Studio Classic から Studio に UI を移行する - Amazon SageMaker AI
前提条件手順 1: アプリケーションを作成するためのアクセス許可を更新する手順 2: VPC 設定を更新する手順 3: Studio UI へのアップグレードStudio Classic をデフォルトのエクスペリエンスとして設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Studio Classic から Studio に UI を移行する

ドメインを移行する最初のフェーズで、UI を Amazon SageMaker Studio Classic から Amazon SageMaker Studio に移行します。このフェーズでは、データの移行は行いません。ユーザーは、移行前と同じ方法でデータを引き続き使用できます。データ移行に関する詳細については、「(オプション) Studio Classic から Studio にデータを移行する」を参照してください。

フェーズ 1 では以下の手順を行います。

  1. Studio で新しく使用するアプリケーションに対し、アプリケーションを作成するためのアクセス許可を更新します。

  2. ドメインの VPC 設定を更新します。

  3. Studio UI を使用するようにドメインをアップグレードします。

前提条件

以降の手順を実行する前に、「Studio エクスペリエンスを移行するための前提条件を満たす」の前提条件を満たしてください。

手順 1: アプリケーションを作成するためのアクセス許可を更新する

ドメインを移行する前に、アプリケーションを作成するためのアクセス許可をユーザーに付与するようにドメインの実行ロールを更新します。

  1. 「IAM AWS Identity and Access Management ポリシーの作成」の手順に従って、次のいずれかのコンテンツを含む ポリシーを作成します。https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

    • 次のポリシーを使用して、すべてのアプリケーションタイプとスペースに対するアクセス許可を付与します。

      注記

      ドメインに SageMakerFullAccess ポリシーが使用されている場合は、この操作を行う必要はありません。SageMakerFullAccess により、すべてのアプリケーションを作成するためのアクセス許可が付与されます。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SMStudioUserProfileAppPermissionsCreateAndDelete",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:app/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioCreatePresignedDomainUrlForUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        {
            "Sid": "SMStudioAppPermissionsListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListApps",
                "sagemaker:ListDomains",
                "sagemaker:ListUserProfiles",
                "sagemaker:ListSpaces",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:DescribeSpace"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SMStudioAppPermissionsTagOnCreate",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:*/*",
            "Condition": {
                "Null": {
                    "sagemaker:TaggingAction": "false"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSharedSpacesWithoutOwners",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:space/${sagemaker:DomainId}/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSpacesToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private",
                        "Shared"
                    ]
                }
            }
        },
        {
            "Sid": "SMStudioRestrictCreatePrivateSpaceAppsToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:app/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private"
                    ]
                }
            }
        },
        {
            "Sid": "AllowAppActionsForSharedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Shared"
                    ]
                }
            }
        }
    ]
}

    • Studio では表示されるアプリケーションのセットが拡張されるため、以前には表示されなかったアプリケーションへのアクセスもユーザーに許可されます。管理者は、一部のアプリケーションのアクセス許可を特定のユーザーに拒否する AWS Identity and Access Management (IAM) ポリシーを作成することで、これらのデフォルトアプリケーションへのアクセスを制限できます。

      注記

      アプリケーションタイプは、jupyterlab または codeeditor のいずれかです。

      {  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenySageMakerCreateAppForSpecificAppTypes",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/*/app-type/*"
    }
  ]
}

  2. ポリシーをドメインの実行ロールにアタッチします。手順については、「Adding IAM identity permissions (console)」の手順に従ってください。

手順 2: VPC 設定を更新する

ドメインを VPC-Only モードで使用する場合は、VPC 設定が VPC-Only モードで Studio を使用するための要件を満たしていることを確認してください。詳細については、「VPC 内の Amazon SageMaker Studio ノートブックを外部リソースに接続する」を参照してください。

手順 3: Studio UI へのアップグレード

ドメインを Studio Classic から Studio に移行する前に、そのドメインと同じ設定で Studio を使用してテスト用にドメインを作成することをお勧めします。

