Configuração personalizada para a Amazon SageMaker

A configuração para organizações (configuração personalizada) orienta você por meio de uma configuração avançada para seu SageMaker domínio da Amazon. Essa opção fornece informações e recomendações para ajudar você a entender e controlar todos os aspectos da configuração da conta, incluindo permissões, integrações e criptografia. Use essa opção se quiser configurar um domínio personalizado. Para obter informações sobre domínios, consulteVisão geral SageMaker do domínio da Amazon.

Métodos de autenticação

Antes de configurar o domínio, considere os métodos de autenticação para que seus usuários acessem o domínio.

AWS Centro de identidade:

• Ajuda a simplificar a administração das permissões de acesso a grupos de usuários. Você pode conceder ou negar permissões a grupos de usuários, em vez de aplicar essas permissões a cada usuário individual. Se um usuário se mudar para uma organização diferente, você poderá movê-lo para um grupo diferente da Central de AWS Identity and Access Management Identidade (AWS IAM Identity Center). Em seguida, o usuário recebe automaticamente as permissões necessárias para a nova organização.

  Observe que o IAM Identity Center precisa estar no Região da AWS mesmo domínio.

  Para configurar o IAM Identity Center, use as seguintes instruções do Guia do usuário AWS do IAM Identity Center:

  • Comece com a ativação AWS IAM Identity Center.

  • Crie um conjunto de permissões que siga as melhores práticas de aplicação de permissões com privilégios mínimos.

  • Adicione grupos ao seu diretório do IAM Identity Center.

  • Atribua acesso de login único a usuários e grupos.

  • Veja os fluxos de trabalho básicos para começar com tarefas comuns no IAM Identity Center.

• Os usuários no IAM Identity Center podem acessar o domínio usando uma Portal de acesso da AWS URL que é enviada por e-mail para eles. O e-mail fornece instruções para criar uma conta para acessar o domínio. Para obter mais informações, consulte Fazer login no Portal de acesso da AWS.

  Como administrador, você pode encontrar o Portal de acesso da AWS URL navegando até o IAM Identity Center e encontrando o Portal de acesso da AWS URL em Resumo das configurações.

• Seu domínio deve usar a autenticação AWS Identity and Access Management (IAM) se você quiser restringir o acesso aos seus domínios exclusivamente a determinadas Amazon Virtual Private Clouds (VPCs), endpoints de interface ou um conjunto predefinido de endereços IP. Esse recurso não é compatível com domínios que usam a autenticação do IAM Identity Center. Você ainda pode usar o IAM Identity Center para permitir o controle centralizado da identidade da força de trabalho. Para obter instruções sobre como implementar essas restrições e, ao mesmo tempo, manter o IAM Identity Center para fornecer uma experiência consistente de login ao usuário, consulte Acesso seguro ao Amazon SageMaker Studio Classic com o IAM Identity Center e um aplicativo SAML no blog de aprendizado AWS de máquina. Observe que o AWS SSO é o IAM Identity Center neste blog.

Faça login por meio do IAM:

• Os perfis de usuário podem acessar o domínio por meio do SageMaker console após fazer login na conta.

• Você pode restringir o acesso aos seus domínios exclusivamente a determinadas Amazon Virtual Private Clouds (VPCs), endpoints de interface ou um conjunto predefinido de endereços IP ao usar a autenticação AWS Identity and Access Management (IAM). Para ter mais informações, consulte Permitir o acesso somente de dentro da sua VPC.

Configuração para organizações (configuração personalizada)

Configuração personalizada usando o console

Depois de atender aos pré-requisitos SageMaker Pré-requisitos da Amazon, abra a página Configurar SageMaker domínio (configuração personalizada) e expanda as seções a seguir para obter informações sobre a configuração.

