を使用して RStudio で Amazon SageMaker AI ドメインを作成する AWS CLI

フォーカスモード

を使用して RStudio で Amazon SageMaker AI ドメインを作成する AWS CLI - Amazon SageMaker AI

前提条件 DomainExecution ロールを作成する RStudio アプリで Amazon SageMaker AI ドメインを作成するドメインの作成を検証する

重要

Amazon SageMaker Studio または Amazon SageMaker Studio Classic に Amazon SageMaker リソースの作成を許可するカスタム IAM ポリシーでは、これらのリソースにタグを追加するアクセス許可も付与する必要があります。Studio と Studio Classic は、作成したリソースに自動的にタグ付けするため、リソースにタグを追加するアクセス許可が必要になります。IAM ポリシーで Studio と Studio Classic によるリソースの作成が許可されていても、タグ付けが許可されていない場合は、リソースを作成しようとしたときに「AccessDenied」エラーが発生する可能性があります。詳細については、「SageMaker AI リソースにタグ付けするためのアクセス許可を提供する」を参照してください。

SageMaker リソースを作成するためのアクセス許可を付与する AWS Amazon SageMaker AI のマネージドポリシーには、それらのリソースの作成中にタグを追加するためのアクセス許可もあらかじめ含まれています。

次のトピックでは、を使用して RStudio を有効にして Amazon SageMaker AI ドメインにオンボードする方法を示します AWS CLI。を使用してオンボードするには AWS Management Console、「」を参照してくださいAmazon SageMaker AI ドメインの概要。

前提条件

AWS CLI バージョン 2 のインストールおよび設定
AWS CLIIAM 認証情報を設定する

`DomainExecution` ロールを作成する

RStudio アプリを起動するには、DomainExecution ロールを指定する必要があります。このロールは、Amazon SageMaker AI ドメインの作成の一環として RStudio を起動する必要があるかどうかを判断するために使用されます。このロールは、Amazon SageMaker AI が RStudio License にアクセスして RStudio ログをプッシュするためにも使用されます。

注記

DomainExecution ロールには少なくとも RStudio License にアクセスするための AWS License Manager のアクセス許可と、アカウントのログをプッシュするための CloudWatch のアクセス許可が必要です。

以下の手順は、 AWS CLIでの DomainExecution ロールの作成方法を示しています。

assume-role-policy.json という名前のファイルを作成し、次の内容を記述します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            }
        }
    ]
}

DomainExecution ロールを作成します。<REGION> は、ドメインを起動する AWS リージョンになっている必要があります。
```
aws iam create-role --region <REGION> --role-name DomainExecution --assume-role-policy-document file://assume-role-policy.json
```

domain-setting-policy.json という名前のファイルを作成し、次の内容を記述します。このポリシーにより、RStudioServerPro アプリは必要なリソースにアクセスでき、既存の RStudioServerPro アプリが Deletedまたは Failedステータスになったときに、Amazon SageMaker AI は RStudioServerPro アプリを自動的に起動できます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

DomainExecution ロールにアタッチされるドメイン設定ポリシーを作成します。応答からの PolicyArn に注意してください。次の手順でその ARN を入力する必要があります。
```
aws iam create-policy --region <REGION> --policy-name domain-setting-policy --policy-document file://domain-setting-policy.json
```
domain-setting-policy を DomainExecution ロールにアタッチします。前のステップで返された PolicyArn を使用します。
```
aws iam attach-role-policy --role-name DomainExecution --policy-arn <POLICY_ARN>
```

RStudio アプリで Amazon SageMaker AI ドメインを作成する

RStudioServerPro アプリは、 RStudioServerProDomainSettingsパラメータを指定して CLI コマンドを使用して Amazon SageMaker AI create-domain ドメインを作成すると自動的に起動します。RStudioServerPro アプリを起動すると、Amazon SageMaker AI はアカウント内の有効な RStudio ライセンスをチェックし、ライセンスが見つからない場合はドメインの作成に失敗します。

Amazon SageMaker AI ドメインの作成は、認証方法とネットワークタイプによって異なります。これらのオプションは、1 つの認証方法と 1 つのネットワーク接続タイプを選択して一緒に使用する必要があります。新しいドメインを作成するための要件の詳細については、「CreateDomain」を参照してください。

次の認証方法がサポートされています。

IAM Auth
SSO Auth

次のネットワーク接続タイプがサポートされています。

PublicInternet
VPCOnly

認証方法

IAM 認証モード

以下は、RStudio を有効にし、 IAM Authネットワークタイプを使用して Amazon SageMaker AI ドメインを作成する方法を示しています。詳細については AWS Identity and Access Management、「IAM とは」を参照してください。

DomainExecutionRoleArn は、前のステップで作成したロールの ARN である必要があります。
ExecutionRole は、Amazon SageMaker AI ドメインのユーザーに付与されるロールの ARN です。
vpc-id は、Amazon Virtual Private Cloud の ID である必要があります。subnet-ids は、サブネット ID のスペース区切りリストである必要があります。vpc-id と subnet-ids の詳細については、「VPC とサブネット」を参照してください。
RStudioPackageManagerUrl と RStudioConnectUrl は任意であり、RStudio Package Manager と RStudio Connect サーバーの URL にそれぞれ設定する必要があります。
app-network-access-type は、PublicInternetOnly または VPCOnly のいずれかになっている必要があります。


aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode IAM \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type <NETWORK_ACCESS_TYPE>

IAM Identity Center を使用した認証

以下は、RStudio が有効で、ドメインが起動されるリージョンで SSO Auth Network Type. AWS IAM Identity Center must が有効になっている Amazon SageMaker AI ドメインを作成する方法を示しています。IAM Identity Center の詳細については、「とは AWS IAM Identity Center」を参照してください。

