Utiliser une configuration personnalisée pour Amazon SageMaker - Amazon SageMaker
Méthodes d'authentificationConfiguration personnaliséeAccédez au domaine après l'intégration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser une configuration personnalisée pour Amazon SageMaker

La section Configuration pour les organisations (configuration personnalisée) vous guide tout au long de la configuration avancée de votre SageMaker domaine Amazon. Cette option fournit des informations et des recommandations pour vous aider à comprendre et à contrôler tous les aspects de la configuration du compte, notamment les autorisations, les intégrations et le chiffrement. Utilisez cette option si vous souhaitez configurer un domaine personnalisé. Pour plus d'informations sur les domaines, consultezVue d'ensemble SageMaker du domaine Amazon.

Méthodes d'authentification

Avant de configurer le domaine, réfléchissez aux méthodes d'authentification permettant à vos utilisateurs d'accéder au domaine.

AWS Centre d'identité :

  • Permet de simplifier l'administration des autorisations d'accès pour les groupes d'utilisateurs. Vous pouvez accorder ou refuser des autorisations à des groupes d'utilisateurs, au lieu d'appliquer ces autorisations à chaque utilisateur individuel. Si un utilisateur change d'organisation, vous pouvez le déplacer vers un autre groupe AWS Identity and Access Management Identity center (AWS IAM Identity Center). L'utilisateur reçoit alors automatiquement les autorisations nécessaires à la nouvelle organisation.

    Notez que le centre IAM d'identité doit se trouver dans le même emplacement Région AWS que le domaine.

    Pour configurer IAM Identity Center, suivez les instructions suivantes du guide de l'utilisateur d'AWS IAMIdentity Center :

  • Les utilisateurs d'IAMIdentity Center peuvent accéder au domaine à l'aide d'un e-mail Portail d'accès AWS URL qui leur est envoyé. L'e-mail fournit des instructions pour créer un compte afin d'accéder au domaine. Pour plus d'informations, voir Se connecter au Portail d'accès AWS.

    En tant qu'administrateur, vous pouvez les trouver Portail d'accès AWS URL en accédant au IAMIdentity Center et en trouvant le résumé des paramètres Portail d'accès AWS URLsous Résumé des paramètres.

  • Votre domaine doit utiliser l'authentification AWS Identity and Access Management (IAM) si vous souhaitez restreindre l'accès à vos domaines exclusivement à certains Amazon Virtual Private Clouds (VPCs), à des points de terminaison d'interface ou à un ensemble prédéfini d'adresses IP. Cette fonctionnalité n'est pas prise en charge pour les domaines qui utilisent IAM l'authentification Identity Center. Vous pouvez toujours utiliser IAM Identity Center pour permettre un contrôle centralisé de l'identité du personnel. Pour savoir comment mettre en œuvre ces restrictions tout en conservant IAM Identity Center afin de fournir une expérience de connexion utilisateur cohérente, consultez la section Accès sécurisé à Amazon SageMaker Studio Classic avec IAM Identity Center et une SAML application sur le blog de AWS machine learning. Notez qu'il AWS SSO s'agit IAM d'Identity Center dans ce blog.

Connectez-vous via IAM :

  • Les profils utilisateur peuvent accéder au domaine via la SageMaker console après s'être connectés au compte.

  • Vous pouvez restreindre l'accès à vos domaines exclusivement à certains Amazon Virtual Private Clouds (VPCs), à des points de terminaison d'interface ou à un ensemble prédéfini d'adresses IP lorsque vous utilisez l'authentification AWS Identity and Access Management (IAM). Pour de plus amples informations, veuillez consulter Autoriser l'accès uniquement depuis votre VPC.

Configuration pour les organisations (configuration personnalisée)

Après avoir rempli les conditions requisesCompléter les SageMaker prérequis Amazon, ouvrez la page Configurer le SageMaker domaine (configuration personnalisée) et développez les sections suivantes pour obtenir des informations sur la configuration.

Ouvrez le champ Configurer le SageMaker domaine depuis la SageMaker console

  1. Ouvrez la SageMaker console.

  2. Dans le volet de navigation de gauche, choisissez Configurations d'administration pour développer les options.

  3. Sous Configurations d'administrateur, choisissez Domaines.

  4. Sur la page Domains (Domaines), choisissez Create domain (Créer un domaine).

  5. Sur la page Configurer le SageMaker domaine, choisissez Configurer pour les organisations.

  6. Choisissez Set up (Configurer).

Une fois que vous avez ouvert la page Configurer le SageMaker domaine, suivez les instructions suivantes :

  1. Dans Nom de domaine, entrez un nom unique pour votre domaine. Il peut s'agir, par exemple, du nom de votre projet ou de votre équipe.

