Amazon へのカスタムセットアップ SageMaker - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon へのカスタムセットアップ SageMaker

組織用セットアップ (カスタムセットアップ) は、Amazon SageMaker ドメインの高度なセットアップをガイドします。このオプションは、アクセス許可、統合、暗号化など、アカウント設定のすべての側面を理解して制御するのに役立つ情報と推奨事項を提供します。このオプションは、カスタムドメインを設定する場合に使用します。ドメインの詳細については、「」を参照してくださいAmazon SageMaker ドメインの概要

認証方法

ドメインを設定する前に、ユーザーがドメインにアクセスするための認証方法を検討してください。

AWS Identity Center:

  • ユーザーのグループへのアクセス許可の管理を簡素化します。個々のユーザーにアクセス許可を適用する代わりに、ユーザーのグループにアクセス許可を付与または拒否できます。ユーザーが別の組織に移動した場合、そのユーザーを別の AWS Identity and Access Management アイデンティティセンター (AWS IAM Identity Center) グループに移動できます。その後、ユーザーは新しい組織に必要な権限を自動的に受け取ります。

    IAM Identity Center はドメイン AWS リージョン と同じ にある必要があることに注意してください。

    IAM Identity Center で をセットアップするには、AWS IAM Identity Center ユーザーガイドの以下の手順に従ってください。

  • IAM Identity Center のユーザーは、E メールで送信される AWS アクセスポータル URL を使用してドメインにアクセスできます。E メールには、ドメインにアクセスするためのアカウントを作成する手順が記載されています。詳細については、「 にサインインする AWS アクセスポータル」を参照してください。

    管理者は、IAM Identity Center に移動し、設定の概要 で AWS アクセスポータル URL を見つけることで AWS アクセスポータル URL を見つけることができます。

  • ドメインへのアクセスを特定の Amazon Virtual Private Cloud AWS Identity and Access Management (VPCs認証を使用する必要があります。この機能は、IAM Identity Center 認証を使用するドメインではサポートされていません。引き続き IAM Identity Center を使用して、一元化されたワークフォース ID 制御を有効にすることができます。一貫したユーザーサインインエクスペリエンスを提供するために IAM Identity Center を維持しながらこれらの制限を実装する方法については、AWS 機械学習ブログ「IAM Identity Center と SAML アプリケーションによる Amazon SageMaker Studio Classic への安全なアクセス」を参照してください。このブログでは、 AWS SSO は IAM Identity Center であることに注意してください。

IAM 経由でログインします

  • ユーザープロファイルは、アカウントにログインした後、 SageMaker コンソールからドメインにアクセスできます。

  • (IAM) 認証を使用する場合 AWS Identity and Access Management 、ドメインへのアクセスを特定の Amazon Virtual Private Cloud (VPCs)、インターフェイスエンドポイント、または事前定義された IP アドレスのセットのみに制限できます。詳細については、「VPC 内からのアクセスのみを許可する」を参照してください。

組織のセットアップ (カスタムセットアップ)

の前提条件を満たしたらAmazon SageMaker の前提条件 SageMaker 「ドメインのセットアップ (カスタムセットアップ)」ページを開き、セットアップに関する以下のセクションを展開します。

SageMaker コンソールから SageMaker ドメインのセットアップを開きます。
  1. SageMaker コンソールを開きます。

  2. 左側のナビゲーションペインで、管理設定を選択してオプションを展開します。

  3. [管理設定] で、[ドメイン] を選択します。

  4. [ドメインの追加] ページで [ドメインの作成] を選択します。

  5. SageMaker 「ドメインのセットアップ」ページで、「組織のセットアップ」を選択します。

  6. [Set up (セットアップ)] を選択します。

SageMaker ドメインの設定ページを開いたら、以下の手順に従います。

  1. ドメイン名 には、ドメインの一意の名前を入力します。例えば、プロジェクト名やチーム名などです。

  2. [次へ] をクリックします。

このステップでは、ドメインの認証方法、ユーザー、アクセス許可を設定します。

  1. Studio へのアクセス方法 では、2 つのオプションのいずれかを選択できます。認証方法の詳細については、「」を参照してください認証方法。オプションの詳細については、以下を参照してください。

    • AWS Identity Center:

      Studio を使用するユーザー で、ドメインにアクセスする AWS IAM Identity Center グループを選択します。

      Identity Center ユーザーグループなしを選択した場合は、ユーザーなしでドメインを作成します。IAM Identity Center グループは、ドメインの作成後にドメインに追加できます。詳細については、「ドメインの表示と編集」を参照してください。

    • IAM 経由でログインします

      Studio を使用するユーザー で + ユーザーを追加 を選択し、新しいユーザープロファイル名を入力し、追加 を選択してユーザープロファイル名を作成して追加します。

