Amazon のカスタムセットアップを使用する SageMaker - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon のカスタムセットアップを使用する SageMaker

組織のセットアップ (カスタムセットアップ) は、Amazon SageMaker ドメインの高度なセットアップをガイドします。このオプションは、アクセス許可、統合、暗号化など、アカウント設定のすべての側面を理解し、制御するのに役立つ情報と推奨事項を提供します。カスタムドメインを設定する場合は、このオプションを使用します。ドメインの詳細については、「」を参照してくださいAmazon SageMaker ドメインの概要

認証方法

ドメインを設定する前に、ユーザーがドメインにアクセスするための認証方法を検討してください。

AWS Identity Center

  • ユーザーグループへのアクセス許可の管理を簡素化します。個々のユーザーにそれらのアクセス許可を適用する代わりに、ユーザーのグループにアクセス許可を付与または拒否できます。ユーザーが別の組織に移動する場合は、そのユーザーを別の AWS Identity and Access Management アイデンティティセンター (AWS IAM Identity Center) グループに移動できます。その後、ユーザーは新しい組織に必要な権限を自動的に受け取ります。

    IAM Identity Center はドメイン AWS リージョン と同じ にある必要があることに注意してください。

    IAM Identity Center で を設定するには、AWS IAM「 Identity Center ユーザーガイド」の以下の手順に従ってください。

  • IAM Identity Center のユーザーは、E メールで送信された AWS アクセスポータル URLを使用してドメインにアクセスできます。E メールには、ドメインにアクセスするためのアカウントを作成する手順が記載されています。詳細については、「 にサインインする AWS アクセスポータル」を参照してください。

    管理者は、IAMIdentity Center に移動し、 AWS アクセスポータル URL「設定の概要AWS アクセスポータル URL」の「」で を見つけることができます。

  • ドメインへのアクセスを特定の Amazon Virtual Private Clouds AWS Identity and Access Management (IAM)、インターフェイスエンドポイント、または事前定義された IP アドレスのセットのみに制限する場合は、ドメインで (VPCs) 認証を使用する必要があります。この機能は、IAMIdentity Center 認証を使用するドメインではサポートされていません。IAM Identity Center を使用して、ワークフォースの一元化された ID コントロールを有効にできます。Identity Center で一貫したユーザーサインインエクスペリエンスを提供しながらこれらの制限を実装する方法については、AWS 「機械学習ブログ」の「IAMIdentity Center とアプリケーションによる Amazon Studio Classic への安全なアクセス」を参照してください。 SageMaker IAM SAML このブログでは、 が IAM Identity Center であることに注意してください AWS SSO。

経由でログインしますIAM

  • ユーザープロファイルは、 アカウントにログインした後、 SageMaker コンソールからドメインにアクセスできます。

  • (IAM) 認証を使用する場合 AWS Identity and Access Management 、ドメインへのアクセスを特定の Amazon Virtual Private Clouds (VPCs)、インターフェイスエンドポイント、または事前定義された IP アドレスのセットのみに制限できます。詳細については、「内からのアクセスのみを許可する VPC」を参照してください。

組織のセットアップ (カスタムセットアップ)

の前提条件を満たしたらAmazon の SageMaker 前提条件を完了する SageMaker ドメインの設定 (カスタム設定) ページを開き、以下のセクションを展開して設定に関する情報を確認します。

SageMaker コンソールから SageMaker ドメインのセットアップを開く
  1. SageMaker コンソール を開きます。

  2. 左側のナビゲーションペインで、管理設定を選択してオプションを展開します。

  3. [管理設定] で、[ドメイン] を選択します。

  4. [ドメインの追加] ページで [ドメインの作成] を選択します。

  5. SageMaker ドメインの設定ページで、組織の設定 を選択します。

  6. [Set up (セットアップ)] を選択します。

SageMaker ドメインの設定ページを開いたら、次の手順を実行します。

  1. ドメイン名 には、ドメインの一意の名前を入力します。例えば、プロジェクト名やチーム名などです。

  2. [Next (次へ)] を選択します。

このステップでは、ドメインの認証方法、ユーザー、アクセス許可を設定します。

  1. Studio へのアクセス方法 では、2 つのオプションのいずれかを選択できます。認証方法の詳細については、「」を参照してください認証方法。オプションの詳細については、以下を参照してください。

    • AWS Identity Center

      Studio を使用するユーザー で、ドメインにアクセスする AWS IAM Identity Center グループを選択します。

      ID Center ユーザーグループなしを選択した場合は、ユーザーなしのドメインを作成します。ドメインの作成後に IAM Identity Center グループをドメインに追加できます。詳細については、「ドメイン設定の編集」を参照してください。

