Use a configuração personalizada para a Amazon SageMaker - Amazon SageMaker

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use a configuração personalizada para a Amazon SageMaker

A configuração para organizações (configuração personalizada) orienta você por meio de uma configuração avançada para seu SageMaker domínio da Amazon. Essa opção fornece informações e recomendações para ajudar você a entender e controlar todos os aspectos da configuração da conta, incluindo permissões, integrações e criptografia. Use essa opção se quiser configurar um domínio personalizado. Para obter informações sobre domínios, consulteVisão geral SageMaker do domínio da Amazon.

Métodos de autenticação

Antes de configurar o domínio, considere os métodos de autenticação para que seus usuários acessem o domínio.

AWS Centro de identidade:

  • Ajuda a simplificar a administração das permissões de acesso a grupos de usuários. Você pode conceder ou negar permissões a grupos de usuários, em vez de aplicar essas permissões a cada usuário individual. Se um usuário se mudar para uma organização diferente, você poderá movê-lo para um grupo diferente da Central de AWS Identity and Access Management Identidade (AWS IAM Identity Center). Em seguida, o usuário recebe automaticamente as permissões necessárias para a nova organização.

    Observe que o IAM Identity Center precisa estar no Região da AWS mesmo domínio.

    Para configurar o IAM Identity Center, use as seguintes instruções do Guia do usuário do AWS IAM Identity Center:

  • Os usuários no IAM Identity Center podem acessar o domínio usando um Portal de acesso da AWS URL e-mail enviado a eles. O e-mail fornece instruções para criar uma conta para acessar o domínio. Para obter mais informações, consulte Fazer login no Portal de acesso da AWS.

    Como administrador, você pode encontrar o Portal de acesso da AWS URL navegando até o IAMIdentity Center e encontrando o resumo Portal de acesso da AWS URLdas configurações.

  • Seu domínio deve usar a autenticação AWS Identity and Access Management (IAM) se você quiser restringir o acesso aos seus domínios exclusivamente a determinadas Amazon Virtual Private Clouds (VPCs), endpoints de interface ou um conjunto predefinido de endereços IP. Esse recurso não é compatível com domínios que usam a autenticação do IAM Identity Center. Você ainda pode usar o IAM Identity Center para permitir o controle centralizado da identidade da força de trabalho. Para obter instruções sobre como implementar essas restrições e, ao mesmo tempo, manter o IAM Identity Center para fornecer uma experiência consistente de login ao usuário, consulte Acesso seguro ao Amazon SageMaker Studio Classic com o IAM Identity Center e um SAML aplicativo no blog de aprendizado AWS de máquina. Observe que AWS SSO é o IAM Identity Center neste blog.

Faça login por meio de IAM:

  • Os perfis de usuário podem acessar o domínio por meio do SageMaker console após fazer login na conta.

  • Você pode restringir o acesso aos seus domínios exclusivamente a determinadas Amazon Virtual Private Clouds (VPCs), endpoints de interface ou um conjunto predefinido de endereços IP ao usar a autenticação AWS Identity and Access Management ()IAM. Para obter mais informações, consulte Permita o acesso somente de dentro do seu VPC.

Configuração para organizações (configuração personalizada)

Depois de atender aos pré-requisitos SageMaker Pré-requisitos completos da Amazon, abra a página Configurar SageMaker domínio (configuração personalizada) e expanda as seções a seguir para obter informações sobre a configuração.

Abra a opção Configurar SageMaker domínio a partir do SageMaker console
  1. Abra o SageMaker console.

  2. No painel de navegação esquerdo, escolha Configurações administrativas para expandir as opções.

  3. Em Configurações do administrador, escolha Domínios.

  4. Na página Domínios, selecione Criar Domínio.

  5. Na página Configurar SageMaker domínio, escolha Configurar para organizações.

  6. Escolha Set up (Configurar).

Depois de abrir a página Configurar SageMaker domínio, use as seguintes instruções:

  1. Em Nome do domínio, insira um nome exclusivo para seu domínio. Por exemplo, esse pode ser o nome do seu projeto ou da equipe.

  2. Escolha Próximo.

Nesta etapa, você configura o método de autenticação, os usuários e as permissões do seu domínio.

  1. Em Como você deseja acessar o Studio? , você pode escolher uma das duas opções. Para obter informações sobre os métodos de autenticação, consulteMétodos de autenticação. Os detalhes sobre as opções são fornecidos a seguir:

    • AWS Centro de identidade:

      Em Quem usará o Studio? escolha um AWS IAM Identity Center grupo que acessará o domínio.

