IAM を使用した Amazon SageMaker Domain へのカスタムオンボーディング - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM を使用した Amazon SageMaker Domain へのカスタムオンボーディング

このトピックでは、 コンソールまたは から AWS Identity and Access Management SageMaker (IAM) 認証の組織のセットアップ手順を使用して Amazon SageMaker Domain にオンボードする方法について説明しますAWS CLI。IAM を使って手早くオンボードするには、「クイックオンボーディング」を参照してください。

AWS IAM Identity Center (IAM Identity Center) を使用してオンボードする方法については、「IAM Identity Center を使用したカスタムオンボーディング」を参照してください。

コンソールを使用したオンボーディング

IAM を使用してドメインにオンボードするには
  1. SageMaker コンソールを開きます。

  2. 左側のナビゲーションペインで、[管理設定]‭ を選択します。

  3. [管理設定] で、[ドメイン] を選択します。

  4. [ドメインの追加] ページで [ドメインの作成] を選択します。

  5. SageMaker 「ドメインのセットアップ」ページで、「組織のセットアップ」を選択します。

  6. [Configure] (設定) を選択します。

ステップ 1: ドメインの詳細

  1. [ドメイン名] にドメインの一意の名前を入力します。例えば、プロジェクト名やチーム名などです。

  2. [次へ] をクリックします。

ステップ 2: ユーザーと ML アクティビティ

グループを選択するか、ドメインのユーザーを作成し、アクセスできる ML アクティビティへのアクセス許可を付与します。

これらのセットアップ手順では、Login through IAM オプションを使用します。

このステップで設定した IAM ロールは、このステップで追加したすべてのユーザーに割り当てられます。

  1. Studio にアクセスする方法 でLogin through IAM を選択します。

  2. Studio を使用するユーザー にユーザープロファイル名を追加します。ユーザープロファイル名を追加するには、ユーザーを追加を選択し、ユーザープロファイル名を入力して、 を選択を選択します。

  3. どの ML アクティビティが実行されるか で既存のロールを使用する を選択するか、新しいロールの作成 を選択し、ロールにアクセスさせたい ML アクティビティを確認します。最大 10 個の ML アクティビティを選択できます。

  4. ML アクティビティを選択するときは、要件を満たす必要がある場合があります。要件を満たすには、追加 を選択し、要件を完了します。

  5. すべての要件が満たされたら、へを選択します。

ステップ 3: アプリケーション

このステップでは、前のステップで有効にしたアプリケーションを設定できます。ML アクティビティの詳細については、「」を参照してくださいML アクティビティリファレンス

アプリケーションが有効になっていない場合は、そのアプリケーションに関する警告が表示されます。有効になっていないアプリケーションを有効にするには、戻るを選択して前のステップに戻り、前の指示に従います。

SageMaker Studio の設定:

SageMaker Studio では、デフォルトのエクスペリエンスとして Studio の新しいバージョンとクラシックバージョンを選択できます。つまり、Studio を開いた後に操作する ML 環境を選択します。

  • SageMaker Studio - 新しい には、Amazon SageMaker Studio Classic を含む複数の統合開発環境 (IDEsとアプリケーションが含まれています。選択した場合、Studio Classic IDE にはデフォルト設定があります。デフォルト設定の詳細については、「」を参照してくださいデフォルト設定

  • SageMaker Studio Classic には Jupyter IDE が含まれています。選択すると、Studio Classic 設定を構成することができます。

    Studio Classic の詳細については、「」を参照してくださいAmazon SageMaker Studio Classic

SageMaker Canvas 設定:

Amazon SageMaker Canvas が有効になっている場合Amazon SageMaker Canvas の使用開始は、オンボーディングの手順と設定の詳細について「」を参照してください。

SageMaker Studio Classic の設定:

SageMaker Studio - デフォルトのエクスペリエンスとして新規 (推奨) を選択した場合、Studio Classic IDE にはデフォルト設定があります。デフォルト設定の詳細については、「」を参照してくださいデフォルト設定

デフォルトのエクスペリエンスとして Studio Classic を選択した場合は、ノートブックリソース共有を有効または無効にすることができます。ノートブックリソースには、セル出力や Git リポジトリなどのアーティファクトが含まれます。ノートブックリソースの詳細については、「」を参照してくださいAmazon SageMaker Studio Classic ノートブックを共有して使用する

ノートブックリソース共有を有効にした場合:

  1. 共有可能なノートブックリソースの S3 の場所 に、Amazon S3 の場所を入力します。

  2. 暗号化キー - オプション で、 をカスタム暗号化なしのままにするか、既存のAWS KMSキーを選択するか、KMS キー ARN を入力してAWS KMSキーの ARN を入力します。

  3. ノートブックセル出力共有設定 で、ユーザーがセル出力を共有できるようにする またはセル出力共有を無効にする を選択します。

RStudio 設定:

RStudio を有効にするには、RStudio ライセンスが必要です。設定するには、「」を参照してくださいRStudio ライセンス

  1. [RStudio Workbench] で、RStudio ライセンスが自動検出されることを確認します。RStudio ライセンスの取得と でのアクティブ化の詳細については SageMaker、「」を参照してくださいRStudio ライセンス