    • 経由でログインしますIAM

      Studio を使用するのは誰ですか? + ユーザーの追加 を選択し、新しいユーザープロファイル名を入力し、追加 を選択してユーザープロファイル名を作成して追加します。

      このプロセスを繰り返して、複数のユーザープロファイルを作成できます。

  2. Studio を使用するのは誰ですか? IAM Identity Center ユーザーまたはグループを選択し、「 を選択」を選択します。IAM Identity Center が設定されているのと同じリージョン内に Amazon SageMaker Studio を設定する必要があります。ドメインのリージョンを変更するには、コンソールの右上にあるドロップダウンリストからリージョンを選択するか、AWS アクセスポータル に移動して IAM Identity Center のリージョンを変更します。

  3. ML アクティビティはどのようなアクティビティを実行しますか? 既存のロールを使用する を選択するか、新しいロールの作成 を選択し、ロールがアクセスする ML アクティビティを確認します。

  4. ML アクティビティを選択する際に、要件を満たす必要がある場合があります。要件を満たすには、追加を選択して要件を完了します。

  5. すべての要件が満たされたら、次へ を選択します。

このステップでは、前のステップで有効にしたアプリケーションを設定できます。ML アクティビティの詳細については、「」を参照してくださいML アクティビティリファレンス

アプリケーションが有効になっていない場合、そのアプリケーションに対する警告が表示されます。有効化されていないアプリケーションを有効にするには、戻るを選択して前のステップに戻り、前の手順に従ってください。

  • Studio 設定:

    Studio では、デフォルトのエクスペリエンスとして、Studio の最新バージョンとクラシックバージョンを選択できます。つまり、Studio を開くときに操作する ML 環境を選択します。

    • Studio には、Amazon SageMaker Studio Classic を含む複数の統合開発環境 (IDEs) とアプリケーションが含まれています。選択した場合、Studio Classic にはデフォルト設定IDEがあります。デフォルト設定の詳細については、「」を参照してくださいデフォルト設定

      Studio の詳細については、「」を参照してくださいAmazon SageMaker Studio

    • Studio Classic には Jupyter が含まれていますIDE。選択した場合、Studio Classic の設定を行うことができます。

      Studio Classic の詳細については、「」を参照してくださいAmazon SageMaker Studio Classic

  • SageMaker Canvas 設定:

    Amazon SageMaker Canvas を有効にしている場合は、オンボーディングの手順と設定の詳細については、Amazon SageMaker Canvas の使用を開始する「」を参照してください。

  • Studio Classic の設定:

    Studio (推奨) をデフォルトのエクスペリエンスとして選択した場合、Studio Classic にはデフォルト設定IDEがあります。デフォルト設定の詳細については、「」を参照してくださいデフォルト設定

    Studio Classic をデフォルトのエクスペリエンスとして選択した場合は、ノートブックリソース共有を有効または無効にすることができます。ノートブックリソースには、セル出力や Git リポジトリなどのアーティファクトが含まれます。ノートブックリソースの詳細については、「」を参照してくださいAmazon SageMaker Studio Classic ノートブックの共有と使用

    ノートブックリソース共有を有効にした場合:

    1. 共有可能なノートブックリソース の S3 ロケーション で、Amazon S3 ロケーションを入力します。

    2. 暗号化キー - オプション で、カスタム暗号化なしのままにするか、既存の AWS KMS キーを選択するか、KMSキーを入力ARNを選択して AWS KMS キーの を入力しますARN。