このテスト用のドメインを使用して Studio を操作し、ネットワーク設定をテストして、アプリケーションを起動してから、ドメインを移行してください。

  1. ドメインのドメイン ID を取得します。

    1. https://console.aws.amazon.com/sagemaker/ で Amazon SageMaker AI コンソールを開きます。

    2. 左側のナビゲーションペインから [管理設定‭] を展開し、[ドメイン] を選択します。

    3. 既存のドメインを選択します。

    4. [ドメインの詳細] ページで、[ドメインの設定] タブを選択します。

    5. ドメイン ID をコピーします。

  2. ドメインの ID を追加します。

    export REF_DOMAIN_ID="domain-id"
export SM_REGION="region"

  3. describe-domain を使用して、ドメインに関する重要な情報を取得します。

    export REF_EXECROLE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.ExecutionRole')
export REF_VPC=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.VpcId')
export REF_SIDS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.SubnetIds | join(",")')
export REF_SGS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.SecurityGroups | join(",")')
export AUTHMODE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.AuthMode')

  4. パラメータを検証します。

    echo "Execution Role: $REF_EXECROLE || VPCID: $REF_VPC || SubnetIDs: $REF_SIDS || Security GroupIDs: $REF_SGS || AuthMode: $AUTHMODE"

  5. 既存のドメインの設定を使用してテスト用のドメインを作成します。

    IFS=',' read -r -a subnet_ids <<< "$REF_SIDS"
IFS=',' read -r -a security_groups <<< "$REF_SGS"
security_groups_json=$(printf '%s\n' "${security_groups[@]}" | jq -R . | jq -s .)

aws sagemaker create-domain \
--domain-name "TestV2Config" \
--vpc-id $REF_VPC \
--auth-mode $AUTHMODE \
--subnet-ids "${subnet_ids[@]}" \
--app-network-access-type VpcOnly \
--default-user-settings "
{
    \"ExecutionRole\": \"$REF_EXECROLE\",
    \"StudioWebPortal\": \"ENABLED\",
    \"DefaultLandingUri\": \"studio::\",
    \"SecurityGroups\": $security_groups_json
}
"

  6. テスト用のドメインが In Service になったら、テスト用ドメインの ID を使用してユーザープロファイルを作成します。このユーザープロファイルを、アプリケーションの起動とテストに使用します。

    aws sagemaker create-user-profile \
--region="$SM_REGION" --domain-id=test-domain-id \
--user-profile-name test-network-user

Studio の機能をテストする

test-network-user ユーザープロファイルを使用して、テスト用のドメインを起動します。Studio の UI を徹底的にテストし、Studio の機能を VPCOnly モードでテストするためのアプリケーションを作成することをお勧めします。次のワークフローをテストしてください:

  • 新しい JupyterLab のスペース、テスト環境、接続を作成します。

  • Code-OSS (Visual Studio Code - Open Source) に基づく新しい Code Editor のスペース、テスト環境、接続を作成します。

  • 新しい Studio Classic アプリを起動し、環境と接続をテストします。

  • Amazon Simple Storage Service の接続をテストし、読み取りと書き込みのアクションを調べます。

これらのテストに成功した場合は、既存のドメインをアップグレードします。障害が発生した場合は、環境と接続の問題を修正してから既存のドメインを更新することをお勧めします。

テスト用のドメインリソースをクリーンアップする

既存のドメインを移行したら、テスト用のドメインリソースをクリーンアップします。

  1. テスト用のドメインの ID を追加します。

    export TEST_DOMAIN="test-domain-id"
export SM_REGION="region"

  2. ドメインで実行中の状態にあるすべてのアプリケーションを一覧表示します。

    active_apps_json=$(aws sagemaker list-apps --region=$SM_REGION --domain-id=$TEST_DOMAIN)
echo $active_apps_json

  3. 実行中のアプリケーションの JSON リストを解析して削除します。ユーザーがアクセス許可なしでアプリケーションの作成を試みている場合は、次のスクリプトでキャプチャされないスペースが見つかる可能性があります。これらのスペースは手動で削除する必要があります。

    echo "$active_apps_json" | jq -c '.Apps[]' | while read -r app;
do
    if echo "$app" | jq -e '. | has("SpaceName")' > /dev/null;
    then
        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        space_name=$(echo "$app" | jq -r '.SpaceName')

        echo "Deleting App - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --space-name $space_name

        echo "Deleting Space - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-space --region=$SM_REGION --domain-id=$domain_id \
        --space-name $space_name
    else

