Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Domini multipli e spazi condivisi
Amazon SageMaker
Ogni dominio configurato in modalità di autenticazione IAM può utilizzare lo spazio condiviso per una collaborazione quasi in tempo reale tra gli utenti. Con uno spazio condiviso, gli utenti possono accedere a una directory Amazon EFS condivisa e a un'JupyterServer
Configura spazi condivisi nel tuo dominio
Gli spazi condivisi vengono in genere creati per una particolare attività o progetto di machine learning in cui i membri di un singolo dominio richiedono l'accesso quasi in tempo reale allo stesso archivio di file e allo stesso IDE sottostanti. L'utente può accedere, leggere, modificare e condividere i propri taccuini quasi in tempo reale, il che gli offre il percorso più rapido per iniziare a iterare con i colleghi.
Per creare uno spazio condiviso, è necessario innanzitutto designare un ruolo di esecuzione predefinito dello spazio che regolerà le autorizzazioni per qualsiasi utente che utilizza lo spazio. Al momento della stesura di questo documento, tutti gli utenti all'interno di un dominio avranno accesso a tutti gli spazi condivisi del proprio dominio. Fai riferimento a Creare uno spazio condiviso per la documentazione più recente sull'aggiunta di spazi condivisi a un dominio esistente.
Configura il tuo dominio per la federazione IAM
Prima di configurare la federazione AWS Identity and Access Management (IAM) per il tuo dominio SageMaker Studio, devi configurare un ruolo utente della federazione IAM (ad esempio un amministratore di piattaforma) nel tuo IdP, come discusso nella sezione Gestione delle identità.
Per istruzioni dettagliate sulla configurazione di SageMaker Studio con l'opzione IAM, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.
Configura il tuo dominio per la federazione Single Sign-On (SSO)
Per utilizzare la federazione Single Sign-On (SSO), devi abilitarla AWS IAM Identity Center nel tuo account di AWS Organizations
Per istruzioni dettagliate, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.
SageMaker Profilo utente di Studio
Un profilo utente rappresenta un singolo utente all'interno di un dominio ed è il modo principale per fare riferimento a una «persona» ai fini della condivisione, della creazione di report e di altre funzionalità orientate all'utente. Questa entità viene creata quando un utente entra a far parte di Studio. toSageMaker Se un amministratore invita una persona via e-mail o la importa da IdC, viene creato automaticamente un profilo utente. Un profilo utente è il principale detentore delle impostazioni per un singolo utente e contiene un riferimento alla home directory privata Amazon Elastic File System
Ogni profilo utente che condivide il dominio SageMaker Studio riceve risorse di elaborazione dedicate (come istanze SageMaker Amazon Elastic Compute Cloud
App Jupyter Server
Quando avvii un notebook Amazon SageMaker Studioml.t3.medium
istanza dedicata (riservata come tipo di istanza di sistema). Il calcolo per questa istanza non viene fatturato al cliente.
L'app Jupyter Kernel Gateway
L'app Kernel Gateway
Gli utenti possono avviare ed eseguire più kernel per notebook Jupyter, sessioni terminali e console interattive all'interno della stessa app Studio Image/Kernel Gateway. SageMaker Gli utenti possono anche eseguire fino a quattro app o immagini Kernel Gateway sulla stessa istanza fisica, ciascuna isolata dal relativo contenitore/immagine.
Per creare app aggiuntive, devi usare un tipo di istanza diverso. Un profilo utente può avere una sola istanza in esecuzione, di qualsiasi tipo di istanza. Ad esempio, un utente può eseguire sulla stessa istanza sia un semplice notebook utilizzando l'immagine di data science integrata in SageMaker Studio, sia un altro notebook utilizzando l' TensorFlow immagine integrata. Agli utenti viene fatturato il periodo di esecuzione dell'istanza. Per evitare costi quando l'utente non esegue attivamente SageMaker Studio, deve chiudere l'istanza. Per ulteriori informazioni, consulta Chiudi e aggiorna Studio Apps.
Ogni volta che chiudi e riapri un'app Kernel Gateway dall'interfaccia SageMaker Studio, quell'app viene avviata su una nuova istanza. Ciò significa che l'installazione del pacchetto non viene mantenuta dopo il riavvio della stessa app. Analogamente, se un utente modifica il tipo di istanza su un notebook, i pacchetti installati e le variabili di sessione andranno persi. Tuttavia, puoi utilizzare funzionalità come Bring Your Own Image e Lifecycle Script per portare i pacchetti dell'utente in SageMaker Studio e renderli permanenti durante i cambi di istanza e il lancio di nuove istanze.