  2. RStudio サーバーを起動するインスタンスタイプを選択します。詳細については、「R StudioServerPro インスタンスタイプ」を参照してください。

  3. [Permission] (アクセス許可) で、ロールを作成するか、既存のロールを選択します。ロールには、次のアクセス許可ポリシーが必要です。このポリシーにより、R StudioServerPro アプリケーションは必要な リソースにアクセスできます。また、既存の R StudioServerPro アプリケーションが Deletedまたは Failedステータスの場合に、Amazon が RStudioServerPro アプリケーションを自動的に起動 SageMaker することもできます。ロールへのアクセス許可の付与の詳細については、「ロールのアクセス許可ポリシーの変更 (コンソール)」 を参照してください。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] }
  4. [RStudio Connect] で、RStudio Connect サーバーの URL を追加します。RStudio Connect は、Shiny アプリケーション、R Markdown レポート、ダッシュボード、プロットなどのためのパブリッシングプラットフォームです。で RStudio にオンボードすると SageMaker、RStudio Connect サーバーは作成されません。詳細については、「RStudio Connect URL」を参照してください。

  5. RStudio Package Manager で、RStudio Package Manager の URL を追加します。RStudio をオンボードすると、 はパッケージマネージャーのデフォルトパッケージリポジトリ SageMaker を作成します。RStudio パッケージマネージャーの詳細については、「RStudio Package Manager」を参照してください。

  6. [次へ] を選択します。

コードエディタの設定:

コードエディタを有効にしている場合は、「コードエディタ」で概要と設定の詳細を参照してください。

ステップ 4: ネットワーク

Studio を他の AWSサービスに接続する方法を選択します。

Virtual Private Cloud (VPC) のみのネットワークアクセスタイプを使用して を指定することで、Studio へのインターネットアクセスを無効にすることができます。このオプションを選択すると、VPC に SageMaker API とランタイムへのインターフェイスエンドポイント、またはインターネットアクセスを持つネットワークアドレス変換 (NAT) ゲートウェイがあり、セキュリティグループがアウトバウンド接続を許可しない限り、Studio ノートブックを実行できません。Amazon VPCs「」を参照してくださいAmazon VPCの選択

Virtual Private Cloud (VPC) を選択した場合は、次のステップのみが必要です。パブリックインターネットアクセス を選択した場合は、次のステップの最初の 2 つが必要です。

  1. VPC で、Amazon VPC ID を選択します。

  2. サブネット で、1 つ以上のサブネットを選択します。サブネットを選択しない場合、 は Amazon VPC 内のすべてのサブネット SageMaker を使用します。制約のあるアベイラビリティーゾーンに作成されていない複数のサブネットを使用することをお勧めします。このような制約のあるアベイラビリティーゾーンでサブネットを使用すると、容量不足エラーが発生し、アプリケーションの作成時間が長くなる可能性があります。制約のあるアベイラビリティーゾーンの詳細については、「アベイラビリティーゾーン」を参照してください。

  3. セキュリティグループ (複数) で、1 つ以上のサブネットを選択します。

VPC のみを選択すると、ドメインに定義されたセキュリティグループ設定が、ドメインで作成されたすべての共有スペース SageMaker に自動的に適用されます。パブリックインターネットのみを選択した場合、ドメインで作成された共有スペースにセキュリティグループ設定 SageMaker は適用されません。

ステップ 5: ストレージ

データを暗号化するオプションがあります。ドメインの作成時に作成される Amazon Elastic File System (Amazon EFS) および Amazon Elastic Block Store (Amazon EBS) ファイルシステム。Amazon EBS のサイズは、コードエディタと JupyterLab スペースの両方で使用されます。

Amazon EFS および Amazon EBS ファイルシステムを暗号化した後で暗号化キーを変更することはできません。Amazon EFS および Amazon EBS ファイルシステムを暗号化するには、次の設定を使用できます。

  • 暗号化キー - オプション で、 をカスタム暗号化なしのままにするか、既存の KMS キーを選択するか、KMS キー ARN を入力して KMS キーの ARN を入力します。

  • デフォルトのスペースサイズ - オプション で、デフォルトのスペースサイズを入力します。

  • 最大スペースサイズ - オプション で、最大スペースサイズを入力します。

ステップ 6: 確認して作成する

ドメイン設定を確認します。設定を変更する必要がある場合は、関連するステップの横にある編集を選択します。ドメイン設定が正確であることを確認したら、送信 を選択すると、ドメインが作成されます。このプロセスには数分かかることがあります。

AWS CLI を使用したオンボーディング

AWS CLI から IAM を利用した認証を使用してドメインにオンボードするには、以下のコマンドを使用します。

  1. ドメインの作成とAmazonSageMakerFullAccessポリシーのアタッチに使用される実行ロールを作成します。少なくとも、ロールを引き受ける SageMaker アクセス許可を付与する信頼ポリシーがアタッチされている既存のロールを使用することもできます。詳細については、「SageMaker ロール」を参照してください。

    aws iam create-role --role-name execution-role-name aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
  2. アカウントのデフォルトの Amazon Virtual Private Cloud (Amazon VPC) を取得します。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
  3. デフォルトの Amazon VPC のサブネットのリストを取得します。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
  4. デフォルトの Amazon VPC ID、サブネット、実行ロール ARN を渡してドメインを作成します。また、 SageMaker イメージ ARN を渡す必要があります。使用可能な JupyterLabバージョン ARNs「」を参照してくださいデフォルト JupyterLabバージョンの設定

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode IAM --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text
  5. ドメインが作成されたことを確認します。

    aws --region region sagemaker list-domains