        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        user_profile_name=$(echo "$app" | jq -r '.UserProfileName')

        echo "Deleting Studio Classic - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || UserProfileName: $user_profile_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --user-profile-name $user_profile_name

    fi

done

  4. テストユーザープロファイルを削除します。

    aws sagemaker delete-user-profile \
--region=$SM_REGION --domain-id=$TEST_DOMAIN \
--user-profile-name "test-network-user"

  5. テスト用のドメインを削除します。

    aws sagemaker delete-domain \
--region=$SM_REGION --domain-id=$TEST_DOMAIN

テスト用のドメインの設定を使用して Studio の機能をテストした後、既存のドメインを移行します。Studio がドメインのデフォルトのエクスペリエンスである場合、Studio はドメイン内のすべてのユーザーのデフォルトのエクスペリエンスになります。ただし、ユーザー設定がドメイン設定よりも優先されます。したがって、ユーザー設定でデフォルトのエクスペリエンスが Studio Classic に設定されている場合、そのユーザーは Studio Classic をデフォルトのエクスペリエンスとして使用します。

既存のドメインは、SageMaker AI コンソール、、 AWS CLIまたは から更新することで移行できます AWS CloudFormation。次のいずれかのタブを選択して、手順を表示してください。

SageMaker AI コンソールを使用して、Studio を既存のドメインのデフォルトエクスペリエンスとして設定できます。

  1. https://console.aws.amazon.com/sagemaker/ で Amazon SageMaker AI コンソールを開きます。

  2. 左側のナビゲーションペインから [管理設定] を展開し、[ドメイン] を選択します。

  3. Studio をデフォルトのエクスペリエンスに設定する既存のドメインを選択します。

  4. [ドメインの詳細] ページで、[新しい Studio を有効にする] を展開します。

  5. (オプション) [詳細の表示] を選択すると、Studio をデフォルトのエクスペリエンスとして設定する手順の詳細を表示できます。そのページに以下が表示されます。

    • [SageMaker Studio の概要] セクションに、Studio のウェブベースのインターフェイスに表示される、または使用できるアプリケーションが表示されます。

    • [有効化プロセス] セクションに、Studio を有効にするワークフロータスクの説明が表示されます。

      注記

      データは手動で移行する必要があります。データの移行手順については、「(オプション) Studio Classic から Studio にデータを移行する」を参照してください。

    • [Studio Classic エクスペリエンスに戻す] セクションに、Studio をデフォルトのエクスペリエンスに設定した後で Studio Classic に戻す方法が表示されます。

  6. Studio をデフォルトのエクスペリエンスに設定するプロセスを開始するには、[新しい Studio を有効にする] を選択します。

  7. [ロールを指定して設定する]セクションに、Studio に自動的に含まれるデフォルトのアプリケーションが表示されます。

    ユーザーがこれらのアプリケーションを実行できないようにするには、アクセスを拒否するための IAM ポリシーが含まれる AWS Identity and Access Management (IAM) ロールを選択します。ポリシーを作成してアクセスを制限する方法については、「手順 1: アプリケーションを作成するためのアクセス許可を更新する」を参照してください。

  8. [デフォルトの S3 バケットを選択して CORS ポリシーをアタッチする] セクションで、Studio に Amazon S3 バケットへのアクセスを許可できます。このデフォルトの Amazon S3 バケットは、Studio Classic のデフォルトの Amazon S3 バケットです。この手順では、次の作業を行います:

    • ドメインのデフォルトの Amazon S3 バケットを確認して、CORS ポリシーをアタッチします。ドメインにデフォルトの Amazon S3 バケットがない場合、SageMaker AI は正しい CORS ポリシーがアタッチされた Amazon S3 バケットを作成します。