Abra a opção Configurar SageMaker domínio a partir do SageMaker console

1. Abra o console de SageMaker .

2. No painel de navegação esquerdo, escolha Configurações administrativas para expandir as opções.

3. Em Configurações do administrador, escolha Domínios.

4. Na página Domínios, selecione Criar Domínio.

5. Na página Configurar SageMaker domínio, escolha Configurar para organizações.

6. Escolha Set up (Configurar).

Depois de abrir a página Configurar SageMaker domínio, use as seguintes instruções:

Etapa 1: detalhes do domínio

1. Em Nome do domínio, insira um nome exclusivo para seu domínio. Por exemplo, esse pode ser o nome do seu projeto ou da equipe.

2. Escolha Próximo.

Etapa 2: usuários e atividades de ML

Nesta etapa, você configura o método de autenticação, os usuários e as permissões do seu domínio.

1. Em Como você deseja acessar o Studio? , você pode escolher uma das duas opções. Para obter informações sobre os métodos de autenticação, consulteMétodos de autenticação. Os detalhes sobre as opções são fornecidos a seguir:

   • AWS Centro de identidade:

     Em Quem usará o Studio? escolha um AWS IAM Identity Center grupo que acessará o domínio.

     Se você escolher Sem grupo de usuários do Identity Center, você criará um domínio sem usuários. Você pode adicionar grupos do IAM Identity Center ao domínio após a criação do domínio. Para ter mais informações, consulte Visualize e edite domínios.

   • Faça login por meio do IAM:

     Em Quem usará o Studio? escolha + Adicionar usuário, insira um novo nome de perfil de usuário e escolha Adicionar para criar e adicionar um nome de perfil de usuário.

     Você pode repetir esse processo para criar vários perfis de usuário.

2. Em Quem usará o Studio? selecione os usuários ou grupos do IAM Identity Center e escolha Selecionar. Você precisa configurar o Amazon SageMaker Studio na mesma região em que seu IAM Identity Center está configurado. Você pode alterar a região do seu domínio escolhendo a região na lista suspensa no canto superior direito do console ou pode alterar a região do seu centro de identidade do IAM navegando até o AWS portal de acesso.

3. Em Quais atividades de ML eles realizam? você pode usar uma função existente escolhendo Usar uma função existente ou criar uma nova função escolhendo Criar uma nova função e marcando as atividades de ML que você deseja que a função tenha acesso.

4. Ao selecionar atividades de ML, talvez seja necessário atender aos requisitos. Para satisfazer um requisito, escolha Adicionar e conclua o requisito.

5. Depois que todos os requisitos forem atendidos, escolha Avançar.

Etapa 3: Aplicativos

Nesta etapa, você pode configurar os aplicativos que você ativou na etapa anterior. Para obter mais informações sobre as atividades de ML, consulteReferência da atividade de ML.

Se o aplicativo não tiver sido ativado, você receberá um aviso para esse aplicativo. Para ativar um aplicativo que não foi ativado, retorne à etapa anterior escolhendo Voltar e siga as instruções anteriores.

• Configuração do estúdio:

  Em Studio, você tem a opção de escolher entre a versão nova e a clássica do Studio como sua experiência padrão. Isso significa escolher com qual ambiente de ML você interage ao abrir o Studio.

  • Studio — O novo inclui vários ambientes de desenvolvimento integrados (IDEs) e aplicativos, incluindo o Amazon SageMaker Studio Classic. Se escolhido, o Studio Classic IDE tem configurações padrão. Para obter informações sobre as configurações padrão, consulteConfigurações padrão.

  • O Studio Classic inclui o Jupyter IDE. Se escolhido, você pode configurar sua configuração do Studio Classic.

    Para obter informações sobre o Studio Classic, consulteAmazon SageMaker Studio Clássico.

• SageMaker Configuração do Canvas:

  Se você tiver o Amazon SageMaker Canvas ativado, consulte as Começando a usar o Amazon SageMaker Canvas instruções e os detalhes de configuração para integração.

• Configuração do Studio Classic:

  Se você escolheu Studio - Novo (recomendado) como sua experiência padrão, o IDE Studio Classic tem configurações padrão. Para obter informações sobre as configurações padrão, consulteConfigurações padrão.