DomainExecutionRoleArn は、前のステップで作成したロールの ARN である必要があります。
ExecutionRole は、Amazon SageMaker AI ドメインのユーザーに付与されるロールの ARN です。
vpc-id は、Amazon Virtual Private Cloud の ID である必要があります。subnet-ids は、サブネット ID のスペース区切りリストである必要があります。vpc-id と subnet-ids の詳細については、「VPC とサブネット」を参照してください。
RStudioPackageManagerUrl と RStudioConnectUrl は任意であり、RStudio Package Manager と RStudio Connect サーバーの URL にそれぞれ設定する必要があります。
app-network-access-type は、PublicInternetOnly または VPCOnly のいずれかになっている必要があります。


aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode SSO \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type <NETWORK_ACCESS_TYPE>

接続タイプ

パブリックインターネット/直接インターネットネットワークの種類

以下は、RStudio を有効にし、PublicInternetネットワークタイプを使用して Amazon SageMaker AI ドメインを作成する方法を示しています。

DomainExecutionRoleArn は、前のステップで作成したロールの ARN である必要があります。
ExecutionRole は、Amazon SageMaker AI ドメインのユーザーに付与されるロールの ARN です。
vpc-id は、Amazon Virtual Private Cloud の ID である必要があります。subnet-ids は、サブネット ID のスペース区切りリストである必要があります。vpc-id と subnet-ids の詳細については、「VPC とサブネット」を参照してください。
RStudioPackageManagerUrl と RStudioConnectUrl は任意であり、RStudio Package Manager と RStudio Connect サーバーの URL にそれぞれ設定する必要があります。
auth-mode は、SSO または IAM のいずれかになっている必要があります。


aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode <AUTH_MODE> \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type PublicInternetOnly

VPConly モード

RStudio を有効にし、ネットワークタイプを使用して Amazon SageMaker AI ドメインを起動する方法をVPCOnly以下に示します。VPCOnly ネットワークアクセスタイプの使用方法の詳細については、「VPC 内の Studio ノートブックを外部リソースに接続する」を参照してください。

DomainExecutionRoleArn は、前のステップで作成したロールの ARN である必要があります。
ExecutionRole は、Amazon SageMaker AI ドメインのユーザーに付与されるロールの ARN です。
vpc-id は、Amazon Virtual Private Cloud の ID である必要があります。subnet-ids は、サブネット ID のスペース区切りリストである必要があります。プライベートサブネットは、Amazon SageMaker AI を呼び出すためにインターネットにアクセスできる AWS License Manager か、Amazon SageMaker AI との両方の Amazon VPC エンドポイントを持っている必要があります AWS License Manager。Amazon VPC エンドポイントの詳細については、「インターフェイス VPC エンドポイント」を参照してください。vpc-id と subnet-ids の詳細については「VPC とサブネット」を参照してください。
SecurityGroups は、Amazon SageMaker AI と AWS License Manager エンドポイントへのアウトバウンドアクセスを許可する必要があります。
auth-mode は、SSO または IAM のいずれかになっている必要があります。

注記

Amazon Virtual Private Cloud エンドポイントを使用する場合、Amazon Virtual Private Cloud エンドポイントにアタッチされたセキュリティグループで、create-domain CLI 呼び出しの domain-setting パラメータの一部としてパスするセキュリティグループからのインバウンドトラフィックを許可する必要があります。

RStudio では、Amazon SageMaker AI がセキュリティグループを管理します。つまり、Amazon SageMaker AI はセキュリティグループルールを管理し、RSessions が RStudioServerPro アプリにアクセスできるようにします。Amazon SageMaker AI は、ユーザープロファイルごとに 1 つのセキュリティグループルールを作成します。


aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode <AUTH_MODE> \
    --default-user-settings SecurityGroups=<USER_SECURITY_GROUP>,ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings SecurityGroupIds=<DOMAIN_SECURITY_GROUP>,RStudioServerProDomainSettings={DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids "<SUBNET_IDS>" \
    --app-network-access-type VPCOnly --app-security-group-management Service

注: RStudioServerPro アプリは、domain-shared という名前の特別なユーザープロファイルによって起動されます。その結果、このアプリは他のユーザープロファイルによる list-app API 呼び出しの一部として返されることはありません。

ユーザー数を増やすには、アカウントの Amazon VPC クォータを増やす必要がある場合があります。詳細については、「Amazon VPC クォータ」を参照してください。

ドメインの作成を検証する

次のコマンドを使用して、ドメインが InService の Status で作成されたことを確認します。domain-id がドメイン ARN に追加されます。例えば、arn:aws:sagemaker:<REGION>:<ACCOUNT_ID>:domain/<DOMAIN_ID> と指定します。


aws sagemaker describe-domain --domain-id <DOMAIN_ID> --region <REGION>

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

RStudio Package Manager の URL を更新する

RStudio サポートを既存のドメインに追加

このページの内容

Cookie の設定を選択する

Cookie の設定をカスタマイズする

Essential

Performance

Functional

Advertising

Cookie の設定を保存できません

を使用して RStudio で Amazon SageMaker AI ドメインを作成する AWS CLI

重要

前提条件

`DomainExecution` ロールを作成する

注記

RStudio アプリで Amazon SageMaker AI ドメインを作成する

認証方法

接続タイプ

注記

ドメインの作成を検証する

このページの内容

Related resources

このページは役に立ちましたか?

Related resources

次のトピック

前のトピック:

ヘルプが必要ですか?