Onboarding personalizzato sul SageMaker dominio Amazon tramite IAM - Amazon SageMaker
Onboarding utilizzando la consoleA bordo utilizzando il AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Onboarding personalizzato sul SageMaker dominio Amazon tramite IAM

Importante

Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare SageMaker risorse Amazon devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L'autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic taggano automaticamente tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'aggiunta di tag, si possono verificare errori AccessDenied "" durante il tentativo di creare risorse. Per ulteriori informazioni, consulta Fornire le autorizzazioni per l' SageMakeretichettatura delle risorse.

AWS Policy gestite per Amazon SageMakerche danno i permessi per creare SageMaker risorse includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.

Questo argomento descrive come effettuare l'onboarding su un SageMaker dominio Amazon utilizzando la procedura Set up for organizations per l'autenticazione AWS Identity and Access Management (IAM) dalla SageMaker console o dal AWS CLI. Per eseguire l'onboarding in modo più veloce utilizzando IAM, consulta Onboarding rapido.

Per informazioni su come effettuare l'onboard utilizzando AWS IAM Identity Center (IAM Identity Center), consulta. Onboarding personalizzato tramite IAM Identity Center

Onboarding utilizzando la console

Dopo aver soddisfatto i prerequisiti (creazione di un AWS account, creazione di un utente amministrativo e configurazione del tuo AWS CLI) inConfigurazione dei SageMaker prerequisiti Amazon, segui i passaggi.

Per effettuare l'onboarding del dominio utilizzando IAM

  1. Apri la SageMaker console.

  2. Nel riquadro di navigazione a sinistra, scegli Configurazioni admin.

  3. In Configurazioni di amministrazione, scegli domini.

  4. Dalla pagina dei domini, scegli Crea dominio.

  5. Nella pagina Configura SageMaker dominio, scegli Configura per le organizzazioni.

  6. Selezionare Configura.

Passaggio 1: dettagli del dominio

  1. Per Nome di dominio, inserisci un nome univoco per il tuo dominio. Ad esempio, può essere il nome del progetto o del team.

  2. Seleziona Successivo.

Fase 2: Utenti e attività di machine learning

Seleziona il gruppo o crea gli utenti per il dominio e concedi le autorizzazioni alle attività di machine learning a cui avranno accesso.

In queste istruzioni di configurazione, utilizziamo l'opzione Accedi tramite IAM.

Il ruolo IAM che configuri in questo passaggio viene assegnato a tutti gli utenti aggiunti in questo passaggio.

  1. In Come vuoi accedere a Studio? , scegli Accedi tramite IAM.

  2. In Chi utilizzerà Studio? aggiungi i nomi dei profili utente. Per aggiungere un nome di profilo utente, scegli Aggiungi utente, inserisci un nome di profilo utente, quindi scegli Seleziona.

  3. In Quali attività di machine learning svolgono? puoi usare un ruolo esistente scegliendo Usa un ruolo esistente oppure puoi creare un nuovo ruolo scegliendo Crea un nuovo ruolo e controllando le attività di machine learning a cui desideri che il ruolo abbia accesso. Puoi selezionare al massimo 10 attività di machine learning.

  4. Durante la selezione delle attività di machine learning, potrebbe essere necessario soddisfare dei requisiti. Per soddisfare un requisito, scegli Aggiungi e completa il requisito.

  5. Dopo aver soddisfatto tutti i requisiti, scegli Avanti.

Fase 3: Applicazioni

In questo passaggio, puoi configurare le applicazioni che hai abilitato nel passaggio precedente. Per ulteriori informazioni sulle attività di machine learning, vedereRiferimento all'attività ML.

Se l'applicazione non è stata abilitata, si riceve un avviso per quell'applicazione. Per abilitare un'applicazione che non è stata abilitata, torna al passaggio precedente scegliendo Indietro e segui le istruzioni precedenti.

Configurazione dello studio:

In Studio, hai la possibilità di scegliere tra la versione nuova e quella classica di Studio come esperienza predefinita. Ciò significa scegliere con quale ambiente ML interagirai dopo aver aperto Studio.