  Se você escolheu o Studio Classic como sua experiência padrão, você pode optar por ativar ou desativar o compartilhamento de recursos do notebook. Os recursos do notebook incluem artefatos como saída de células e repositórios Git. Para obter mais informações sobre os recursos do Notebook, consulteCompartilhe e use um notebook Amazon SageMaker Studio Classic.

  Se você ativou o compartilhamento de recursos do notebook:

  1. Em Localização no S3 para recursos compartilháveis do notebook, insira sua localização no Amazon S3.

  2. Em Chave de criptografia - opcional, deixe como Sem criptografia personalizada ou escolha uma AWS KMS chave existente ou escolha Inserir um ARN da chave KMS e digite o ARN da AWS KMS sua chave.

  3. Em Preferência de compartilhamento da saída da célula do Notebook, escolha Permitir que os usuários compartilhem a saída da célula ou Desativar o compartilhamento da saída da célula.

• Configuração do RStudio:

  Para habilitar o RStudio, você precisa de uma licença do RStudio. Para configurar isso, consulteLicença do RStudio.

  1. Em RStudio Workbench, verifique se sua licença do RStudio foi detectada automaticamente. Para obter mais informações sobre como obter uma licença do RStudio e ativá-la com SageMaker, consulte. Licença do RStudio

  2. Selecione um tipo de instância para iniciar seu RStudio Server. Para ter mais informações, consulte Tipo de StudioServerPro instância R.

  3. Em Permissão, crie sua função ou selecione uma função existente. A função deve ter política de permissões a seguir. Essa política permite que o StudioServerPro aplicativo R acesse os recursos necessários. Também permite que SageMaker a Amazon inicie automaticamente um StudioServerPro aplicativo R quando o aplicativo R StudioServer Pro existente estiver no Failed status Deleted or. Para obter informações sobre como adicionar permissões a uma função, consulte Modificar a política de permissões de função (console).

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. Em RStudio Connect, adicione o URL do RStudio Connect. O RStudio Connect é uma plataforma de publicação para aplicativos Shiny, relatórios R Markdown, painéis, gráficos e muito mais. Quando você se integra ao RStudio on SageMaker, um servidor do RStudio Connect não é criado. Para ter mais informações, consulte URL do RStudio Connect.

  5. Em RStudio Package Manager, adicione a URL do seu RStudio Package Manager. SageMaker cria um repositório de pacotes padrão para o Package Manager quando você integra o RStudio. Para obter mais informações sobre o RStudio Package Manager, consulte Gerenciador de pacotes do RStudio.

  6. Escolha Próximo.

• Configuração do editor de código:

  Se você tiver o Editor de código ativado, consulte Comece a usar o editor de código no Amazon SageMaker Studio para obter uma visão geral e os detalhes da configuração.

Etapa 4: Rede

Escolha como você deseja que o Studio se conecte a outros AWS serviços.

Você pode optar por desativar o acesso à Internet em seu Studio especificando o tipo de acesso à rede somente na Nuvem Privada Virtual (VPC). Se você escolher essa opção, não poderá executar um notebook Studio, a menos que sua VPC tenha um endpoint de interface para a SageMaker API e o tempo de execução ou um gateway de tradução de endereços de rede (NAT) com acesso à Internet e seus grupos de segurança permitam conexões de saída. Para obter mais informações sobre Amazon VPCs, consulteEscolha uma Amazon VPC.

Se você escolher Virtual Private Cloud (VPC), somente as etapas a seguir serão necessárias. Se você escolher Acesso público à Internet, as duas primeiras etapas a seguir serão necessárias.

1. Em VPC, escolha o Amazon VPC ID.

2. Em Sub-rede, escolha uma ou mais sub-redes. Se você não escolher nenhuma sub-rede, SageMaker use todas as sub-redes na Amazon VPC. Recomendamos que você use várias sub-redes que não sejam criadas em zonas de disponibilidade restritas. O uso de sub-redes nessas zonas de disponibilidade restritas pode resultar em erros de capacidade insuficiente e em tempos mais longos de criação de aplicativos. Para obter mais informações sobre zonas de disponibilidade, consulte Zonas de disponibilidade.

