IAM Identitas Anda dengan menavigasi ke portal akses.AWS

3. Di bawah Aktivitas ML apa yang mereka lakukan? Anda dapat menggunakan peran yang ada dengan memilih Gunakan peran yang ada atau Anda dapat membuat peran baru dengan memilih Buat peran baru dan memeriksa aktivitas ML yang ingin peran tersebut dapat diakses.

4. Saat memilih aktivitas ML, Anda mungkin perlu memenuhi persyaratan. Untuk memenuhi persyaratan, pilih Tambah dan lengkapi persyaratan.

5. Setelah semua persyaratan terpenuhi, pilih Berikutnya.

Langkah 3: Aplikasi

Pada langkah ini, Anda dapat mengonfigurasi aplikasi yang telah Anda aktifkan pada langkah sebelumnya. Untuk informasi lebih lanjut tentang aktivitas ML, lihatReferensi aktivitas ML.

Jika aplikasi belum diaktifkan, Anda menerima peringatan untuk aplikasi itu. Untuk mengaktifkan aplikasi yang belum diaktifkan, kembali ke langkah sebelumnya dengan memilih Kembali dan ikuti instruksi sebelumnya.

• Konfigurasi studio:

  Di bawah Studio, Anda memiliki opsi untuk memilih antara versi Studio yang lebih baru dan klasik sebagai pengalaman default Anda. Ini berarti memilih lingkungan ML yang berinteraksi dengan Anda saat Anda membuka Studio.

  • Studio mencakup beberapa lingkungan pengembangan terintegrasi (IDEs) dan aplikasi, termasuk Amazon SageMaker Studio Classic. Jika dipilih, Studio Classic IDE memiliki pengaturan default. Untuk informasi tentang pengaturan default, lihatPengaturan default.

    Untuk informasi tentang Studio, lihat SageMaker Studio Amazon.

  • Studio Classic termasuk Jupyter. IDE Jika dipilih, Anda dapat mengonfigurasi konfigurasi Studio Classic.

    Untuk informasi tentang Studio Classic, lihatAmazon SageMaker Studio Klasik.

• SageMaker Konfigurasi kanvas:

  Jika Anda mengaktifkan Amazon SageMaker Canvas, lihat Memulai dengan menggunakan Amazon SageMaker Canvas petunjuk dan detail konfigurasi untuk orientasi.

• Konfigurasi Studio Klasik:

  Jika Anda memilih Studio (disarankan) sebagai pengalaman default, Studio Classic IDE memiliki pengaturan default. Untuk informasi tentang pengaturan default, lihatPengaturan default.

  Jika Anda memilih Studio Classic sebagai pengalaman default, Anda dapat memilih untuk mengaktifkan atau menonaktifkan berbagi sumber daya notebook. Sumber daya notebook mencakup artefak seperti keluaran sel dan repositori Git. Untuk informasi selengkapnya tentang sumber daya Notebook, lihatBagikan dan Gunakan Notebook Amazon SageMaker Studio Classic.

  Jika Anda mengaktifkan berbagi sumber daya notebook:

  1. Di bawah lokasi S3 untuk sumber daya notebook yang dapat dibagikan, masukkan lokasi Amazon S3 Anda.

  2. Di bawah kunci Enkripsi - opsional, biarkan sebagai Tanpa Enkripsi Kustom atau pilih AWS KMS kunci yang ada atau pilih Masukkan KMS kunci ARN dan masukkan AWS KMS kunci AndaARN.

  3. Di bawah Preferensi berbagi keluaran sel Notebook, pilih Izinkan pengguna berbagi keluaran sel atau Nonaktifkan berbagi keluaran sel.

• RStudiokonfigurasi:

  Untuk mengaktifkanRStudio, Anda memerlukan RStudio lisensi. Untuk mengaturnya, lihatDapatkan RStudio lisensi.

  1. Di bawah RStudioWorkbench, verifikasi bahwa RStudio lisensi Anda terdeteksi secara otomatis. Untuk informasi selengkapnya tentang mendapatkan RStudio lisensi dan mengaktifkannya SageMaker, lihatDapatkan RStudio lisensi.

  2. Pilih jenis instans untuk meluncurkan RStudio Server Anda. Untuk informasi selengkapnya, lihat Jenis StudioServerPro contoh R.

