Amazon에 대한 사용자 지정 설정 SageMaker

조직 설정 (사용자 지정 설정) 은 Amazon SageMaker 도메인의 고급 설정을 안내합니다. 이 옵션은 권한, 통합 및 암호화를 포함하여 계정 구성의 모든 측면을 이해하고 제어하는 데 도움이 되는 정보와 권장 사항을 제공합니다. 사용자 지정 도메인을 설정하려면 이 옵션을 사용하십시오. 도메인에 대한 자세한 내용은 을 참조하십시오아마존 SageMaker 도메인 개요.

인증 방법

도메인을 설정하기 전에 사용자가 도메인에 액세스할 수 있는 인증 방법을 고려하십시오.

AWS 아이덴티티 센터:

• 사용자 그룹에 대한 액세스 권한 관리를 간소화하는 데 도움이 됩니다. 각 개별 사용자에게 권한을 적용하는 대신 사용자 그룹에 권한을 부여하거나 거부할 수 있습니다. 사용자가 다른 조직으로 이동하는 경우 해당 사용자를 다른 조직으로 이동할 수 있습니다. AWS Identity and Access Management ID 센터 (AWS IAM Identity Center) 그룹. 그러면 사용자는 새 조직에 필요한 권한을 자동으로 받게 됩니다.

  IAM아이덴티티 센터는 같은 곳에 있어야 한다는 점에 유의하세요. AWS 리전 도메인으로.

  IAMID 센터를 설정하려면 다음 지침을 따르십시오. AWS IAM아이덴티티 센터 사용 설명서:

  • 활성화부터 시작하세요 AWS IAM Identity Center.

  • 최소 권한 권한 적용 모범 사례를 따르는 권한 집합을 만드십시오.

  • IAMIdentity Center 디렉터리에 그룹을 추가합니다.

  • 사용자 및 그룹에 싱글 사인온 액세스 권한을 할당하세요.

  • IAMIdentity Center에서 일반적인 작업을 시작하는 데 필요한 기본 워크플로를 확인하세요.

• IAMIdentity Center의 사용자는 다음을 사용하여 도메인에 액세스할 수 있습니다. AWS 액세스 포털 URL해당 이메일이 사용자에게 전송됩니다. 이메일에는 도메인에 액세스하기 위한 계정을 만드는 방법이 나와 있습니다. 자세한 내용은 로그인을 참조하십시오. AWS 액세스 포털.

  관리자로서 다음을 찾을 수 있습니다. AWS 액세스 포털 URLIAMID 센터로 이동하여 해당 센터를 찾으면 AWS 액세스 포털 URL설정 요약에서

• 도메인은 다음을 사용해야 합니다. AWS Identity and Access Management (IAM) 인증: 도메인 액세스를 특정 Amazon Virtual Private Cloud (VPCs), 인터페이스 엔드포인트 또는 사전 정의된 IP 주소 집합으로만 제한하려는 경우 IAMID 센터 인증을 사용하는 도메인에는 이 기능이 지원되지 않습니다. 여전히 IAM Identity Center를 사용하여 중앙 집중식 직원 ID 제어를 활성화할 수 있습니다. 일관된 사용자 로그인 환경을 제공하기 위해 IAM Identity Center를 유지하면서 이러한 제한을 구현하는 방법에 대한 지침은 ID 센터를 통한 IAM Amazon SageMaker Studio Classic 및 SAML 애플리케이션 보안 액세스를 참조하십시오. AWS 기계 학습 블로그. 참고하세요. AWS SSO이 블로그의 IAM 아이덴티티 센터입니다.

IAM다음을 통해 로그인하세요.

• 사용자 프로필은 계정에 로그인한 후 SageMaker 콘솔을 통해 도메인에 액세스할 수 있습니다.

• 를 사용하는 경우 특정 Amazon Virtual Private Cloud (VPCs), 인터페이스 엔드포인트 또는 사전 정의된 IP 주소 집합으로만 도메인 액세스를 제한할 수 있습니다. AWS Identity and Access Management (IAM) 인증. 자세한 내용은 사용자 내부에서만 액세스 허용 VPC 단원을 참조하십시오.