      このプロセスを繰り返して、複数のユーザープロファイルを作成できます。

  2. Studio を使用するユーザー で、IAM Identity Center ユーザーまたはグループを選択し、 を選択を選択します。IAM Identity Center が設定されているのと同じリージョン内で Amazon SageMaker Studio を設定する必要があります。ドメインのリージョンを変更するには、コンソールの右上にあるドロップダウンリストからリージョンを選択するか、 AWS アクセスポータル に移動して IAM Identity Center リージョンを変更します。

  3. 「実行する ML アクティビティ」で「既存のロールを使用する」を選択するか、「新しいロールを作成する」を選択し、ロールにアクセスさせたい ML アクティビティを確認します。

  4. ML アクティビティを選択する際、要件を満たす必要がある場合があります。要件を満たすには、追加 を選択して要件を完了します。

  5. すべての要件が満たされたら、次へ を選択します。

このステップでは、前のステップで有効にしたアプリケーションを設定できます。ML アクティビティの詳細については、「」を参照してくださいML アクティビティリファレンス

アプリケーションが有効になっていない場合、そのアプリケーションに関する警告が表示されます。有効化されていないアプリケーションを有効にするには、戻るを選択して前のステップに戻り、前の指示に従います。

  • Studio の設定:

    Studio では、デフォルトのエクスペリエンスとして Studio の新しいバージョンとクラシックバージョンを選択できます。つまり、Studio を開くときに操作する ML 環境を選択します。

    • Studio - 新しい には、Amazon SageMaker Studio Classic IDEs) とアプリケーションが含まれています。選択した場合、Studio Classic IDE にはデフォルト設定があります。デフォルト設定の詳細については、「」を参照してくださいデフォルト設定

    • Studio Classic には Jupyter IDE が含まれています。選択すると、Studio Classic の設定を行うことができます。

      Studio Classic の詳細については、「」を参照してくださいAmazon SageMaker Studio Classic

  • SageMaker Canvas の設定:

    Amazon SageMaker Canvas を有効にしている場合は、Amazon Canvas SageMaker の使用を開始する「」でオンボーディングの手順と設定の詳細を参照してください。

  • Studio Classic の設定:

    デフォルトのエクスペリエンスとして Studio - 新規 (推奨) を選択した場合、Studio Classic IDE にはデフォルト設定があります。デフォルト設定の詳細については、「」を参照してくださいデフォルト設定

    Studio Classic をデフォルトのエクスペリエンスとして選択した場合は、ノートブックリソース共有を有効または無効にすることができます。ノートブックリソースには、セル出力や Git リポジトリなどのアーティファクトが含まれます。ノートブックリソースの詳細については、「」を参照してくださいAmazon SageMaker Studio Classic ノートブックの共有と使用

    ノートブックリソース共有を有効にした場合:

    1. 共有可能なノートブックリソース の S3 の場所 に、Amazon S3 の場所を入力します。

    2. 「暗号化キー - オプション」で、「カスタム暗号化なし」のままにするか、既存の AWS KMS キーを選択するか、「KMS キー ARN を入力」を選択し、 AWS KMS キーの ARN を入力します。

    3. ノートブックのセル出力共有設定 で、ユーザーがセル出力を共有できるようにする またはセル出力共有を無効にする を選択します。

  • RStudio 設定:

    RStudio を有効にするには、RStudio ライセンスが必要です。設定するには、「」を参照してくださいRStudio ライセンス

    1. [RStudio Workbench] で、RStudio ライセンスが自動検出されることを確認します。RStudio ライセンスの取得と でのアクティベーションの詳細については SageMaker、「」を参照してくださいRStudio ライセンス

    2. RStudio サーバーを起動するインスタンスタイプを選択します。詳細については、「R StudioServerPro インスタンスタイプ」を参照してください。

    3. [Permission] (アクセス許可) で、ロールを作成するか、既存のロールを選択します。ロールには、次のアクセス許可ポリシーが必要です。このポリシーにより、R StudioServerPro アプリケーションは必要なリソースにアクセスできます。また、既存の R StudioServerPro アプリケーションが Deletedまたは Failedステータスになったときに、Amazon が RStudioServerPro アプリケーションを自動的に起動 SageMaker することもできます。ロールへのアクセス許可の付与の詳細については、「ロールのアクセス許可ポリシーの変更 (コンソール)」 を参照してください。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] }
    4. [RStudio Connect] で、RStudio Connect サーバーの URL を追加します。RStudio Connect は、Shiny アプリケーション、R Markdown レポート、ダッシュボード、プロットなどのためのパブリッシングプラットフォームです。で RStudio にオンボードすると SageMaker、RStudio Connect サーバーは作成されません。詳細については、「RStudio Connect URL」を参照してください。

    5. RStudio Package Manager で、RStudio Package Manager の URL を追加します。RStudio をオンボードするときに、 は Package Manager RStudio のデフォルトパッケージリポジトリ SageMaker を作成します。RStudio パッケージマネージャーの詳細については、「RStudio Package Manager」を参照してください。