  2. Choisissez Suivant.

Au cours de cette étape, vous configurez la méthode d'authentification, les utilisateurs et les autorisations pour votre domaine.

  1. Sous Comment souhaitez-vous accéder à Studio ? , vous pouvez choisir l'une des deux options. Pour plus d'informations sur les méthodes d'authentification, consultezMéthodes d'authentification. Les détails des options sont fournis ci-dessous :

    • AWS Centre d'identité :

      Sous Qui utilisera Studio ? choisissez un AWS IAM Identity Center groupe qui accèdera au domaine.

      Si vous choisissez Aucun groupe d'utilisateurs Identity Center, vous créez un domaine sans utilisateurs. Vous pouvez ajouter des groupes IAM Identity Center au domaine une fois celui-ci créé. Pour de plus amples informations, veuillez consulter Modifier les paramètres du domaine.

    • Connectez-vous via IAM :

      Sous Qui utilisera Studio ? choisissez + Ajouter un utilisateur, entrez un nouveau nom de profil utilisateur, puis choisissez Ajouter pour créer et ajouter un nom de profil utilisateur.

      Vous pouvez répéter ce processus pour créer plusieurs profils utilisateur.

  2. Sous Qui utilisera Studio ? sélectionnez les utilisateurs ou les groupes d'IAMIdentity Center, puis sélectionnez Sélectionner. Vous devez configurer Amazon SageMaker Studio dans la même région que celle dans laquelle votre IAM Identity Center est configuré. Vous pouvez modifier la région de votre domaine en choisissant la région dans la liste déroulante en haut à droite de la console ou vous pouvez modifier la région de votre centre IAM d'identité en accédant au portail d'AWS accès.

  3. Sous Quelles activités de machine learning effectuent-ils ? vous pouvez utiliser un rôle existant en choisissant Utiliser un rôle existant ou vous pouvez créer un nouveau rôle en choisissant Créer un nouveau rôle et en cochant les activités de ML auxquelles vous souhaitez que le rôle ait accès.

  4. Lors de la sélection des activités de machine learning, vous devrez peut-être satisfaire à des exigences. Pour répondre à une exigence, choisissez Ajouter et complétez l'exigence.

  5. Lorsque toutes les exigences sont satisfaites, choisissez Next.

Dans cette étape, vous pouvez configurer les applications que vous avez activées à l'étape précédente. Pour plus d'informations sur les activités de ML, voirRéférence d'activité de ML.

Si l'application n'a pas été activée, vous recevez un avertissement pour cette application. Pour activer une application qui n'a pas été activée, revenez à l'étape précédente en choisissant Retour et suivez les instructions précédentes.

  • Configuration du studio :

    Dans Studio, vous avez la possibilité de choisir entre la version la plus récente et la version classique de Studio comme expérience par défaut. Cela implique de choisir l'environnement ML avec lequel vous interagissez lorsque vous ouvrez Studio.

    • Studio inclut plusieurs environnements de développement intégrés (IDEs) et applications, notamment Amazon SageMaker Studio Classic. Si cette option est sélectionnée, le Studio Classic IDE possède des paramètres par défaut. Pour plus d'informations sur les paramètres par défaut, consultezParamètres par défaut.

      Pour plus d'informations sur Studio, consultezAmazon SageMaker Studio.

    • Studio Classic inclut le JupyterIDE. Si vous choisissez cette option, vous pouvez configurer votre configuration Studio Classic.

      Pour plus d'informations sur Studio Classic, consultezAmazon SageMaker Studio classique.

  • SageMaker Configuration du canevas :

    Si Amazon SageMaker Canvas est activé, consultez Commencer à utiliser Amazon SageMaker Canvas les instructions et les détails de configuration pour l'intégration.

  • Configuration de Studio Classic :

    Si vous avez choisi Studio (recommandé) comme expérience par défaut, Studio Classic IDE possède des paramètres par défaut. Pour plus d'informations sur les paramètres par défaut, consultezParamètres par défaut.

    Si vous avez choisi Studio Classic comme expérience par défaut, vous pouvez choisir d'activer ou de désactiver le partage des ressources du bloc-notes. Les ressources du bloc-notes incluent des artefacts tels que la sortie des cellules et les référentiels Git. Pour plus d'informations sur les ressources du bloc-notes, consultezPartager et utiliser un bloc-notes Amazon SageMaker Studio Classic.

    Si vous avez activé le partage des ressources du bloc-notes :

    1. Sous Emplacement S3 pour les ressources de bloc-notes partageables, saisissez votre emplacement Amazon S3.

    2. Sous Clé de chiffrement - facultatif, laissez le champ Pas de chiffrement personnalisé ou choisissez une AWS KMS clé existante ou choisissez Entrer une KMS clé ARN et entrez celle de votre AWS KMS cléARN.