조직 설정 (사용자 지정 설정)

콘솔을 사용한 사용자 지정 설정

의 사전 요구 사항을 충족한 후 SageMaker 도메인 설정 (사용자 지정 설정) 페이지를 열고 설정에 대한 자세한 내용을 보려면 다음 섹션을 확장하십시오. 아마존 SageMaker 사전 요구 사항

콘솔에서 SageMaker 도메인 설정을 엽니다. SageMaker

1. SageMaker 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 관리 구성을 선택하여 옵션을 확장합니다.

3. 관리자 구성에서 도메인을 선택합니다.

4. 도메인 페이지에서 Create domain(도메인 생성)을 선택합니다.

5. SageMaker 도메인 설정 페이지에서 조직 설정을 선택합니다.

6. 설정을 선택합니다.

SageMaker 도메인 설정 페이지를 연 후 다음 지침을 따르세요.

1단계: 도메인 세부 정보

1. 도메인 이름에는 도메인의 고유한 이름을 입력합니다. 예를 들어 이 이름은 프로젝트 또는 팀 이름일 수 있습니다.

2. Next(다음)를 선택합니다.

2단계: 사용자 및 ML 활동

이 단계에서는 도메인의 인증 방법, 사용자, 권한을 설정합니다.

1. Studio에 어떻게 액세스하시겠습니까? 에서 두 가지 옵션 중 하나를 선택할 수 있습니다. 인증 방법에 대한 자세한 내용은 을 참조하십시오인증 방법. 옵션에 대한 자세한 내용은 다음을 참조하십시오.

   • AWS 아이덴티티 센터:

     Studio는 누가 사용할 예정인가요? 하나를 선택하세요 AWS IAM Identity Center 도메인에 액세스할 그룹.

     Identity Center 사용자 그룹 없음을 선택하면 사용자가 없는 도메인이 생성됩니다. 도메인을 생성한 후 IAM Identity Center 그룹을 도메인에 추가할 수 있습니다. 자세한 내용은 도메인 보기 및 편집 단원을 참조하십시오.

   • IAM다음을 통해 로그인하십시오.

     아래에서 Studio를 사용할 사람은 누구인가요? + 사용자 추가를 선택하고 새 사용자 프로필 이름을 입력한 다음 추가를 선택하여 사용자 프로필 이름을 만들고 추가합니다.

     이 과정을 반복하여 사용자 프로필을 여러 개 만들 수 있습니다.

2. Studio는 누가 사용할 예정인가요? IAMIdentity Center 사용자 또는 그룹을 선택한 다음 선택을 선택합니다. IAMID 센터가 구성된 동일한 지역 내에 Amazon SageMaker Studio를 설정해야 합니다. 콘솔 오른쪽 상단의 드롭다운 목록에서 지역을 선택하여 도메인의 지역을 변경하거나 다음으로 이동하여 IAM ID 센터 지역을 변경할 수 있습니다. AWS 포털에 접속하세요.

3. 어떤 ML 활동을 수행하나요? 기존 역할 사용을 선택하여 기존 역할을 사용하거나, 새 역할 생성을 선택하고 역할에 액세스할 ML 활동을 선택하여 새 역할을 생성할 수 있습니다.

4. ML 활동을 선택할 때 요구 사항을 충족해야 할 수도 있습니다. 요구 사항을 충족하려면 추가를 선택하고 요구 사항을 완료하십시오.

5. 모든 요구 사항이 충족되면 다음을 선택합니다.

3단계: 애플리케이션

이 단계에서는 이전 단계에서 활성화한 애플리케이션을 구성할 수 있습니다. ML 활동에 대한 자세한 내용은 을 참조하십시오ML 활동 참조.

애플리케이션이 활성화되지 않은 경우 해당 애플리케이션에 대한 경고 메시지가 표시됩니다. 활성화되지 않은 애플리케이션을 활성화하려면 뒤로를 선택하여 이전 단계로 돌아간 다음 이전 지침을 따르십시오.

• 스튜디오 구성:

  Studio에서는 Studio의 최신 버전과 클래식 버전 중에서 기본 환경으로 선택할 수 있습니다. 즉, Studio를 열 때 상호작용할 ML 환경을 선택해야 합니다.