    3. Notebook のセル出力共有設定 で、セル出力の共有をユーザーに許可するか、セル出力共有を無効にする を選択します。

  • RStudio 設定:

    を有効にするにはRStudio、RStudioライセンスが必要です。設定するには、「」を参照してくださいRStudio ライセンスの取得

    1. RStudio Workbench で、RStudioライセンスが自動的に検出されていることを確認します。RStudio ライセンスの取得と でのアクティベーションの詳細については SageMaker、「」を参照してくださいRStudio ライセンスの取得

    2. Server を起動するインスタンスタイプを選択しますRStudio。詳細については、「R StudioServerPro インスタンスタイプ」を参照してください。

    3. [Permission] (アクセス許可) で、ロールを作成するか、既存のロールを選択します。ロールには、次のアクセス許可ポリシーが必要です。このポリシーにより、RStudioServerProアプリケーションは必要なリソースにアクセスできます。また、既存のRStudioServerProアプリケーションが Deletedまたは Failedステータスになると、Amazon がRStudioServerProアプリケーションを自動的に起動 SageMaker することもできます。ロールへのアクセス許可の付与の詳細については、「ロールのアクセス許可ポリシーの変更 (コンソール)」 を参照してください。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] }
    4. RStudio Connect で、URLRStudioConnect サーバーの を追加します。RStudio Connect は、Shiny アプリケーション、R Markdown レポート、ダッシュボード、プロットなどの公開プラットフォームです。RStudio で にオンボードすると SageMaker、RStudioConnect サーバーは作成されません。詳細については、「RStudio Connect を追加する URL」を参照してください。

    5. RStudio Package Manager で、RStudioPackage Manager URL の を追加します。 は、 のオンボーディング時に Package Manager のデフォルトパッケージリポジトリ SageMaker を作成しますRStudio。RStudio Package Manager の詳細については、「」を参照してくださいRStudio Package Manager を更新する URL

    6. [次へ] を選択します。

  • コードエディタの設定:

    Code Editor が有効になっている場合は、概要と設定の詳細については、Amazon SageMaker Studio のコードエディタ「」を参照してください。

このセクションでは、Studio に表示される表示可能なアプリケーションと機械学習 (ML) ツールをカスタマイズできます。このカスタマイズでは、Studio の左側のナビゲーションペインのアプリケーションと ML ツールのみが非表示になります。Studio UI の詳細については、「」を参照してくださいAmazon SageMaker Studio UI の概要

アプリケーションの詳細については、「」を参照してくださいAmazon SageMaker Studio でサポートされているアプリケーション

Studio UI カスタマイズ機能は Studio Classic では使用できません。Studio をデフォルトのエクスペリエンスとして設定する場合は、戻る と を選択して前のステップに戻ります。

  1. Studio UI のカスタマイズページで、Studio に表示されるアプリケーションと ML ツールをオフに切り替えて非表示にできます。

  2. 変更を確認したら、次へ を選択します。

Studio を他の AWS サービスに接続する方法を選択します。

仮想プライベートクラウド (VPC) のみのネットワークアクセスタイプを使用して を指定することで、Studio へのインターネットアクセスを無効にすることができます。このオプションを選択すると、 に SageMaker APIおよび ランタイムへのインターフェイスエンドポイント、またはインターネットアクセスを備えたネットワークアドレス変換 (NAT) ゲートウェイがあり、セキュリティグループVPCがアウトバウンド接続を許可しない限り、Studio ノートブックを実行できません。Amazon の詳細についてはVPCs、「」を参照してくださいAmazon を選択する VPC

Virtual Private Cloud (VPC) を選択した場合は、次のステップのみが必要です。パブリックインターネットアクセス を選択した場合は、次のステップのうち最初の 2 つが必要です。

  1. VPC、Amazon VPC ID を選択します。

  2. サブネット で、1 つ以上のサブネットを選択します。サブネットを選択しない場合、 は Amazon 内のすべてのサブネット SageMaker を使用しますVPC。制約のあるアベイラビリティーゾーンに作成されていない複数のサブネットを使用することをお勧めします。このような制約のあるアベイラビリティーゾーンでサブネットを使用すると、容量不足エラーが発生し、アプリケーションの作成時間が長くなる可能性があります。制約のあるアベイラビリティーゾーンの詳細については、「アベイラビリティーゾーン」を参照してください。