Volume Amazon Elastic File System
Quando viene creato un dominio, viene creato un singolo volume Amazon Elastic File System
Backup e ripristino
Un volume EFS esistente non può essere collegato a un nuovo SageMaker dominio. In un'impostazione di produzione, assicurati di aver eseguito il backup del volume Amazon EFS (su un altro volume EFS o su Amazon Simple Storage Service
Esegui il backup dell'elenco dei profili utente, degli spazi e degli ID utente EFS (UID) associati tramite le chiamate ListUserProfiles
DescribeUserProfile
,List
Spaces
, e DescribeSpace
API.
-
Crea un nuovo dominio SageMaker Studio.
-
Crea i profili e gli spazi utente.
-
Per ogni profilo utente, copia i file dal backup su EFS/Amazon S3.
-
Facoltativamente, elimina tutte le app e i profili utente nel vecchio dominio Studio. SageMaker
Per istruzioni dettagliate, consulta l'appendice, sezione Backup e ripristino del dominio SageMaker Studio.
Nota
Ciò può essere ottenuto anche eseguendo LifecycleConfigurations
il backup dei dati da e verso S3 ogni volta che un utente avvia l'app.
Volume Amazon EBS
Un volume di storage Amazon Elastic Block Store
Garantire l'accesso all'URL prefirmato
Quando un utente di SageMaker Studio apre il collegamento al notebook, SageMaker Studio convalida la politica IAM dell'utente federato per autorizzare l'accesso e genera e risolve l'URL prefirmato per l'utente. Poiché la SageMaker console funziona su un dominio Internet, questo URL prefirmato generato è visibile nella sessione del browser. Ciò rappresenta un vettore di minaccia indesiderato per il furto di dati e l'accesso ai dati dei clienti quando non vengono applicati controlli di accesso adeguati.
Studio supporta alcuni metodi per applicare i controlli di accesso contro il furto di dati URL prefirmati:
-
Convalida dell'IP del client utilizzando la condizione della policy IAM
aws:sourceIp
-
Convalida del VPC del client utilizzando la condizione IAM
aws:sourceVpc
-
Convalida degli endpoint VPC del client utilizzando la condizione della policy IAM
aws:sourceVpce
Quando si accede ai notebook SageMaker Studio dalla SageMaker console, l'unica opzione disponibile consiste nell'utilizzare la convalida dell'IP del client con la condizione della policy IAM. aws:sourceIp
Tuttavia, è possibile utilizzare prodotti di routing del traffico via browser come Zscaler per garantire scalabilità e conformità per l'accessoaws:sourceIp
questa condizione.
Per utilizzare la convalida degli endpoint VPC client utilizzando la condizione della policy IAMaws:sourceVpce
, la creazione di un URL prefirmato deve avere origine nello stesso VPC del cliente in cui è distribuito SageMaker Studio e la risoluzione dell'URL prefirmato deve avvenire tramite un endpoint Studio VPC sul VPC del cliente. SageMaker Questa risoluzione dell'URL prefirmato durante il periodo di accesso per gli utenti della rete aziendale può essere eseguita utilizzando le regole di inoltro DNS (sia in Zscaler che nel DNS aziendale) e quindi nell'endpoint VPC del cliente utilizzando un resolver in ingresso Amazon
Per step-by-step indicazioni sulla configurazione dell'architettura precedente, consulta la sezione URL prefirmati Secure Amazon SageMaker Studio, parte 1:
SageMaker quote e limiti di dominio
-
SageMaker La federazione SSO di dominio Studio è supportata solo nella regione, tra gli account dei membri dell'AWSorganizzazione in cui viene fornito AWS Identity Center.
-
Gli spazi condivisi non sono attualmente supportati con i domini configurati con AWS Identity Center.
-
La configurazione del VPC e della sottorete non può essere modificata dopo la creazione del dominio. Tuttavia, puoi creare un nuovo dominio con una configurazione VPC e sottorete diversa.
-
L'accesso al dominio non può essere commutato tra le modalità IAM e SSO dopo aver creato il dominio. Puoi creare un nuovo dominio con una modalità di autenticazione diversa.
-
È previsto un limite di quattro app kernel gateway per tipo di istanza lanciate per ogni utente.
-
Ogni utente può avviare solo un'istanza per ogni tipo di istanza.
-
Esistono limiti alle risorse consumate all'interno di un dominio, ad esempio il numero di istanze avviate per tipo di istanza e il numero di profili utente che è possibile creare. Consulta la pagina relativa alle quote di servizio per un elenco completo dei limiti del servizio.
-
I clienti possono presentare una richiesta di assistenza aziendale motivando la propria attività ad aumentare i limiti predefiniti relativi alle risorse, ad esempio il numero di domini o i profili utente, entro limiti a livello di account.
-
Il limite rigido al numero di app simultanee per account è di 2.500 app. I domini e i limiti dei profili utente dipendono da questo limite rigido. Ad esempio, un account può avere un singolo dominio con 1.000 profili utente o 20 domini con 50 profili utente ciascuno.