    • Amazon S3 バケットを 10 件追加して、CORS ポリシーをアタッチできます。

      10 よりも多くのバケットを含める場合は、手動で追加します。Amazon S3 バケットに CORS ポリシーを手動でアタッチする手順については、「(オプション) CORS ポリシーを更新して Amazon S3 バケットにアクセスする」を参照してください。

    続いて、選択した Amazon S3 バケットの既存の CORS ポリシーを上書きすることに同意しますか? の隣に表示されたチェックボックスをオンにします。

  9. [データの移行] セクションには、Studio Classic と Studio のさまざまなデータストレージボリュームに関する情報が表示されています。ここまでの手順でデータが自動的に移行されるわけではありません。データ、ライフサイクル設定、JupyterLab 拡張機能の移行手順については、「(オプション) Studio Classic から Studio にデータを移行する」を参照してください。

  10. このページの作業を完了し、設定を確認したら、[新しい Studio を有効にする] を選択します。

AWS CLIを使用して Studio を既存のドメインのデフォルトエクスペリエンスとして設定するには、update-domain を呼び出します。default-user-settings パラメータで StudioWebPortal の値に ENABLED を設定し、DefaultLandingUri の値に studio:: を設定する必要があります。 

StudioWebPortal には、Studio エクスペリエンスがデフォルトのエクスペリエンスかどうかを指定し、DefaultLandingUri にはドメインへのアクセス時にユーザーに表示されるデフォルトのエクスペリエンスを指定します。下の例では、これらの値をドメインレベルで (default-user-settings に) 設定し、Studio をドメイン内のユーザーのデフォルトのエクスペリエンスに指定しています。

仮に、ドメイン内でユーザーの StudioWebPortalDISABLED に、DefaultLandingUriapp:JupyterServer: に、ユーザーレベルで (UserSettings で) 設定されていれば、それがドメイン設定よりも優先されます。つまり、ドメイン設定に関係なく、ユーザーのデフォルトのエクスペリエンスが Studio Classic に設定されます。

次のコード例は、Studio をドメイン内のユーザーのデフォルトのエクスペリエンスに設定する方法を示しています。

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region AWS リージョン \
--default-user-settings '
{
    "StudioWebPortal": "ENABLED",
    "DefaultLandingUri": "studio::"
}
'

  • existing-domain-id を取得するには、次の手順を実行します。

    existing-domain-id を取得するには

    1. https://console.aws.amazon.com/sagemaker/ で Amazon SageMaker AI コンソールを開きます。

    2. 左側のナビゲーションペインから [管理設定‭] を展開し、[ドメイン] を選択します。

    3. 既存のドメインを選択します。

    4. [ドメインの詳細] ページで、[ドメインの設定] タブを選択します。

    5. ドメイン ID をコピーします。

  • ドメイン AWS リージョン に正しい を使用していることを確認するには、以下の手順に従います。

    AWS リージョン を取得するには

    1. https://console.aws.amazon.com/sagemaker/ で Amazon SageMaker AI コンソールを開きます。

    2. 左側のナビゲーションペインから [管理設定‭] を展開し、[ドメイン] を選択します。

    3. 既存のドメインを選択します。

    4. [ドメインの詳細] ページで、これが既存のドメインであることを確認します。

    5. SageMaker AI コンソールの右上から AWS リージョン ドロップダウンリストを展開し、 AWS リージョン 名前の右側にある対応する AWS リージョン ID を使用します。例えば、us-west-1 と指定します。

デフォルトのエクスペリエンスを Studio に移行した後、Amazon S3 バケットへのアクセスを Studio に許可します。例えば、Studio Classic のデフォルトの Amazon S3 バケットと、追加の Amazon S3 バケットへのアクセスを許可します。それには、Cross-Origin Resource Sharing (CORS) 設定を Amazon S3 バケットに手動でアタッチする必要があります。CORS ポリシーを Amazon S3 バケットに手動でアタッチする方法については、「(オプション) CORS ポリシーを更新して Amazon S3 バケットにアクセスする」を参照してください。

同様に、create-domain 呼び出し AWS CLI を使用して からドメインを作成するときに、Studio をデフォルトのエクスペリエンスとして設定できます。 