  3. Di bawah Izin, buat peran Anda atau pilih peran yang ada. Peran harus memiliki kebijakan izin berikut. Kebijakan ini memungkinkan RStudioServerPro aplikasi untuk mengakses sumber daya yang diperlukan. Hal ini juga memungkinkan Amazon SageMaker untuk secara otomatis meluncurkan RStudioServerPro aplikasi ketika RStudioServerPro aplikasi yang ada dalam Failed status Deleted atau. Untuk informasi tentang menambahkan izin ke peran, lihat Memodifikasi kebijakan izin peran (konsol).

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. Di bawah RStudioConnect, tambahkan URL untuk server RStudio Connect Anda. RStudioConnect adalah platform penerbitan untuk aplikasi Shiny, laporan R Markdown, dasbor, plot, dan banyak lagi. Saat Anda onboard ke RStudio on SageMaker, server RStudio Connect tidak dibuat. Untuk informasi selengkapnya, lihat Tambahkan RStudio Connect URL.

  5. Di bawah RStudioPackage Manager, tambahkan URL untuk RStudio Package Manager Anda. SageMaker membuat repositori paket default untuk Package Manager saat Anda onboard. RStudio Untuk informasi selengkapnya tentang RStudio Package Manager, lihatPerbarui RStudio Package Manager URL.

  6. Pilih Selanjutnya.

• Konfigurasi Editor Kode:

  Jika Anda mengaktifkan Editor Kode, lihat Editor Kode di Amazon SageMaker Studio ikhtisar dan detail konfigurasi.

Langkah 4: Sesuaikan UI Studio

Di bagian ini Anda dapat menyesuaikan aplikasi yang dapat dilihat dan alat pembelajaran mesin (ML) yang ditampilkan di Studio. Kustomisasi ini hanya menyembunyikan aplikasi dan alat ML di panel navigasi kiri di Studio. Untuk informasi tentang UI Studio, lihatIkhtisar Amazon SageMaker Studio UI.

Untuk informasi tentang aplikasi, lihatAplikasi yang didukung di Amazon SageMaker Studio.

Fitur kustomisasi Studio UI tidak tersedia di Studio Classic. Jika Anda ingin menetapkan Studio sebagai pengalaman default Anda, pilih Sebelumnya dan kembali ke langkah sebelumnya.

1. Pada halaman Customize Studio UI, Anda dapat menyembunyikan aplikasi dan alat ML yang ditampilkan di Studio dengan menonaktifkannya.

2. Setelah Anda meninjau perubahan Anda, pilih Berikutnya.

Langkah 5: Mengatur pengaturan jaringan

Pilih bagaimana Anda ingin Studio terhubung ke AWS layanan lain.

Anda dapat memilih untuk menonaktifkan akses internet ke Studio Anda dengan menentukan menggunakan Virtual Private Cloud (VPC) Hanya jenis akses jaringan. Jika Anda memilih opsi ini, Anda tidak dapat menjalankan notebook Studio kecuali Anda VPC memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau gateway Network Address Translation (NAT) dengan akses internet, dan grup keamanan Anda mengizinkan koneksi keluar. Untuk informasi lebih lanjut tentang AmazonVPCs, lihatPilih Amazon VPC.

Jika Anda memilih Virtual Private Cloud (VPC) Hanya langkah-langkah berikut yang diperlukan. Jika Anda memilih akses internet publik, dua langkah pertama berikut diperlukan.

1. Di bawah VPC, pilih VPC ID Amazon.

2. Di bawah Subnet, pilih satu atau lebih subnet. Jika Anda tidak memilih subnet apa pun, SageMaker gunakan semua subnet di Amazon. VPC Sebaiknya gunakan beberapa subnet yang tidak dibuat di Availability Zone yang dibatasi. Menggunakan subnet di Availability Zone yang dibatasi ini dapat mengakibatkan kesalahan kapasitas yang tidak mencukupi dan waktu pembuatan aplikasi yang lebih lama. Untuk informasi selengkapnya tentang Availability Zone terbatas, lihat Availability Zone.

3. Di bawah Grup keamanan, pilih satu atau beberapa subnet.

Jika VPChanya dipilih, SageMaker secara otomatis menerapkan pengaturan grup keamanan yang ditentukan untuk domain ke semua spasi bersama yang dibuat di domain. Jika hanya Internet publik yang dipilih, SageMaker tidak menerapkan pengaturan grup keamanan ke spasi bersama yang dibuat di domain.