  • Studio - New include più ambienti di sviluppo integrati (IDE) e applicazioni, tra cui Amazon SageMaker Studio Classic. Se selezionato, l'IDE di Studio Classic ha impostazioni predefinite. Per informazioni sulle impostazioni predefinite, vedereImpostazioni predefinite.

  • Studio Classic include l'IDE Jupyter. Se scelto, puoi configurare la tua configurazione di Studio Classic.

    Per informazioni su Studio Classic, consultaAmazon SageMaker Studio Classic.

SageMaker Configurazione Canvas:

Se hai abilitato Amazon SageMaker Canvas, consulta Guida introduttiva all'utilizzo di Amazon SageMaker Canvas le istruzioni e i dettagli di configurazione per l'onboarding.

Configurazione Studio Classic:

Se hai scelto Studio - Nuovo (consigliato) come esperienza predefinita, l'IDE di Studio Classic ha impostazioni predefinite. Per informazioni sulle impostazioni predefinite, consultaImpostazioni predefinite.

Se hai scelto Studio Classic come esperienza predefinita, puoi scegliere di abilitare o disabilitare la condivisione delle risorse del notebook. Le risorse del notebook includono artefatti come l'output delle celle e gli archivi Git. Per ulteriori informazioni sulle risorse di Notebook, vedere. Condividi e usa un notebook Amazon SageMaker Studio Classic

Se hai abilitato la condivisione delle risorse del notebook:

  1. In Posizione S3 per risorse notebook condivisibili, inserisci la tua posizione Amazon S3.

  2. In Chiave di crittografia (opzionale), lascia l'opzione Nessuna crittografia personalizzata o scegli una AWS KMS chiave esistente o scegli Inserisci una chiave KMS (ARN) e inserisci l'ARN della AWS KMS tua chiave.

  3. Nella preferenza di condivisione dell'output delle celle del notebook, scegli Consenti agli utenti di condividere l'output delle celle o Disabilita la condivisione dell'output delle celle.

Configurazione di RStudio:

Per abilitare RStudio è necessaria una licenza RStudio. Per configurarlo, vedi. Licenza RStudio

  1. In RStudio Workbench, verifica che la tua licenza RStudio venga rilevata automaticamente. Per ulteriori informazioni su come ottenere una licenza RStudio e attivarla con SageMaker, consulta. Licenza RStudio

  2. Seleziona un tipo di istanza su cui avviare RStudio Server. Per ulteriori informazioni, consulta Tipo di StudioServerPro istanza R.

  3. Alla voce Autorizzazione, crea il tuo ruolo o seleziona un ruolo esistente. Il ruolo deve disporre delle seguenti policy di autorizzazioni. Questa politica consente all'StudioServerPro applicazione R di accedere alle risorse necessarie. Consente inoltre SageMaker ad Amazon di avviare automaticamente un'StudioServerPro app R quando l'StudioServerProapplicazione R esistente è in Failed stato Deleted or. Per ulteriori informazioni sull’aggiunta di autorizzazioni per un ruolo, consulta Modifica di una policy di autorizzazioni del ruolo (console).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

  4. Alla voce RStudio Connect, aggiungi l'URL del tuo server RStudio Connect. RStudio Connect è una piattaforma di pubblicazione per applicazioni Shiny, report R Markdown, pannelli di controllo, grafici e altro ancora. Quando si effettua l'onboarding su RStudio SageMaker, non viene creato un server RStudio Connect. Per ulteriori informazioni, consulta URL di RStudio Connect.

  5. In RStudio Package Manager, aggiungi l'URL per il tuo RStudio Package Manager. SageMaker crea un repository di pacchetti predefinito per il Package Manager quando si effettua l'onboard di RStudio. Per ulteriori informazioni su RStudio Package Manager, consulta Gestore pacchetti RStudio.

  6. Seleziona Avanti.

Configurazione del Code Editor:

Se hai abilitato Code Editor, consulta Code Editor per una panoramica e i dettagli di configurazione.

Fase 4: Rete

Scegli come vuoi che Studio si connetta ad altri AWS servizi.

Puoi scegliere di disabilitare l'accesso a Internet al tuo Studio specificando il tipo di accesso alla rete solo tramite Virtual Private Cloud (VPC). Se scegli questa opzione, non puoi eseguire un notebook Studio a meno che il tuo VPC non disponga di un endpoint di interfaccia con l' SageMaker API e il runtime o di un gateway NAT (Network Address Translation) con accesso a Internet e i tuoi gruppi di sicurezza consentano connessioni in uscita. Per ulteriori informazioni su Amazon VPC, consultaScelta di un Amazon VPC.