    6. [次へ] を選択します。

  • コードエディタの設定:

    コードエディタを有効にしている場合は、概要と設定の詳細についてAmazon SageMaker Studio でコードエディタの使用を開始する「」を参照してください。

Studio で他の AWS サービスに接続する方法を選択します。

仮想プライベートクラウド (VPC) のみのネットワークアクセスタイプを使用して を指定することで、Studio へのインターネットアクセスを無効にすることができます。このオプションを選択した場合、VPC に SageMaker API とランタイムへのインターフェイスエンドポイント、またはインターネットアクセスを備えたネットワークアドレス変換 (NAT) ゲートウェイがあり、セキュリティグループがアウトバウンド接続を許可していない限り、Studio ノートブックを実行することはできません。Amazon VPCs「」を参照してくださいAmazon VPC の選択

Virtual Private Cloud (VPC) を選択した場合は、次のステップのみが必要です。パブリックインターネットアクセス を選択した場合は、次のステップの最初の 2 つが必要です。

  1. VPC で、Amazon VPC ID を選択します。

  2. サブネット で、1 つ以上のサブネットを選択します。サブネットを選択しない場合、 は Amazon VPC 内のすべてのサブネット SageMaker を使用します。制約のあるアベイラビリティーゾーンに作成されていない複数のサブネットを使用することをお勧めします。このような制約のあるアベイラビリティーゾーンでサブネットを使用すると、容量不足エラーが発生し、アプリケーションの作成時間が長くなる可能性があります。制約のあるアベイラビリティーゾーンの詳細については、「アベイラビリティーゾーン」を参照してください。

  3. セキュリティグループ (複数可) で、1 つ以上のサブネットを選択します。

VPC のみを選択した場合、 はドメインに定義されたセキュリティグループ設定を、ドメインで作成されたすべての共有スペース SageMaker に自動的に適用します。パブリックインターネットのみを選択した場合、ドメインで作成された共有スペースにはセキュリティグループ設定を適用 SageMaker しません。

データを暗号化することもできます。ドメインの作成時に作成される Amazon Elastic File System (Amazon EFS) および Amazon Elastic Block Store (Amazon EBS) ファイルシステム。Amazon EBS サイズは、コードエディタと JupyterLab スペースの両方で使用されます。

Amazon EFS および Amazon EBS ファイルシステムを暗号化した後で暗号化キーを変更することはできません。Amazon EFS および Amazon EBS ファイルシステムを暗号化するには、次の設定を使用できます。

  • 暗号化キー - オプション で、 をカスタム暗号化なしのままにするか、既存の KMS キーを選択するか、KMS キー ARN を入力して KMS キーの ARN を入力します。

  • デフォルトのスペースサイズ - オプション で、デフォルトのスペースサイズを入力します。

  • 最大スペースサイズ - オプション、最大スペースサイズを入力します。

ドメイン設定を確認します。設定を変更する必要がある場合は、関連するステップの横にある編集を選択します。ドメイン設定が正しいことを確認したら、送信 を選択すると、ドメインが自動的に作成されます。このプロセスには数分かかることがあります。

以下のセクションでは、IAM Identity Center または IAM 認証方法を使用してドメインをカスタムセットアップする AWS CLI 手順について説明します。

AWS CLI 認証情報の設定を含む前提条件を満たしたら、 で次の手順Amazon SageMaker の前提条件を実行します。

  1. ドメインの作成とAmazonSageMakerFullAccessポリシーのアタッチに使用される実行ロールを作成します。少なくとも、ロールを引き受ける SageMaker アクセス許可を付与する信頼ポリシーがアタッチされている既存のロールを使用することもできます。詳細については、「SageMaker ロール」を参照してください。

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
  2. アカウントのデフォルトの Amazon Virtual Private Cloud (Amazon VPC) を取得します。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
  3. デフォルトの Amazon VPC のサブネットのリストを取得します。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
  4. デフォルトの Amazon VPC ID、サブネット、実行ロール ARN を渡してドメインを作成します。また、 SageMaker イメージ ARN を渡す必要があります。使用可能な JupyterLab バージョン ARNs「」を参照してくださいデフォルト JupyterLabバージョンの設定

    の場合authentication-mode、IAM Identity Center 認証SSOには 、IAM 認証IAMには を使用します。

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text
  5. ドメインが作成されていることを確認します。

    aws --region region sagemaker list-domains

を使用してドメインを作成する方法については AWS CloudFormation、「 ユーザーガイドAWS::SageMaker::Domain」のAWS CloudFormation 「」を参照してください。

ドメインを設定すると、管理ユーザーはドメインを表示および編集できます。詳細については、「ドメインの表示と編集」を参照してください。

オンボーディング後にドメインにアクセスする

ユーザーは以下 SageMaker を使用して にアクセスできます。