  3. セキュリティグループ (複数可) で、1 つ以上のサブネットを選択します。

VPC のみを選択した場合、 はドメインに定義されたセキュリティグループ設定を、ドメインで作成されたすべての共有スペース SageMaker に自動的に適用します。パブリックインターネットのみを選択した場合、 SageMaker はドメインで作成された共有スペースにセキュリティグループ設定を適用しません。

データを暗号化するオプションがあります。ドメインの作成時に作成される Amazon Elastic File System (Amazon EFS) および Amazon Elastic Block Store (Amazon EBS) ファイルシステム。Amazon EBSサイズは、コードエディタと JupyterLab スペースの両方で使用されます。

Amazon EFSおよび Amazon EBS ファイルシステムを暗号化した後は、暗号化キーを変更することはできません。Amazon EFSおよび Amazon EBS ファイルシステムを暗号化するには、次の設定を使用できます。

  • 暗号化キー - オプション で、カスタム暗号化なしのままにするか、既存のKMSキーを選択するか、KMSキーを入力ARNを選択してKMSキーARNの を入力します。

  • デフォルトのスペースサイズ - オプション で、デフォルトのスペースサイズを入力します。

  • 最大スペースサイズ - オプション で、最大スペースサイズを入力します。

ドメイン設定を確認します。設定を変更する必要がある場合は、関連するステップの横にある編集を選択します。ドメイン設定が正確であることを確認したら、送信を選択すると、ドメインが作成されます。このプロセスには数分かかることがあります。

以下のセクションでは、IAMIdentity Center またはIAM認証方法を使用してドメインをカスタムセットアップする AWS CLI 手順について説明します。

AWS CLI 認証情報の設定など、前提条件を満たしたら、 で次の手順Amazon の SageMaker 前提条件を完了するを実行します。

  1. ドメインの作成とAmazonSageMakerFullAccessポリシーのアタッチに使用される実行ロールを作成します。少なくとも、ロールを引き受ける SageMaker アクセス許可を付与する信頼ポリシーがアタッチされている既存のロールを使用することもできます。詳細については、「 SageMaker 実行ロールの使用方法」を参照してください。

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
  2. アカウントのデフォルトの Amazon Virtual Private Cloud (Amazon VPC) を取得します。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
  3. デフォルトの Amazon でサブネットのリストを取得しますVPC。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
  4. デフォルトの Amazon VPC ID、サブネット、実行ロール を渡すことでドメインを作成しますARN。また、 SageMaker イメージ を渡す必要がありますARN。使用可能な JupyterLab バージョン の詳細についてはARNs、「」を参照してくださいデフォルト JupyterLabバージョンの設定

    ではauthentication-mode、IAMアイデンティティセンター認証SSOに を使用するか、IAM認証IAMに を使用します。

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    を使用して、ドメインの Studio に表示されるアプリケーションと ML ツール AWS CLI をカスタマイズできますStudioWebPortalSettingsHiddenAppTypes を使用してアプリケーションを非表示にし、ML ツールHiddenMlToolsを非表示にします。Studio UI の左側のナビゲーションのカスタマイズの詳細については、「」を参照してくださいAmazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする。この機能は Studio Classic では使用できません。

  5. ドメインが作成されていることを確認します。

    aws --region region sagemaker list-domains

を使用してドメインを作成する方法については AWS CloudFormation、 ユーザーガイドのAWS「::SageMaker:Domain」を参照してください。 AWS CloudFormation

ドメインの設定に使用できる AWS CloudFormation テンプレートの例については、aws-samples GitHub リポジトリで を使用して Amazon SageMaker ドメインを作成する AWS CloudFormationを参照してください。

ドメインが設定されると、管理ユーザーはドメインを表示および編集できます。詳細については、「ドメインの表示」および「ドメイン設定の編集」を参照してください。

オンボーディング後にドメインにアクセスする

ユーザーは、以下 SageMaker を使用して にアクセスできます。