IAM アイデンティティセンターを使用した Amazon SageMaker ドメインへのカスタムオンボーディング - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM アイデンティティセンターを使用した Amazon SageMaker ドメインへのカスタムオンボーディング

このトピックでは、 AWS IAM Identity Center SageMaker コンソールまたはからの認証を使用して Amazon SageMaker ドメインにオンボーディングする方法について説明します。 AWS CLI IAM Identity Center をドメインで使用するように設定する方法については、を参照してください。Amazon SageMaker ドメインで使用するための IAM アイデンティティセンターのセットアップ AWS Identity and Access Management (IAM) 認証を使用してオンボーディングする方法については、またはを参照してください。クイックオンボーディング IAM を使用したカスタムオンボーディング

コンソールからのオンボード

の前提条件 ( AWS アカウントの作成、管理ユーザーの作成、の設定 AWS CLI) を満たしたら、次の手順に従います。Amazon SageMaker の前提条件をセットアップする

IAM Identity Center を使用してドメインにオンボーディングするには
  1. SageMaker コンソールを開きます。

  2. 左のナビゲーションペインで、[管理設定‭] を選択します。

  3. 管理者設定」で、ドメインを選択します。

  4. ドメイン」ページから「ドメインを作成」を選択します。

  5. SageMaker ドメインの設定」ページで、「組織用に設定」を選択します。

  6. [Configure] (設定) を選択します。

ステップ 1: ドメイン詳細

  1. [ドメイン名] には、ドメインの一意の名前を入力します。たとえば、プロジェクト名やチーム名などがこれに該当します。

  2. [次へ] を選択します。

ステップ 2: ユーザーと ML アクティビティ

グループを選択するか、ドメインのユーザーを作成して、アクセスさせたい ML アクティビティの権限を付与します。

このセットアップ手順では、IAM Identity Center オプションを使用します。IAM Identity Center で認証を使用するには、 AWS Organizationsで組織に属している必要があります。IAM ID センターの設定については、を参照してください。Amazon SageMaker ドメインで使用するための IAM アイデンティティセンターのセットアップ

このステップで設定した IAM ロールは、選択した IAM Identity Center グループと、そのグループに属するすべてのユーザーに割り当てられます。

  1. 「Studio にアクセスする方法を教えてください」 の下にあります。 で [AWS ID センター] を選択します。

  2. [Studio を使用するのは誰ですか?] の下にあります。 IAM ID センターのユーザーまたはグループを選択し、[選択] を選択します。IAM アイデンティティセンターが設定されているのと同じリージョン内に Amazon SageMaker Studio をセットアップする必要があります。ドメインのリージョンを変更するには、コンソールの右上にあるドロップダウンリストからリージョンを選択するか、アクセスポータルに移動して IAM ID センターのリージョンを変更できます。AWS

  3. どの ML アクティビティを実行しているのか?」 [既存のロールを使用する] を選択して既存のロールを使用するか、[Create a new role] を選択し、そのロールにアクセス権を付与したい ML アクティビティを確認して新しいロールを作成できます。選択できる ML アクティビティは最大 10 件です。

  4. ML アクティビティを選択する際、要件を満たす必要がある場合があります。要件を満たすには、[追加] を選択して要件を完成させます。

  5. すべての要件が満たされたら、[次へ] を選択します。

ステップ 3: アプリケーション

このステップでは、前のステップで有効にしたアプリケーションを設定できます。ML アクティビティの詳細については、を参照してくださいML アクティビティリファレンス

アプリケーションが有効になっていない場合は、そのアプリケーションに関する警告が表示されます。有効化されていないアプリケーションを有効にするには、[戻る] を選択して前の手順に戻り、前の手順に従います。

Studio の設定:

Studio では、デフォルトエクスペリエンスとして Studio の新バージョンとクラシックバージョンのどちらかを選択できます。つまり、Studio を開いた後に操作する ML 環境を選択することになります。

  • スタジオ-新機能には、Amazon SageMaker Studio Classic を含む複数の統合開発環境 (IDE) とアプリケーションが含まれています。選択した場合、Studio クラシック IDE にはデフォルト設定が適用されます。デフォルト設定について詳しくは、を参照してくださいデフォルト設定

