Domini multipli e spazi condivisi - SageMaker Best practice per l'amministrazione di Studio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Domini multipli e spazi condivisi

Amazon SageMaker ora supporta la creazione di più SageMaker domini in un unico dominio Regione AWS per ogni account. Ogni dominio può avere le proprie impostazioni di dominio, come la modalità di autenticazione e le impostazioni di rete, come VPC e sottoreti. Un profilo utente non può essere condiviso tra domini. Se un utente umano fa parte di più team separati da domini, crea un profilo utente per l'utente in ogni dominio. Consulta la panoramica sui domini multipli per ulteriori informazioni sul riempimento dei tag per i domini esistenti.

Ogni dominio configurato in modalità di autenticazione IAM può utilizzare lo spazio condiviso per una collaborazione quasi in tempo reale tra gli utenti. Con uno spazio condiviso, gli utenti possono accedere a una directory Amazon EFS condivisa e a un'JupyterServerapp condivisa per l'interfaccia utente e possono modificare insieme quasi in tempo reale. L'etichettatura automatica delle risorse create dagli spazi condivisi consente agli amministratori di tenere traccia dei costi a livello di progetto. L' JupyterServer interfaccia utente condivisa filtra anche risorse come esperimenti e voci del registro dei modelli in modo che vengano visualizzati solo gli elementi pertinenti all'attività di machine learning condivisa. Il diagramma seguente fornisce una panoramica delle app private e degli spazi condivisi all'interno di ciascun dominio.

Un diagramma che illustra una panoramica delle app private e degli spazi condivisi all'interno di un singolo dominio.

Panoramica delle app private e degli spazi condivisi all'interno di un singolo dominio

Configura spazi condivisi nel tuo dominio

Gli spazi condivisi vengono in genere creati per una particolare attività o progetto di machine learning in cui i membri di un singolo dominio richiedono l'accesso quasi in tempo reale allo stesso archivio di file e allo stesso IDE sottostanti. L'utente può accedere, leggere, modificare e condividere i propri taccuini quasi in tempo reale, il che gli offre il percorso più rapido per iniziare a iterare con i colleghi.

Per creare uno spazio condiviso, è necessario innanzitutto designare un ruolo di esecuzione predefinito dello spazio che regolerà le autorizzazioni per qualsiasi utente che utilizza lo spazio. Al momento della stesura di questo documento, tutti gli utenti all'interno di un dominio avranno accesso a tutti gli spazi condivisi del proprio dominio. Fai riferimento a Creare uno spazio condiviso per la documentazione più recente sull'aggiunta di spazi condivisi a un dominio esistente.

Configura il tuo dominio per la federazione IAM

Prima di configurare la federazione AWS Identity and Access Management (IAM) per il tuo dominio SageMaker Studio, devi configurare un ruolo utente della federazione IAM (ad esempio un amministratore di piattaforma) nel tuo IdP, come discusso nella sezione Gestione delle identità.

Per istruzioni dettagliate sulla configurazione di SageMaker Studio con l'opzione IAM, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.

Configura il tuo dominio per la federazione Single Sign-On (SSO)

Per utilizzare la federazione Single Sign-On (SSO), devi abilitarla AWS IAM Identity Center nel tuo account di AWS Organizationsgestione nella stessa regione in cui devi eseguire Studio. SageMaker I passaggi di configurazione del dominio sono simili a quelli della federazione IAM, tranne per la selezione AWS IAM Identity Center(iDC) nella sezione Autenticazione.

Per istruzioni dettagliate, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.

SageMaker Profilo utente di Studio

Un profilo utente rappresenta un singolo utente all'interno di un dominio ed è il modo principale per fare riferimento a una «persona» ai fini della condivisione, della creazione di report e di altre funzionalità orientate all'utente. Questa entità viene creata quando un utente entra a far parte di Studio. toSageMaker Se un amministratore invita una persona via e-mail o la importa da IdC, viene creato automaticamente un profilo utente. Un profilo utente è il principale detentore delle impostazioni per un singolo utente e contiene un riferimento alla home directory privata Amazon Elastic File System (Amazon EFS) dell'utente. Consigliamo di creare un profilo utente per ogni utente fisico dell'applicazione SageMaker Studio. Ogni utente ha la propria directory dedicata su Amazon EFS e i profili utente non possono essere condivisi tra domini dello stesso account.

Ogni profilo utente che condivide il dominio SageMaker Studio riceve risorse di elaborazione dedicate (come istanze SageMaker Amazon Elastic Compute Cloud (Amazon EC2)) per eseguire i notebook. Le istanze di calcolo assegnate al primo utente sono completamente isolate da quelle allocate al secondo utente. Analogamente, le risorse di calcolo assegnate agli utenti in un AWS account sono completamente separate da quelle assegnate agli utenti in un altro account. Ogni utente può eseguire fino a quattro applicazioni (app) all'interno di contenitori Docker isolati o immagini sullo stesso tipo di istanza.