3. Em Grupos de segurança, escolha uma ou mais sub-redes.

Se somente VPC for selecionado, SageMaker aplicará automaticamente as configurações do grupo de segurança definidas para o domínio a todos os espaços compartilhados criados no domínio. Se somente Internet pública estiver selecionada, SageMaker não aplicará as configurações do grupo de segurança aos espaços compartilhados criados no domínio.

Etapa 5: Armazenamento

Você tem a opção de criptografar seus dados. Os sistemas de arquivos Amazon Elastic File System (Amazon EFS) e Amazon Elastic Block Store (Amazon EBS) Elastic Block Store (Amazon EBS) que são criados para você quando você cria um domínio. Os tamanhos do Amazon EBS são usados tanto pelo editor de código quanto pelos JupyterLab espaços.

Você não pode alterar a chave de criptografia depois de criptografar seus sistemas de arquivos Amazon EFS e Amazon EBS. Para criptografar seus sistemas de arquivos Amazon EFS e Amazon EBS, você pode usar as seguintes configurações.

• Em Chave de criptografia - opcional, deixe como Sem criptografia personalizada ou escolha uma chave KMS existente ou escolha Inserir um ARN da chave KMS e insira o ARN da sua chave KMS.

• Em Tamanho padrão do espaço - opcional, insira o tamanho padrão do espaço.

• Em Tamanho máximo do espaço - opcional, insira o tamanho máximo do espaço.

Etapa 6: revisar e criar

Revise as configurações do seu domínio. Se você precisar alterar as configurações, escolha Editar ao lado da etapa relevante. Depois de confirmar que as configurações do seu domínio estão corretas, escolha Enviar e o domínio será criado para você. esse processo pode demorar alguns minutos.

Configuração personalizada usando o AWS CLI

As seções a seguir fornecem AWS CLI instruções para a configuração personalizada do seu domínio usando o IAM Identity Center ou os métodos de autenticação do IAM.

Depois de satisfazer os pré-requisitos, incluindo a configuração de suas AWS CLI credenciais, em SageMaker Pré-requisitos da Amazon, use as etapas a seguir.

1. Crie uma função de execução usada para criar um domínio e anexar a política de AmazonSageMakerFullacesso. Você também pode usar uma função existente que tenha, no mínimo, uma política de confiança anexada que conceda SageMaker permissão para assumir a função. Para ter mais informações, consulte Como usar funções SageMaker de execução.

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. Obtenha o Amazon Virtual Private Cloud (Amazon VPC) padrão da sua conta.

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. Obtenha a lista de sub-redes no Amazon VPC padrão.

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. Crie um domínio transmitindo o ID padrão da Amazon VPC, as sub-redes e o ARN da função de execução. Você também deve passar um ARN de SageMaker imagem. Para obter informações sobre os ARNs da JupyterLab versão disponível, consulteDefinindo uma JupyterLab versão padrão.

   Paraauthentication-mode, use SSO para autenticação do IAM Identity Center ou IAM para autenticação do IAM.

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

5. Verifique se o domínio foi criado.

   aws --region region sagemaker list-domains

Configuração personalizada usando AWS CloudFormation

Para obter informações sobre como criar um domínio usando AWS CloudFormation, consulte AWS::SageMaker::Domaino Guia AWS CloudFormation do Usuário.

Depois que o domínio for configurado, o usuário administrativo poderá visualizar e editar o domínio. Para obter mais informações, consulte Visualize e edite domínios.

Acesse o domínio após a integração

Os usuários podem acessar SageMaker usando:

• O URL de login se o domínio foi configurado usando a autenticação do IAM Identity Center. Para obter informações, consulte Como entrar no portal do usuário.

• O SageMaker console.