  • スタジオクラシックには Jupyter IDE が含まれています。選択した場合、Studio クラシック構成を構成できます。

    Studio Classic について詳しくは、を参照してくださいAmazon SageMaker スタジオクラシック

SageMaker キャンバス設定:

Amazon SageMaker Canvas を有効にしている場合、Amazon SageMaker キャンバスの使用を開始するオンボーディングの手順と設定の詳細についてはを参照してください。

Studio クラシック設定:

デフォルトエクスペリエンスとして Studio-新規 (推奨) を選択した場合、Studio Classic IDE にはデフォルト設定が適用されます。デフォルト設定について詳しくは、を参照してくださいデフォルト設定

デフォルトエクスペリエンスとして Studio Classic を選択した場合は、ノートブックリソースの共有を有効または無効にすることができます。ノートブックリソースには、セル出力や Git リポジトリなどのアーティファクトが含まれます。ノートブックリソースの詳細については、「」を参照してください。Amazon SageMaker Studio クラシックノートブックを共有して使用する

ノートブックリソースの共有を有効にした場合:

  1. [共有可能なノートブックリソースの S3 ロケーション] に Amazon S3 ロケーションを入力します。

  2. [暗号化キー-オプション] で [カスタム暗号化なし] のままにするか、 AWS KMS 既存のキーを選択するか、[KMS キー ARN を入力] AWS KMS を選択してキーの ARN を入力します。

  3. ノートブックセル出力の共有設定」 で、「ユーザーによるセル出力の共有を許可」または「セル出力共有を無効にする」を選択します。

RStudio 設定:

RStudio を有効にするには、RStudio ライセンスが必要です。これを設定する方法については、を参照してください。RStudio ライセンス

  1. [RStudio Workbench] で、RStudio ライセンスが自動検出されることを確認します。RStudio のライセンスを取得してアクティベーションする方法の詳細については SageMaker、を参照してください。RStudio ライセンス

  2. RStudio サーバーを起動するインスタンスタイプを選択します。詳細については、「R StudioServerPro インスタンスタイプ」を参照してください。

  3. [Permission] (アクセス許可) で、ロールを作成するか、既存のロールを選択します。ロールには、次のアクセス許可ポリシーが必要です。このポリシーにより、R StudioServerPro アプリケーションは必要なリソースにアクセスできます。また、既存の R StudioServerPro アプリケーションが Deleted or Failed ステータスになったときに、Amazon SageMaker が R StudioServerPro アプリケーションを自動的に起動することもできます。ロールへのアクセス許可の付与の詳細については、「ロールのアクセス許可ポリシーの変更 (コンソール)」 を参照してください。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] }
  4. [RStudio Connect] で、RStudio Connect サーバーの URL を追加します。RStudio Connect は、Shiny アプリケーション、R Markdown レポート、ダッシュボード、プロットなどのためのパブリッシングプラットフォームです。で RStudio にオンボーディングしても SageMaker、RStudio Connect サーバは作成されません。詳細については、「RStudio Connect URL」を参照してください。

  5. RStudio Package マネージャーで、RStudio Package マネージャーの URL を追加します。 SageMaker RStudio をオンボードすると、Package マネージャーのデフォルトパッケージリポジトリが作成されます。RStudio パッケージマネージャーの詳細については、「RStudio Package Manager」を参照してください。

  6. [次へ] を選択します。

コードエディターの設定:

コードエディターが有効になっている場合は、「コードエディター」で概要と設定の詳細を確認してください。

ステップ 4: ネットワーク

Studio AWS を他のサービスに接続する方法を選択します。

Virtual Private Cloud (VPC) Only のネットワークアクセスタイプを使用して指定することで、Studio へのインターネットアクセスを無効にすることができます。このオプションを選択した場合、VPC に SageMaker API とランタイムへのインターフェイスエンドポイント、またはインターネットにアクセスできるネットワークアドレス変換 (NAT) ゲートウェイがあり、セキュリティグループがアウトバウンド接続を許可しない限り、Studio Notebook を実行することはできません。Amazon VPC の詳細については、を参照してくださいAmazon VPC の選択

Virtual Private Cloud (VPC) を選択した場合次の手順のみが必要です。パブリックインターネットアクセスを選択する場合、次のうち最初の 2 つのステップが必要です。