App Jupyter Server

Quando avvii un notebook Amazon SageMaker Studio per un utente accedendo all'URL prefirmato o effettuando l'accesso utilizzando AWS IAM iDC, l'app Jupyter Server viene avviata nell'istanza VPC gestita dal servizio. SageMaker Ogni utente ottiene la propria app Jupyter Server dedicata in un'app privata. Per impostazione predefinita, l'app Jupyter Server per notebook SageMaker Studio viene eseguita su un'ml.t3.mediumistanza dedicata (riservata come tipo di istanza di sistema). Il calcolo per questa istanza non viene fatturato al cliente.

L'app Jupyter Kernel Gateway

L'app Kernel Gateway può essere creata tramite l'API o l'interfaccia SageMaker Studio e viene eseguita sul tipo di istanza scelto. Questa app può essere eseguita utilizzando una delle immagini SageMaker Studio integrate preconfigurate con i più diffusi pacchetti di data science e deep learning come TensorFlowApache MXNet e. PyTorch

Gli utenti possono avviare ed eseguire più kernel per notebook Jupyter, sessioni terminali e console interattive all'interno della stessa app Studio Image/Kernel Gateway. SageMaker Gli utenti possono anche eseguire fino a quattro app o immagini Kernel Gateway sulla stessa istanza fisica, ciascuna isolata dal relativo contenitore/immagine.

Per creare app aggiuntive, devi usare un tipo di istanza diverso. Un profilo utente può avere una sola istanza in esecuzione, di qualsiasi tipo di istanza. Ad esempio, un utente può eseguire sulla stessa istanza sia un semplice notebook utilizzando l'immagine di data science integrata in SageMaker Studio, sia un altro notebook utilizzando l' TensorFlow immagine integrata. Agli utenti viene fatturato il periodo di esecuzione dell'istanza. Per evitare costi quando l'utente non esegue attivamente SageMaker Studio, deve chiudere l'istanza. Per ulteriori informazioni, consulta Chiudi e aggiorna Studio Apps.

Ogni volta che chiudi e riapri un'app Kernel Gateway dall'interfaccia SageMaker Studio, quell'app viene avviata su una nuova istanza. Ciò significa che l'installazione del pacchetto non viene mantenuta dopo il riavvio della stessa app. Analogamente, se un utente modifica il tipo di istanza su un notebook, i pacchetti installati e le variabili di sessione andranno persi. Tuttavia, puoi utilizzare funzionalità come Bring Your Own Image e Lifecycle Script per portare i pacchetti dell'utente in SageMaker Studio e renderli permanenti durante i cambi di istanza e il lancio di nuove istanze.

Volume Amazon Elastic File System

Quando viene creato un dominio, viene creato un singolo volume Amazon Elastic File System (Amazon EFS) che può essere utilizzato da tutti gli utenti all'interno del dominio. Ogni profilo utente riceve una home directory privata all'interno del volume Amazon EFS per l'archiviazione di notebook, GitHub repository e file di dati dell'utente. Ogni spazio all'interno di un dominio riceve una directory privata all'interno del volume Amazon EFS a cui è possibile accedere da più profili utente. L'accesso alle cartelle è separato per utente, tramite le autorizzazioni del file system. SageMaker Studio crea un ID utente unico globale per ogni profilo utente o spazio e lo applica come ID utente/gruppo POSIX (Portable Operating System Interface) per la home directory dell'utente su EFS, impedendo ad altri utenti/spazi di accedere ai suoi dati.

Backup e ripristino

Un volume EFS esistente non può essere collegato a un nuovo SageMaker dominio. In un'impostazione di produzione, assicurati di aver eseguito il backup del volume Amazon EFS (su un altro volume EFS o su Amazon Simple Storage Service (Amazon S3)). Se un volume EFS viene eliminato accidentalmente, l'amministratore deve smontare e ricreare il SageMaker dominio Studio. Di seguito è riportato il procedimento:

Esegui il backup dell'elenco dei profili utente, degli spazi e degli ID utente EFS (UID) associati tramite le chiamate ListUserProfilesDescribeUserProfile,List Spaces, e DescribeSpace API.

  1. Crea un nuovo dominio SageMaker Studio.

  2. Crea i profili e gli spazi utente.

  3. Per ogni profilo utente, copia i file dal backup su EFS/Amazon S3.

  4. Facoltativamente, elimina tutte le app e i profili utente nel vecchio dominio Studio. SageMaker

Per istruzioni dettagliate, consulta l'appendice, sezione Backup e ripristino del dominio SageMaker Studio.

Nota

Ciò può essere ottenuto anche eseguendo LifecycleConfigurations il backup dei dati da e verso S3 ogni volta che un utente avvia l'app.