Langkah 6: Konfigurasikan penyimpanan

Anda memiliki opsi untuk mengenkripsi data Anda. Sistem file Amazon Elastic File System (AmazonEFS) dan Amazon Elastic Block Store (AmazonEBS) yang dibuat untuk Anda saat Anda membuat domain. EBSUkuran Amazon digunakan oleh Editor Kode dan JupyterLab spasi.

Anda tidak dapat mengubah kunci enkripsi setelah mengenkripsi sistem EBS file Amazon EFS dan Amazon Anda. Untuk mengenkripsi sistem EBS file Amazon EFS dan Amazon Anda, Anda dapat menggunakan konfigurasi berikut.

• Di bawah Kunci enkripsi - opsional, biarkan sebagai Tanpa Enkripsi Kustom atau pilih KMS kunci yang ada atau pilih Masukkan KMS kunci ARN dan masukkan KMS kunci Anda. ARN

• Di bawah Ukuran ruang default - opsional, masukkan ukuran ruang default.

• Di bawah Ukuran ruang maksimum - opsional, masukkan ukuran ruang maksimum.

Langkah 7: Tinjau dan buat

Tinjau pengaturan domain Anda. Jika Anda perlu mengubah pengaturan, pilih Edit di sebelah langkah yang relevan. Setelah Anda mengonfirmasi bahwa pengaturan domain Anda akurat, pilih Kirim dan domain dibuat untuk Anda. Proses ini mungkin memerlukan waktu beberapa menit.

Pengaturan khusus menggunakan AWS CLI

Bagian berikut memberikan AWS CLI petunjuk untuk pengaturan kustom domain Anda menggunakan Pusat IAM Identitas atau metode IAM otentikasi.

Setelah memenuhi prasyarat, termasuk menyiapkan AWS CLI kredensil Anda, diLengkapi SageMaker prasyarat Amazon, gunakan langkah-langkah berikut.

1. Buat peran eksekusi yang digunakan untuk membuat domain dan melampirkan AmazonSageMakerFullAccesskebijakan. Anda juga dapat menggunakan peran yang ada, setidaknya, memiliki kebijakan kepercayaan terlampir yang memberikan SageMaker izin untuk mengambil peran tersebut. Untuk informasi selengkapnya, lihat Cara menggunakan peran SageMaker eksekusi.

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. Dapatkan Amazon Virtual Private Cloud (AmazonVPC) default dari akun Anda.

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. Dapatkan daftar subnet di Amazon VPC default.

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. Buat domain dengan meneruskan VPC ID Amazon default, subnet, dan peran ARN eksekusi. Anda juga harus melewati SageMaker gambarARN. Untuk informasi tentang JupyterLab versi yang tersediaARNs, lihatMenyetel JupyterLab versi default.

   Untukauthentication-mode, gunakan SSO untuk otentikasi Pusat IAM Identitas atau IAM untuk IAM otentikasi.

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

   Anda dapat menggunakan AWS CLI untuk menyesuaikan aplikasi dan alat ML yang ditampilkan di Studio untuk domain, menggunakan StudioWebPortalSettings. Gunakan HiddenAppTypes untuk menyembunyikan aplikasi dan HiddenMlTools menyembunyikan alat ML. Untuk informasi selengkapnya tentang menyesuaikan navigasi kiri UI Studio, lihatSembunyikan alat dan aplikasi pembelajaran mesin di Amazon SageMaker Studio UI. Fitur ini tidak tersedia untuk Studio Classic.

5. Verifikasi bahwa domain telah dibuat.

   aws --region region sagemaker list-domains

Pengaturan khusus menggunakan AWS CloudFormation

Untuk informasi tentang membuat domain menggunakan AWS CloudFormation, lihat AWS::SageMaker: :Domain di Panduan AWS CloudFormation Pengguna.

Untuk contoh AWS CloudFormation templat yang dapat Anda gunakan untuk menyiapkan domain, lihat Membuat SageMaker domain Amazon menggunakan AWS CloudFormation dalam aws-samples GitHub repositori.

Setelah domain diatur, pengguna administratif dapat melihat dan mengedit domain. Untuk informasi selengkapnya, lihat Lihat domain dan Edit pengaturan domain.

Akses domain setelah onboarding

Pengguna dapat mengakses SageMaker menggunakan:

• Masuk URL jika domain disiapkan menggunakan autentikasi Pusat IAM Identitas. Untuk selengkapnya, lihat Cara masuk ke portal pengguna.

• SageMaker Konsol.