    3. Sous Préférence de partage de sortie de cellule du bloc-notes, choisissez Autoriser les utilisateurs à partager la sortie de cellule ou Désactiver le partage de sortie de cellule.

  • RStudioconfiguration :

    Pour l'activerRStudio, vous avez besoin d'une RStudio licence. Pour configurer cela, voirObtenir une RStudio licence.

    1. Sous RStudioWorkbench, vérifiez que votre RStudio licence est automatiquement détectée. Pour plus d'informations sur l'obtention RStudio d'une licence et son activation SageMaker, consultezObtenir une RStudio licence.

    2. Sélectionnez le type d'instance sur lequel lancer votre RStudio serveur. Pour de plus amples informations, veuillez consulter Type d'StudioServerPro instance R.

    3. Sous Permission (Autorisation), créez votre rôle ou sélectionnez un rôle existant. Le rôle doit avoir la politique d'autorisations suivante. Cette politique permet à l'RStudioServerProapplication d'accéder aux ressources nécessaires. Cela permet également SageMaker à Amazon de lancer automatiquement une RStudioServerPro application lorsque l'RStudioServerProapplication existante est au Failed statut Deleted or. Pour savoir comment ajouter des autorisations à un rôle, veuillez consulter Modification d'une politique d'autorisations de rôle (console).

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. Sous RStudioConnect, ajoutez le URL pour votre serveur RStudio Connect. RStudioConnect est une plateforme de publication pour les applications Shiny, les rapports R Markdown, les tableaux de bord, les diagrammes, etc. Lorsque vous l'RStudioactivez SageMaker, aucun serveur RStudio Connect n'est créé. Pour de plus amples informations, veuillez consulter Ajouter un RStudio Connect URL.

    5. Sous Gestionnaire de RStudio packages, ajoutez le URL pour votre gestionnaire de RStudio packages. SageMaker crée un référentiel de packages par défaut pour le gestionnaire de packages lors de votre intégrationRStudio. Pour plus d'informations sur RStudio Package Manager, consultezMettre à jour le gestionnaire de RStudio packages URL.

    6. Sélectionnez Suivant.

  • Configuration de l'éditeur de code :

    Si l'éditeur de code est activé, consultez Éditeur de code dans Amazon SageMaker Studio pour une vue d'ensemble et les détails de configuration.

Dans cette section, vous pouvez personnaliser les applications visibles et les outils d'apprentissage automatique (ML) affichés dans Studio. Cette personnalisation masque uniquement les applications et les outils de machine learning dans le volet de navigation de gauche de Studio. Pour plus d'informations sur l'interface utilisateur de Studio, consultezPrésentation de l'interface utilisateur d'Amazon SageMaker Studio.

Pour plus d'informations sur les applications, consultezApplications prises en charge dans Amazon SageMaker Studio.

La fonctionnalité de personnalisation de l'interface utilisateur de Studio n'est pas disponible dans Studio Classic. Si vous souhaitez définir Studio comme expérience par défaut, choisissez Previous et revenez à l'étape précédente.

  1. Sur la page Personnaliser l'interface utilisateur de Studio, vous pouvez masquer les applications et les outils ML affichés dans Studio en les désactivant.

  2. Une fois que vous avez examiné vos modifications, choisissez Next.

Choisissez la manière dont vous souhaitez que Studio se connecte aux autres AWS services.

Vous pouvez choisir de désactiver l'accès Internet à votre studio en spécifiant le type d'accès réseau Virtual Private Cloud (VPC) Only. Si vous choisissez cette option, vous ne pouvez pas exécuter un bloc-notes Studio à moins que vous ne VPC disposiez d'un point de terminaison d'interface vers le SageMaker API moteur d'exécution ou d'une passerelle de traduction d'adresses réseau (NAT) avec accès à Internet, et que vos groupes de sécurité autorisent les connexions sortantes. Pour plus d'informations sur AmazonVPCs, consultezChoisissez un Amazon VPC.

Si vous choisissez Virtual Private Cloud (VPC), seules les étapes suivantes sont requises. Si vous choisissez Accès public à Internet, les deux premières étapes suivantes sont requises.

  1. Sous VPC, choisissez l'VPCidentifiant Amazon.

  2. Sous Sous-réseau, sélectionnez un ou plusieurs sous-réseaux. Si vous ne choisissez aucun sous-réseau, SageMaker utilise tous les sous-réseaux d'Amazon. VPC Nous vous recommandons d'utiliser plusieurs sous-réseaux qui ne sont pas créés dans les zones de disponibilité restreintes. L'utilisation de sous-réseaux dans ces zones de disponibilité restreintes peut entraîner des erreurs de capacité insuffisante et des délais de création d'applications plus longs. Pour plus d'informations sur les zones de disponibilité restreintes, consultez Zones de disponibilité.