  • 스튜디오에는 Amazon SageMaker Studio Classic을 비롯한 여러 통합 개발 환경 (IDEs) 및 애플리케이션이 포함되어 있습니다. 선택하면 스튜디오 클래식에 기본 IDE 설정이 적용됩니다. 기본 설정에 대한 자세한 내용은 을 참조하십시오기본 설정.

    Studio에 대한 자세한 내용은 을 참조하십시오아마존 SageMaker 스튜디오.

  • 스튜디오 클래식에는 IDE 주피터가 포함되어 있습니다. 선택한 경우 스튜디오 클래식 구성을 구성할 수 있습니다.

    스튜디오 클래식에 대한 자세한 내용은 을 참조하십시오아마존 SageMaker 스튜디오 클래식.

• SageMaker 캔버스 구성:

  Amazon SageMaker Canvas를 활성화한 경우 아마존 SageMaker 캔버스 사용 시작하기 온보딩에 대한 지침 및 구성 세부 정보를 참조하십시오.

• 스튜디오 클래식 구성:

  Studio (권장) 를 기본 환경으로 선택한 경우 Studio IDE Classic에는 기본 설정이 있습니다. 기본 설정에 대한 자세한 내용은 을 참조하십시오기본 설정.

  Studio Classic을 기본 환경으로 선택한 경우 노트북 리소스 공유를 활성화하거나 비활성화할 수 있습니다. Notebook 리소스에는 셀 출력 및 Git 리포지토리와 같은 아티팩트가 포함됩니다. Notebook 리소스에 대한 자세한 내용은 을 참조하십시오. Amazon SageMaker 스튜디오 클래식 노트북 공유 및 사용

  노트북 리소스 공유를 활성화한 경우:

  1. 공유 가능한 노트북 리소스의 S3 위치에 Amazon S3 위치를 입력합니다.

  2. 암호화 키 - 선택 사항에서 사용자 지정 암호화 없음으로 그대로 두거나 기존 암호화 중 하나를 선택합니다. AWS KMS 키를 누르거나 KMS키 입력을 ARN 선택하고 다음을 입력합니다. AWS KMS 키ARN.

  3. 노트북 셀 출력 공유 환경설정에서 사용자가 셀 출력을 공유하도록 허용 또는 셀 출력 공유 비활성화를 선택합니다.

• RStudio구성:

  RStudio활성화하려면 RStudio 라이선스가 필요합니다. 설정하려면 을 참조하십시오RStudio 라이선스.

  1. RStudio워크벤치에서 RStudio 라이선스가 자동으로 감지되는지 확인합니다. RStudio라이선스 취득 및 활성화에 대한 자세한 내용은 을 참조하십시오. SageMaker RStudio 라이선스

  2. RStudio서버를 시작할 인스턴스 유형을 선택합니다. 자세한 내용은 R StudioServerPro 인스턴스 유형 단원을 참조하십시오.

  3. 권한에서 역할을 생성하거나 기존 역할을 선택합니다. 역할에는 다음과 같은 권한 정책이 있어야 합니다. 이 정책을 통해 RStudioServerPro 애플리케이션은 필요한 리소스에 액세스할 수 있습니다. 또한 기존 RStudioServerPro 애플리케이션이 Deleted 또는 Failed 상태일 때 SageMaker Amazon이 RStudioServerPro 애플리케이션을 자동으로 시작할 수 있습니다. 역할에 권한을 추가하는 방법은 역할 권한 정책 수정(콘솔)을 참조하세요.

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. RStudioConnect에서 사용 중인 RStudio Connect URL 서버용으로 를 추가합니다. RStudioConnect는 Shiny 애플리케이션, R Markdown 보고서, 대시보드, 플롯 등을 위한 게시 플랫폼입니다. 온보딩할 RStudio 때는 RStudio Connect 서버가 생성되지 않습니다. SageMaker 자세한 내용은 RStudio Connect URL 단원을 참조하십시오.