AWS CloudFormationを使用してドメインを作成するときに、デフォルトのエクスペリエンスを設定できます。 AWS CloudFormation 移行テンプレートについては、SageMaker Studio 管理者 IaC テンプレート」を参照してください。を使用してドメインを作成する方法の詳細については AWS CloudFormation、「 を使用して Amazon SageMaker AI ドメイン AWS CloudFormationを作成する」を参照してください。

でサポートされているドメインリソースの詳細については AWS CloudFormation、AWS「::SageMaker AI::Domain」を参照してください。

デフォルトのエクスペリエンスを Studio に移行した後、Amazon S3 バケットへのアクセスを Studio に許可します。例えば、Studio Classic のデフォルトの Amazon S3 バケットと、追加の Amazon S3 バケットへのアクセスを許可します。それには、Cross-Origin Resource Sharing (CORS) 設定を Amazon S3 バケットに手動でアタッチする必要があります。CORS ポリシーを Amazon S3 バケットに手動でアタッチする方法については、「(オプション) CORS ポリシーを更新して Amazon S3 バケットにアクセスする」を参照してください。

Studio Classic では、ファイルを Amazon Simple Storage Service (Amazon S3) バケットに作成、一覧表示、アップロードできます。Studio でも同じ操作を可能にするために、管理者は Amazon S3 バケットに Cross-Origin Resource Sharing (CORS) 設定をアタッチする必要があります。これが必要になるのは、Studio がインターネットブラウザから Amazon S3 を呼び出すためです。ブラウザは自動的に CORS を呼び出します。そのため、CORS ポリシーが Amazon S3 バケットにアタッチされていなければ、Amazon S3 バケットへのリクエストはすべて失敗します。

以下の場合に、CORS ポリシーを Amazon S3 バケットに手動でアタッチすることが必要になります。

  • 既存のドメインのデフォルトエクスペリエンスを Studio に移行するときに、適切な CORS ポリシーがアタッチされていない Amazon S3 デフォルトバケットが存在する場合。

  • を使用して既存のドメインのデフォルトエクスペリエンスを Studio AWS CLI に移行する場合。を使用して移行 AWS CLI する方法については、「」を参照してくださいを使用して Studio を既存のドメインのデフォルトエクスペリエンスとして設定する AWS CLI

  • CORS ポリシーを追加の Amazon S3 バケットにアタッチする場合。

注記

SageMaker AI コンソールを使用して Studio をデフォルトのエクスペリエンスとして有効にする場合、CORS ポリシーをアタッチする Amazon S3 バケットは、移行中に既存の CORS ポリシーが上書きされます。以下の手動による手順を行う必要はありません。

ただし、SageMaker AI コンソールを使用して移行済みで、CORS ポリシーをアタッチする Amazon S3 バケットをさらに含める場合は、次の手動手順に進みます。

次の手順は、CORS 設定を Amazon S3 バケットに手動で追加する方法を示しています。

CORS 設定を Amazon S3 バケットに追加するには

  1. 次の名前の既存のドメイン AWS リージョン と同じ に Amazon S3 バケットがあることを確認します。手順については、「Viewing the properties for an Amazon S3 bucket」を参照してください。

    sagemaker-region-account-id

  2. CORS 設定を次の内容で、デフォルトの Amazon S3 バケットに追加します。手順については、「Configuring cross-origin resource sharing (CORS)」を参照してください。

    [
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "POST",
            "PUT",
            "GET",
            "HEAD",
            "DELETE"
        ],
        "AllowedOrigins": [
            "https://*.sagemaker.aws"
        ],
        "ExposeHeaders": [
            "ETag",
            "x-amz-delete-marker",
            "x-amz-id-2",
            "x-amz-request-id",
            "x-amz-server-side-encryption",
            "x-amz-version-id"
        ]
    }
]

Amazon SageMaker Data Wrangler は、Studio Classic エクスペリエンスの独自の機能として存在します。Studio をデフォルトのエクスペリエンスとして設定すれば、Amazon SageMaker Canvas アプリケーションを使用することで Data Wrangler 機能にアクセスできます。SageMaker Canvas は、コードを記述することなく機械学習モデルをトレーニングおよびデプロイできるアプリケーションであり、Data Wrangler を活用したデータ準備機能が Canvas に用意されています。