Se scegli Virtual Private Cloud (VPC) Sono necessari solo i seguenti passaggi. Se scegli Accesso pubblico a Internet, sono necessari i primi due dei seguenti passaggi.

  1. In VPC, scegli l'ID Amazon VPC.

  2. In Subnet, scegli una o più sottoreti. Se non scegli alcuna sottorete, SageMaker utilizza tutte le sottoreti di Amazon VPC. Ti consigliamo di utilizzare più sottoreti che non siano state create in aree dalla disponibilità limitata. L'utilizzo di sottoreti in aree dalla disponibilità limitata può generare errori di capacità insufficienti e tempi di creazione delle applicazioni più lunghi. Per ulteriori informazioni sulle aree di disponibilità, consulta Aree di disponibilità.

  3. In Gruppi di sicurezza, scegli una o più sottoreti.

Se è selezionato solo VPC, applica SageMaker automaticamente le impostazioni del gruppo di sicurezza definite per il dominio a tutti gli spazi condivisi creati nel dominio. Se è selezionato Solo Internet pubblico, SageMaker non applica le impostazioni del gruppo di sicurezza agli spazi condivisi creati nel dominio.

Fase 5: Archiviazione

Hai la possibilità di crittografare i tuoi dati. I file system Amazon Elastic File System (Amazon EFS) e Amazon Elastic Block Store (Amazon EBS) che vengono creati per te quando crei un dominio. Le dimensioni di Amazon EBS vengono utilizzate sia da Code Editor che dagli JupyterLab spazi.

Non è possibile modificare la chiave di crittografia dopo aver crittografato i file system Amazon EFS e Amazon EBS. Per crittografare i tuoi file system Amazon EFS e Amazon EBS, puoi utilizzare le seguenti configurazioni.

  • In Chiave di crittografia (opzionale), lascia l'opzione Nessuna crittografia personalizzata o scegli una chiave KMS esistente o scegli Inserisci una chiave KMS ARN e inserisci l'ARN della tua chiave KMS.

  • In Dimensione dello spazio predefinita - opzionale, inserisci la dimensione dello spazio predefinita.

  • In Dimensione massima dello spazio - opzionale, inserisci la dimensione massima dello spazio.

Fase 6: Rivedi e crea

Rivedi le impostazioni del tuo dominio. Se devi modificare le impostazioni, scegli Modifica accanto al passaggio pertinente. Dopo aver confermato che le impostazioni del dominio sono corrette, scegli Invia e il dominio verrà creato per te. Questo processo può richiedere alcuni minuti.

A bordo utilizzando il AWS CLI

Dopo aver soddisfatto i prerequisiti (creazione di un AWS account, creazione di un utente amministrativo e configurazione del proprio AWS CLI) inConfigurazione dei SageMaker prerequisiti Amazon, utilizza i seguenti comandi per effettuare l'onboarding a un dominio utilizzando l'autenticazione tramite IAM di. AWS CLI

  1. Crea un ruolo di esecuzione che viene utilizzato per creare un dominio e allegare la policy. AmazonSageMakerFullAccess Puoi anche utilizzare un ruolo esistente a cui è associata almeno una politica di fiducia che concede l' SageMaker autorizzazione ad assumere il ruolo. Per ulteriori informazioni, consulta SageMaker Ruoli.

    aws iam create-role --role-name execution-role-name
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Ottieni Amazon Virtual Private Cloud (Amazon VPC) predefinito per il tuo account.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Ottieni l'elenco delle sottoreti nell'Amazon VPC predefinito.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Crea un dominio passando l'ID Amazon VPC predefinito, le sottoreti e l'ARN del ruolo di esecuzione. È inoltre necessario passare SageMaker l'ARN di un'immagine. Per informazioni sulla JupyterLab versione disponibile ARN, vedere. Impostazione di una JupyterLab versione predefinita

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode IAM --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

  5. Verifica che il dominio sia stato creato.

    aws --region region sagemaker  list-domains