  5. RStudio패키지 관리자에서 패키지 URL 관리자용으로 를 RStudio 추가합니다. SageMaker RStudio온보딩할 때 Package Manager의 기본 패키지 저장소를 만듭니다. RStudio패키지 관리자에 대한 자세한 내용은 을 참조하십시오RStudio 패키지 관리자.

  6. 다음을 선택합니다.

• 코드 편집기 구성:

  코드 편집기를 활성화한 경우 개요 및 구성 세부 정보는 을 Amazon SageMaker 스튜디오에서 코드 편집기로 시작하기 참조하십시오.

4단계: 스튜디오 UI 사용자 지정

이 섹션에서는 Studio에 표시되는 보기 가능 애플리케이션 및 기계 학습 (ML) 도구를 사용자 지정할 수 있습니다. 이 사용자 지정을 사용하면 Studio의 왼쪽 탐색 창에 있는 애플리케이션과 ML 도구만 숨겨집니다. Studio UI에 대한 자세한 내용은 을 참조하십시오아마존 SageMaker 스튜디오 UI 개요.

애플리케이션에 대한 자세한 내용은 을 참조하십시오Amazon SageMaker 스튜디오에서 지원되는 애플리케이션.

Studio Classic에서는 Studio UI 사용자 지정 기능을 사용할 수 없습니다. Studio를 기본 환경으로 설정하려면 [이전] 을 선택하고 이전 단계로 돌아가십시오.

1. Studio UI 사용자 지정 페이지에서 Studio에 표시된 애플리케이션과 ML 도구를 끄면 숨길 수 있습니다.

2. 변경 내용을 검토한 후 다음을 선택합니다.

5단계: 네트워크 설정 설정

Studio를 다른 Studio에 연결하는 방법을 선택합니다. AWS 서비스.

가상 사설 클라우드 (VPC) 전용 네트워크 액세스 유형을 사용하여 스튜디오에 대한 인터넷 액세스를 비활성화하도록 선택할 수 있습니다. 이 옵션을 선택하면 런타임에 대한 인터페이스 엔드포인트 또는 인터넷 VPC 액세스가 가능한 Network Address Translation (NAT) 게이트웨이가 SageMaker API 있고 보안 그룹이 아웃바운드 연결을 허용하지 않는 한 스튜디오 노트북을 실행할 수 없습니다. Amazon에 대한 자세한 내용은 VPCs 을 참조하십시오아마존 선택 VPC.

가상 사설 클라우드 (VPC) 를 선택하는 경우 다음 단계만 필요합니다. 공용 인터넷 액세스를 선택하는 경우 다음 단계 중 처음 두 단계가 필요합니다.

1. VPC에서 Amazon VPC ID를 선택합니다.

2. 서브넷에서 하나 이상의 서브넷을 선택합니다. 서브넷을 선택하지 않는 경우 Amazon의 모든 서브넷을 SageMaker 사용합니다. VPC 제한된 가용 영역에서 생성되지 않은 여러 서브넷을 사용하는 것이 좋습니다. 이렇게 제한된 가용 영역에서 서브넷을 사용하는 경우, 용량 부족 오류가 발생하고 애플리케이션 생성 시간이 길어질 수 있습니다. 제한된 가용 영역에 대한 자세한 내용은 가용 영역을 참조하세요.

3. 보안 그룹에서 하나 이상의 서브넷을 선택합니다.

VPC만 선택하면 도메인에 정의된 보안 그룹 설정이 도메인에서 생성된 모든 공유 공간에 SageMaker 자동으로 적용됩니다. 공용 인터넷 전용을 선택한 경우 도메인에서 생성된 공유 공간에 보안 그룹 설정을 적용하지 SageMaker 않습니다.

6단계: 스토리지 구성

데이터를 암호화할 수 있는 옵션이 있습니다. 도메인을 생성할 때 자동으로 생성되는 Amazon Elastic File System (Amazon EFSEBS) 및 Amazon 엘라스틱 블록 스토어 (Amazon) 파일 시스템. Amazon EBS 크기는 코드 편집기와 JupyterLab 스페이스 모두에서 사용됩니다.

Amazon EFS 및 Amazon EBS 파일 시스템을 암호화한 후에는 암호화 키를 변경할 수 없습니다. Amazon EFS 및 Amazon EBS 파일 시스템을 암호화하려면 다음 구성을 사용할 수 있습니다.