新しい Studio エクスペリエンスは、Classic の Data Wrangler UI をサポートしないため、Data Wrangler を引き続き使用する場合は、Canvas アプリケーションを作成する必要があります。ただし、Canvas アプリケーションを作成して使用するために必要なアクセス許可が必要です。

SageMaker AI ドメインまたはユーザーの AWS IAM ロールに必要なアクセス許可ポリシーをアタッチするには、次の手順を実行します。

Canvas 内の Data Wrangler 機能へのアクセス許可を付与するには

  1. AWS 管理ポリシー AmazonSageMakerFullAccess をユーザーの IAM ロールにアタッチします。IAM ポリシーをロールにアタッチする手順については、AWS IAM ユーザーガイド「Adding IAM identity permissions (console)」を参照してください。

    このアクセス許可ポリシーの許容度が高すぎる場合は、少なくとも次のアクセス許可を含むポリシーを作成してください。

    {
    "Sid": "AllowStudioActions",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
    ],
    "Resource": "*"
},
{
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}

  2. AWS マネージドポリシー AmazonSageMakerCanvasDataPrepFullAccess をユーザーの IAM ロールにアタッチします。

必要なアクセス許可をアタッチした後、Canvas アプリケーションを作成してログインします。詳細については、「Amazon SageMaker Canvas の開始方法」を参照してください。

Canvas にログインし、Data Wrangler に直接アクセスして、データフローの作成を開始できます。詳細については、Canvas ドキュメントの「データ準備」を参照してください。

Amazon SageMaker Autopilot は、Studio Classic エクスペリエンスの独自の機能として存在します。更新されたStudio エクスペリエンスに移行して使用する場合、Amazon SageMaker Canvas アプリケーションを使用すると、ユーザーインターフェイス (UI) を介して同じ自動機械学習 (AutoML) 機能を引き続き使用できます。SageMaker Canvas は、コードを記述することなく機械学習モデルをトレーニングおよびデプロイできるアプリケーションであり、AutoML タスクを実行できる UI が Canvas に用意されています。

新しい Studio エクスペリエンスは、Classic の Autopilot UI をサポートしていません。Autopilot の AutoML 機能を UI 経由で引き続き使用する場合は、Canvas アプリケーションを作成する必要があります。

ただし、Canvas アプリケーションを作成して使用するために必要なアクセス許可が必要です。

  • Studio から SageMaker Canvas にアクセスする場合は、これらのアクセス許可を SageMaker AI ドメインまたはユーザープロファイルの実行ロールに追加します。

  • コンソールから SageMaker Canvas にアクセスする場合は、これらのアクセス許可をユーザーの IAM AWS ロールに追加します。

  • 署名済み URL 経由で SageMaker Canvas にアクセスする場合は、それらのアクセス許可を Okta SSO のアクセスに使用する IAM ロールに追加します。

Canvas で AutoML 機能を有効にするには、次のポリシーを実行ロールまたは IAM ユーザーロールに追加します。

  • AWS マネージドポリシー: CanvasFullAccess

  • インラインポリシー:

    {
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}
実行ロールに IAM ポリシーを添付するには
  1. SageMaker AI ユーザープロファイルにアタッチされた実行ロールを検索する

    1. SageMaker AI コンソール でhttps://console.aws.amazon.com/sagemaker/Domains に移動し、SageMaker AI ドメインを選択します。

    2. 実行ロール ARN は、ユーザープロファイルのユーザー詳細ページの [実行ロール] の下に表示されます。ARN の実行ロールの名前をメモしておきます。

    3. IAM コンソール (https://console.aws.amazon.com/iam/) で [ロール] を選択します。

    4. 検索フィールドで、名前を指定してロールを検索します。

    5. ロールを選択します。

  2. ロールにポリシーを追加します

    1. IAM コンソール (https://console.aws.amazon.com/iam/) で [ロール] を選択します。

    2. 検索フィールドで、名前を指定してロールを検索します。

    3. ロールを選択します。

    4. [アクセス許可] タブで、ドロップダウンメニューから [アクセス許可の追加] に移動します。

      • マネージドポリシーの場合: [ポリシーのアタッチ] を選択し、アタッチするポリシーの名前を検索します。

        ポリシーを選択し、[アクセス許可の追加] を選択します。

      • インラインポリシーの場合: [インラインポリシーの作成] を選択し、JSON タブでポリシーを貼り付けて、次へを選択し、ポリシーに名前を付けて、[作成] を選択します。