Volume Amazon EBS

Un volume di storage Amazon Elastic Block Store (Amazon EBS) è inoltre collegato a ciascuna istanza di SageMaker Studio Notebook. Viene utilizzato come volume principale del contenitore o dell'immagine in esecuzione sull'istanza. Sebbene lo storage Amazon EFS sia persistente, il volume Amazon EBS collegato al container è temporaneo. I dati archiviati localmente sul volume Amazon EBS non verranno mantenuti se il cliente elimina l'app.

Garantire l'accesso all'URL prefirmato

Quando un utente di SageMaker Studio apre il collegamento al notebook, SageMaker Studio convalida la politica IAM dell'utente federato per autorizzare l'accesso e genera e risolve l'URL prefirmato per l'utente. Poiché la SageMaker console funziona su un dominio Internet, questo URL prefirmato generato è visibile nella sessione del browser. Ciò rappresenta un vettore di minaccia indesiderato per il furto di dati e l'accesso ai dati dei clienti quando non vengono applicati controlli di accesso adeguati.

Studio supporta alcuni metodi per applicare i controlli di accesso contro il furto di dati URL prefirmati:

  • Convalida dell'IP del client utilizzando la condizione della policy IAM aws:sourceIp

  • Convalida del VPC del client utilizzando la condizione IAM aws:sourceVpc

  • Convalida degli endpoint VPC del client utilizzando la condizione della policy IAM aws:sourceVpce

Quando si accede ai notebook SageMaker Studio dalla SageMaker console, l'unica opzione disponibile consiste nell'utilizzare la convalida dell'IP del client con la condizione della policy IAM. aws:sourceIp Tuttavia, è possibile utilizzare prodotti di routing del traffico via browser come Zscaler per garantire scalabilità e conformità per l'accesso a Internet della forza lavoro. Questi prodotti di routing del traffico generano il proprio IP di origine, il cui intervallo IP non è controllato dal cliente aziendale. Ciò rende impossibile per questi clienti aziendali utilizzare aws:sourceIp questa condizione.

Per utilizzare la convalida degli endpoint VPC client utilizzando la condizione della policy IAMaws:sourceVpce, la creazione di un URL prefirmato deve avere origine nello stesso VPC del cliente in cui è distribuito SageMaker Studio e la risoluzione dell'URL prefirmato deve avvenire tramite un endpoint Studio VPC sul VPC del cliente. SageMaker Questa risoluzione dell'URL prefirmato durante il periodo di accesso per gli utenti della rete aziendale può essere eseguita utilizzando le regole di inoltro DNS (sia in Zscaler che nel DNS aziendale) e quindi nell'endpoint VPC del cliente utilizzando un resolver in ingresso Amazon Route 53, come mostrato nella seguente architettura:

Un diagramma che mostra l'accesso all'URL prefirmato di Studio con endpoint VPC sulla rete aziendale.

Accesso all'URL prefirmato di Studio con endpoint VPC sulla rete aziendale

Per step-by-step indicazioni sulla configurazione dell'architettura precedente, consulta la sezione URL prefirmati Secure Amazon SageMaker Studio, parte 1: infrastruttura di base.

SageMaker quote e limiti di dominio

  • SageMaker La federazione SSO di dominio Studio è supportata solo nella regione, tra gli account dei membri dell'AWSorganizzazione in cui viene fornito AWS Identity Center.

  • Gli spazi condivisi non sono attualmente supportati con i domini configurati con AWS Identity Center.

  • La configurazione del VPC e della sottorete non può essere modificata dopo la creazione del dominio. Tuttavia, puoi creare un nuovo dominio con una configurazione VPC e sottorete diversa.

  • L'accesso al dominio non può essere commutato tra le modalità IAM e SSO dopo aver creato il dominio. Puoi creare un nuovo dominio con una modalità di autenticazione diversa.

  • È previsto un limite di quattro app kernel gateway per tipo di istanza lanciate per ogni utente.

  • Ogni utente può avviare solo un'istanza per ogni tipo di istanza.

  • Esistono limiti alle risorse consumate all'interno di un dominio, ad esempio il numero di istanze avviate per tipo di istanza e il numero di profili utente che è possibile creare. Consulta la pagina relativa alle quote di servizio per un elenco completo dei limiti del servizio.

  • I clienti possono presentare una richiesta di assistenza aziendale motivando la propria attività ad aumentare i limiti predefiniti relativi alle risorse, ad esempio il numero di domini o i profili utente, entro limiti a livello di account.

  • Il limite rigido al numero di app simultanee per account è di 2.500 app. I domini e i limiti dei profili utente dipendono da questo limite rigido. Ad esempio, un account può avere un singolo dominio con 1.000 profili utente o 20 domini con 50 profili utente ciascuno.