• 암호화 키 - 선택 사항에서 사용자 지정 암호화 없음으로 그대로 두거나 기존 KMS KMS키를 선택하거나 키 입력을 ARN 선택하고 KMS 키를 입력합니다. ARN

• 기본 공간 크기 - 선택 사항에서 기본 공간 크기를 입력합니다.

• 최대 공간 크기 - 선택 사항에서 최대 공간 크기를 입력합니다.

7단계: 검토 및 작성

도메인 설정을 검토하세요. 설정을 변경해야 하는 경우 관련 단계 옆에 있는 편집을 선택합니다. 도메인 설정이 정확한지 확인한 후 제출을 선택하면 도메인이 자동으로 생성됩니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다.

를 사용한 사용자 지정 설정 AWS CLI

다음 섹션에서는 다음을 제공합니다. AWS CLI IAMIdentity Center 또는 IAM 인증 방법을 사용하여 도메인을 사용자 지정하는 방법에 대한 지침을 제공합니다.

설정을 포함한 사전 요구 사항을 충족한 후 AWS CLI 에서 아마존 SageMaker 사전 요구 사항 자격 증명을 사용하려면 다음 단계를 사용하십시오.

1. 도메인을 생성하고 AmazonSageMakerFullAccess정책을 연결하는 데 사용되는 실행 역할을 생성합니다. 역할을 수임할 SageMaker 권한을 부여하는 신뢰 정책이 최소한 연결되어 있는 기존 역할을 사용할 수도 있습니다. 자세한 내용은 SageMaker 실행 역할 사용 방법 단원을 참조하십시오.

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. 계정의 기본 Amazon Virtual Private Cloud (AmazonVPC) 를 가져오십시오.

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. 기본 VPC Amazon에서 서브넷 목록을 가져옵니다.

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. 기본 Amazon VPC ID, 서브넷, 실행 역할을 ARN 전달하여 도메인을 생성합니다. 또한 SageMaker 이미지를 ARN 전달해야 합니다. 사용 가능한 JupyterLab 버전에 대한 자세한 내용은 ARNs 을 참조하십시오기본 JupyterLab 버전 설정.

   의 authentication-mode 경우 IAM ID 센터 인증 또는 SSO IAM 인증에 IAM 사용합니다.

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

   를 사용할 수 있습니다. AWS CLI 를 사용하여 도메인에 대해 Studio에 표시된 애플리케이션 및 ML 도구를 사용자 지정합니다 StudioWebPortalSettings. 애플리케이션을 숨기고 ML 도구를 숨기는 HiddenAppTypes HiddenMlTools 데 사용합니다. Studio UI의 왼쪽 탐색을 사용자 지정하는 방법에 대한 자세한 내용은 을 참조하십시오Amazon SageMaker 스튜디오 사용자 인터페이스 사용자 지정. 스튜디오 클래식에서는 이 기능을 사용할 수 없습니다.

5. 도메인이 생성되었는지 확인하십시오.

   aws --region region sagemaker list-domains

사용자 지정 설정: 사용 AWS CloudFormation

를 사용하여 도메인을 생성하는 방법에 대한 자세한 내용은 AWS CloudFormation의 AWS::SageMaker: :도메인을 참조하십시오. AWS CloudFormation 사용 설명서.

예를 들어 AWS CloudFormation 도메인을 설정하는 데 사용할 수 있는 템플릿은 다음을 사용하여 Amazon SageMaker 도메인 생성을 참조하십시오. AWS CloudFormationaws-samples GitHub 리포지토리에서.

도메인을 설정한 후 관리자는 도메인을 보고 편집할 수 있습니다. 자세한 내용은 도메인 보기 및 편집을 참조하세요.

온보딩 후 도메인에 액세스합니다.

사용자는 다음을 SageMaker 사용하여 액세스할 수 있습니다.

• IAMIdentity Center 인증을 사용하여 도메인을 설정한 URL 경우 로그인합니다. 자세한 내용은 사용자 포털에 로그인하는 방법을 참조하십시오.

• SageMaker 콘솔.