IAM ポリシーをロールにアタッチする手順については、AWS IAM ユーザーガイド「Adding IAM identity permissions (console)」を参照してください。

必要なアクセス許可をアタッチした後、Canvas アプリケーションを作成してログインします。詳細については、「Amazon SageMaker Canvas の開始方法」を参照してください。

Studio Classic をデフォルトのエクスペリエンスとして設定する

管理者は、既存のドメインのデフォルトエクスペリエンスとして Studio Classic に戻すことができます。これは、 を通じて実行できます AWS CLI。

注記

Studio Classic がドメインレベルでデフォルトのエクスペリエンスとして設定されている場合、Studio Classic はドメイン内のすべてのユーザーのデフォルトのエクスペリエンスです。ただし、ユーザーレベルの設定は、ドメインレベルの設定よりも優先されます。したがって、Studio がユーザーのデフォルトエクスペリエンスに設定されている場合、そのユーザーのデフォルトエクスペリエンスは Studio になります。

を使用して既存のドメインのデフォルトエクスペリエンスとして Studio Classic に戻すには AWS CLI、update-domain 呼び出しを使用します。default-user-settings フィールドの一部として、以下を設定する必要があります。

  • StudioWebPortal 値を に設定しますDISABLED

  • DefaultLandingUri から への値 app:JupyterServer:

StudioWebPortal には、Studio エクスペリエンスがデフォルトのエクスペリエンスかどうかを指定し、DefaultLandingUri にはドメインへのアクセス時にユーザーに表示されるデフォルトのエクスペリエンスを指定します。下の例では、これらの値をドメインレベルで (default-user-settings に) 設定し、Studio Classic をドメイン内のユーザーのデフォルトのエクスペリエンスに指定しています。

ドメイン内のユーザーが、ユーザーレベル ( 内UserSettings) studio::StudioWebPortalに設定ENABLEDされ、 DefaultLandingUriに設定されている場合、これはドメインレベルの設定よりも優先されます。つまり、ドメインレベルの設定に関係なく、そのユーザーはデフォルトのエクスペリエンスとして Studio を使用します。

次のコード例は、Studio Classic をドメイン内のユーザーのデフォルトのエクスペリエンスに設定する方法を示しています。

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region AWS リージョン \
--default-user-settings '
{
    "StudioWebPortal": "DISABLED",
    "DefaultLandingUri": "app:JupyterServer:"
}
'

を取得するには、以下の手順に従いますexisting-domain-id

  1. https://console.aws.amazon.com/sagemaker/ で Amazon SageMaker AI コンソールを開きます。

  2. 左側のナビゲーションペインから [管理設定‭] を展開し、[ドメイン] を選択します。

  3. 既存のドメインを選択します。

  4. [ドメインの詳細] ページで、[ドメインの設定] タブを選択します。

  5. ドメイン ID をコピーします。

を取得するにはAWS リージョン、次の手順に従って、ドメイン AWS リージョン に正しい を使用していることを確認します。

  1. https://console.aws.amazon.com/sagemaker/ で Amazon SageMaker AI コンソールを開きます。

  2. 左側のナビゲーションペインから [管理設定‭] を展開し、[ドメイン] を選択します。

  3. 既存のドメインを選択します。

  4. [ドメインの詳細] ページで、これが既存のドメインであることを確認します。

  5. SageMaker AI コンソールの右上から AWS リージョン ドロップダウンリストを展開し、名前の AWS リージョン 右側にある対応する AWS リージョン ID を使用します。例えば、us-west-1 と指定します。