  1. VPC の下で、Amazon VPC ID を選択します。

  2. [サブネット] で 1 つ以上のサブネットを選択します。サブネットを何も選択しない場合は、Amazon VPC SageMaker のすべてのサブネットを使用します。制約のあるアベイラビリティーゾーンに作成されていない複数のサブネットを使用することをお勧めします。このような制約のあるアベイラビリティーゾーンでサブネットを使用すると、容量不足エラーが発生し、アプリケーションの作成時間が長くなる可能性があります。制約のあるアベイラビリティーゾーンの詳細については、「アベイラビリティーゾーン」を参照してください。

  3. [セキュリティグループ] で、1 つ以上のサブネットを選択します。

VPC のみを選択した場合、ドメインに定義されているセキュリティグループ設定が、 SageMaker ドメインに作成されたすべての共有スペースに自動的に適用されます。「パブリックインターネットのみ」を選択した場合、 SageMaker ドメイン内に作成された共有スペースにはセキュリティグループ設定は適用されません。

ステップ 5: ストレージ

データを暗号化することもできます。ドメインを作成するときに自動的に作成される Amazon Elastic File System (Amazon EFS) と Amazon Elastic Block Store (Amazon EBS) ファイルシステム。Amazon EBS のサイズは、 JupyterLab コードエディタとスペースの両方で使用されます。

Amazon EFS および Amazon EBS ファイルシステムを暗号化した後で暗号化キーを変更することはできません。Amazon EFS と Amazon EBS のファイルシステムを暗号化するには、以下の設定を使用できます。

  • [暗号化キー-オプション] で [カスタム暗号化なし] のままにするか、既存の KMS キーを選択するか、[KMS キー ARN を入力] を選択して KMS キーの ARN を入力します。

  • [デフォルトスペースサイズ-オプション] に、デフォルトのスペースサイズを入力します。

  • [最大スペースサイズ-オプション] に、最大スペースサイズを入力します。

ステップ 6: 確認して作成する

ドメイン設定を確認する。設定を変更する必要がある場合は、該当するステップの横にある [編集] を選択します。ドメイン設定が正しいことを確認したら、[Submit] を選択します。ドメインが自動的に作成されます。このプロセスには数分かかることがあります。

からオンボーディングします。 AWS CLI

次のコマンドを使用して、から IAM Identity Center を使用した認証を使用してドメインにオンボーディングします。 AWS CLI

の前提条件 ( AWS アカウントの作成、管理ユーザーの作成、の設定 AWS CLI) を満たしたら、次の手順を実行しますAmazon SageMaker の前提条件をセットアップする

  1. ドメインの作成に使用する実行ロールを作成し、ポリシーをアタッチします。AmazonSageMakerFullAccess少なくとも、 SageMaker そのロールを引き受ける権限を付与する信頼ポリシーが添付されている既存のロールを使用することもできます。詳細については、「SageMaker ロール」を参照してください。

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
  2. アカウントのデフォルトの Amazon Virtual Private Cloud (Amazon VPC) を取得します。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
  3. デフォルトの Amazon VPC のサブネットのリストを取得します。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
  4. デフォルトの Amazon VPC ID、サブネット、および実行ロール ARN を渡してドメインを作成します。 SageMaker 画像 ARN も渡す必要があります。 JupyterLab使用可能なバージョン ARN については、を参照してください。 JupyterLabデフォルトバージョンを設定する。

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode SSO --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text
  5. ドメインが作成されたことを確認します。

    aws --region region sagemaker list-domains

オンボーディング後にドメインにアクセスします。

ドメインへのアクセス権が付与されると、パスワードを作成して IAM Identity Center を使用するように勧めるメールが送信されます。E メールには、ドメインにサインインするための URL も含まれています。サインインとセッション期間の詳細については、「ユーザーポータルへのサインイン方法」を参照してください。

アカウントを有効にしたら、ドメイン URL に移動してサインインし、ユーザープロファイルが作成されるのを待ちます。それ以降のアクセスでは、Studio アプリが読み込まれるのを待つだけで済みます。

URL をブックマークします。URL はドメイン設定ページでも確認できます