  3. Sous Groupe (s) de sécurité, choisissez un ou plusieurs sous-réseaux.

Si VPCseul est sélectionné, applique SageMaker automatiquement les paramètres du groupe de sécurité définis pour le domaine à tous les espaces partagés créés dans le domaine. Si Internet public uniquement est sélectionné, les paramètres du groupe de sécurité SageMaker ne sont pas appliqués aux espaces partagés créés dans le domaine.

Vous avez la possibilité de chiffrer vos données. Les systèmes de fichiers Amazon Elastic File System (AmazonEFS) et Amazon Elastic Block Store (AmazonEBS) créés pour vous lorsque vous créez un domaine. Les EBS tailles Amazon sont utilisées à la fois par l'éditeur de code et par JupyterLab les espaces.

Vous ne pouvez pas modifier la clé de chiffrement après avoir chiffré vos systèmes de EBS fichiers Amazon EFS et Amazon. Pour chiffrer vos systèmes de EBS fichiers Amazon EFS et Amazon, vous pouvez utiliser les configurations suivantes.

  • Sous Clé de chiffrement - facultatif, laissez le champ Pas de chiffrement personnalisé ou choisissez une KMS clé existante ou choisissez Entrer une KMS clé ARN et entrez la clé ARN de votre KMS clé.

  • Sous Taille d'espace par défaut - facultatif, entrez la taille d'espace par défaut.

  • Sous Taille maximale de l'espace - facultatif, entrez la taille maximale de l'espace.

Vérifiez les paramètres de votre domaine. Si vous devez modifier les paramètres, choisissez Modifier à côté de l'étape correspondante. Une fois que vous avez confirmé que les paramètres de votre domaine sont corrects, choisissez Soumettre et le domaine est créé pour vous. Ce processus peut prendre quelques minutes.

Les sections suivantes fournissent des AWS CLI instructions pour la configuration personnalisée de votre domaine à l'aide du IAM Identity Center ou des méthodes IAM d'authentification.

Après avoir satisfait aux conditions préalables, y compris la configuration de vos AWS CLI informations d'identificationCompléter les SageMaker prérequis Amazon, dans, suivez les étapes suivantes.

  1. Créez un rôle d'exécution utilisé pour créer un domaine et attachez la AmazonSageMakerFullAccesspolitique. Vous pouvez également utiliser un rôle existant auquel est associée, au minimum, une politique de confiance SageMaker autorisant à assumer le rôle. Pour de plus amples informations, veuillez consulter Comment utiliser les rôles SageMaker d'exécution.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Obtenez l'Amazon Virtual Private Cloud (AmazonVPC) par défaut de votre compte.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Obtenez la liste des sous-réseaux dans l'Amazon VPC par défaut.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Créez un domaine en transmettant l'VPCidentifiant Amazon, les sous-réseaux et le rôle ARN d'exécution par défaut. Vous devez également transmettre une SageMaker imageARN. Pour plus d'informations sur la JupyterLab version disponibleARNs, voirConfiguration d'une JupyterLab version par défaut.

    Pourauthentication-mode, à utiliser SSO pour IAM l'authentification Identity Center ou IAM pour IAM l'authentification.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    Vous pouvez utiliser le AWS CLI pour personnaliser les applications et les outils ML affichés dans Studio pour le domaine, en utilisant StudioWebPortalSettings. HiddenAppTypesÀ utiliser pour masquer les applications et HiddenMlTools les outils de machine learning. Pour plus d'informations sur la personnalisation de la navigation gauche de l'interface utilisateur de Studio, consultezMasquer les outils et applications de machine learning dans l'interface utilisateur d'Amazon SageMaker Studio. Cette fonctionnalité n'est pas disponible pour Studio Classic.

  5. Vérifiez que le domaine a été créé.

    aws --region region sagemaker list-domains

Pour plus d'informations sur la création d'un domaine en utilisant AWS CloudFormation, voir AWS: SageMaker : :Domain dans le guide de l'AWS CloudFormation utilisateur.

Pour un exemple de AWS CloudFormation modèle que vous pouvez utiliser pour configurer votre domaine, consultez Création de SageMaker domaines Amazon AWS CloudFormationà l'aide du aws-samples GitHub référentiel.

Une fois le domaine configuré, l'utilisateur administratif peut le consulter et le modifier. Pour plus d'informations, consultez Afficher les domaines et Modifier les paramètres du domaine.

Accédez au domaine après l'intégration

Les utilisateurs peuvent y accéder SageMaker en utilisant :