      Se você escolher Sem grupo de usuários do Identity Center, você criará um domínio sem usuários. Você pode adicionar grupos do IAM Identity Center ao domínio após a criação do domínio. Para obter mais informações, consulte Editar configurações de domínio.

    • Faça login por meio de IAM:

      Em Quem usará o Studio? escolha + Adicionar usuário, insira um novo nome de perfil de usuário e escolha Adicionar para criar e adicionar um nome de perfil de usuário.

      Você pode repetir esse processo para criar vários perfis de usuário.

  2. Em Quem usará o Studio? selecione os usuários ou grupos do IAM Identity Center e escolha Selecionar. Você precisa configurar o Amazon SageMaker Studio na mesma região em que sua Central de IAM Identidade está configurada. Você pode alterar a região do seu domínio escolhendo a região na lista suspensa no canto superior direito do console ou pode alterar a região do centro de IAM identidade navegando até o AWS portal de acesso.

  3. Em Quais atividades de ML eles realizam? você pode usar uma função existente escolhendo Usar uma função existente ou criar uma nova função escolhendo Criar uma nova função e marcando as atividades de ML que você deseja que a função tenha acesso.

  4. Ao selecionar atividades de ML, talvez seja necessário atender aos requisitos. Para satisfazer um requisito, escolha Adicionar e conclua o requisito.

  5. Depois que todos os requisitos forem atendidos, escolha Avançar.

Nesta etapa, você pode configurar os aplicativos que você ativou na etapa anterior. Para obter mais informações sobre as atividades de ML, consulteReferência da atividade de ML.

Se o aplicativo não tiver sido ativado, você receberá um aviso para esse aplicativo. Para ativar um aplicativo que não foi ativado, retorne à etapa anterior escolhendo Voltar e siga as instruções anteriores.

  • Configuração do estúdio:

    Em Studio, você tem a opção de escolher entre a versão mais recente e a clássica do Studio como sua experiência padrão. Isso significa escolher com qual ambiente de ML você interage ao abrir o Studio.

    • O Studio inclui vários ambientes de desenvolvimento integrados (IDEs) e aplicativos, incluindo o Amazon SageMaker Studio Classic. Se escolhido, o Studio Classic IDE tem configurações padrão. Para obter informações sobre as configurações padrão, consulteConfigurações padrão.

      Para obter informações sobre o Studio, consulte SageMaker Estúdio Amazon.

    • O Studio Classic inclui o IDE Jupyter. Se escolhido, você pode configurar sua configuração do Studio Classic.

      Para obter informações sobre o Studio Classic, consulteAmazon SageMaker Studio Clássico.

  • SageMaker Configuração do Canvas:

    Se você tiver o Amazon SageMaker Canvas ativado, consulte as Começando a usar o Amazon SageMaker Canvas instruções e os detalhes de configuração para integração.

  • Configuração do Studio Classic:

    Se você escolheu o Studio (recomendado) como sua experiência padrão, o Studio Classic IDE tem configurações padrão. Para obter informações sobre as configurações padrão, consulteConfigurações padrão.

    Se você escolheu o Studio Classic como sua experiência padrão, você pode optar por ativar ou desativar o compartilhamento de recursos do notebook. Os recursos do notebook incluem artefatos como saída de células e repositórios Git. Para obter mais informações sobre os recursos do Notebook, consulteCompartilhe e use um notebook Amazon SageMaker Studio Classic.

    Se você ativou o compartilhamento de recursos do notebook:

    1. Em Localização no S3 para recursos compartilháveis do notebook, insira sua localização no Amazon S3.

    2. Em Chave de criptografia - opcional, deixe como Sem criptografia personalizada ou escolha uma AWS KMS chave existente ou escolha Inserir uma KMS chave ARN e insira a da sua AWS KMS chaveARN.

    3. Em Preferência de compartilhamento da saída da célula do Notebook, escolha Permitir que os usuários compartilhem a saída da célula ou Desativar o compartilhamento da saída da célula.

  • RStudioconfiguração:

    Para habilitarRStudio, você precisa de uma RStudio licença. Para configurar isso, consulteObtenha uma RStudio licença.

    1. Em RStudioWorkbench, verifique se sua RStudio licença foi detectada automaticamente. Para obter mais informações sobre como obter uma RStudio licença e ativá-la com SageMaker, consulteObtenha uma RStudio licença.

    2. Selecione um tipo de instância para iniciar seu RStudio servidor. Para obter mais informações, consulte Tipo de StudioServerPro instância R.

    3. Em Permissão, crie sua função ou selecione uma função existente. A função deve ter política de permissões a seguir. Essa política permite que o RStudioServerPro aplicativo acesse os recursos necessários. Também permite que SageMaker a Amazon inicie automaticamente um RStudioServerPro aplicativo quando o RStudioServerPro aplicativo existente estiver no Failed status Deleted or. Para obter informações sobre como adicionar permissões a uma função, consulte Modificar a política de permissões de função (console).

      { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] }
    4. Em RStudioConnect, adicione o URL para o seu servidor RStudio Connect. RStudioO Connect é uma plataforma de publicação para aplicativos Shiny, relatórios R Markdown, painéis, gráficos e muito mais. Quando você se integra ao RStudio on SageMaker, um servidor RStudio Connect não é criado. Para obter mais informações, consulte Adicionar um RStudio Connect URL.

    5. Em RStudioPackage Manager, adicione o URL para o seu RStudio Package Manager. SageMaker cria um repositório de pacotes padrão para o Package Manager quando você faz a integraçãoRStudio. Para obter mais informações sobre o RStudio Package Manager, consulteAtualize o RStudio Package Manager URL.

    6. Escolha Próximo.

  • Configuração do editor de código:

    Se você tiver o Editor de código ativado, consulte Editor de código no Amazon SageMaker Studio para obter uma visão geral e os detalhes da configuração.

Nesta seção, você pode personalizar os aplicativos visíveis e as ferramentas de aprendizado de máquina (ML) exibidas no Studio. Essa personalização oculta apenas os aplicativos e as ferramentas de ML no painel de navegação esquerdo do Studio. Para obter informações sobre a interface do usuário do Studio, consulteVisão geral da interface do usuário do Amazon SageMaker Studio.

Para obter informações sobre os aplicativos, consulteAplicativos compatíveis com o Amazon SageMaker Studio.

O recurso de personalização da interface do usuário do Studio não está disponível no Studio Classic. Se você quiser definir o Studio como sua experiência padrão, escolha Anterior e retorne à etapa anterior.

  1. Na página Customize Studio UI, você pode ocultar aplicativos e ferramentas de ML exibidos no Studio desativando-os.

  2. Depois de revisar suas alterações, escolha Avançar.

Escolha como você deseja que o Studio se conecte a outros AWS serviços.

Você pode optar por desativar o acesso à Internet em seu Studio especificando usando o tipo de acesso à rede Virtual Private Cloud (VPC) Only. Se você escolher essa opção, não poderá executar um notebook Studio, a menos que VPC tenha um endpoint de interface para o tempo de execução SageMaker API e um gateway Network Address Translation (NAT) com acesso à Internet e seus grupos de segurança permitam conexões de saída. Para obter mais informações sobre a AmazonVPCs, consulteEscolha uma Amazon VPC.

Se você escolher Virtual Private Cloud (VPC) Somente as etapas a seguir serão necessárias. Se você escolher Acesso público à Internet, as duas primeiras etapas a seguir serão necessárias.

  1. Em VPC, escolha o Amazon VPC ID.

  2. Em Sub-rede, escolha uma ou mais sub-redes. Se você não escolher nenhuma sub-rede, SageMaker use todas as sub-redes na Amazon. VPC Recomendamos que você use várias sub-redes que não sejam criadas em zonas de disponibilidade restritas. O uso de sub-redes nessas zonas de disponibilidade restritas pode resultar em erros de capacidade insuficiente e em tempos mais longos de criação de aplicativos. Para obter mais informações sobre zonas de disponibilidade, consulte Zonas de disponibilidade.

  3. Em Grupos de segurança, escolha uma ou mais sub-redes.

Se VPCsomente for selecionado, SageMaker aplicará automaticamente as configurações do grupo de segurança definidas para o domínio a todos os espaços compartilhados criados no domínio. Se somente Internet pública estiver selecionada, SageMaker não aplicará as configurações do grupo de segurança aos espaços compartilhados criados no domínio.

Você tem a opção de criptografar seus dados. Os sistemas de arquivos Amazon Elastic File System (AmazonEFS) e Amazon Elastic Block Store (AmazonEBS) que são criados para você quando você cria um domínio. Os EBS tamanhos da Amazon são usados tanto pelo editor de código quanto pelos JupyterLab espaços.

Você não pode alterar a chave de criptografia depois de criptografar seus sistemas de EBS arquivos da Amazon EFS e da Amazon. Para criptografar seus sistemas de EBS arquivos da Amazon EFS e da Amazon, você pode usar as seguintes configurações.

  • Em Chave de criptografia - opcional, deixe como Sem criptografia personalizada ou escolha uma KMS chave existente ou escolha Inserir uma KMS chave ARN e insira a ARN da sua KMS chave.

  • Em Tamanho padrão do espaço - opcional, insira o tamanho padrão do espaço.

  • Em Tamanho máximo do espaço - opcional, insira o tamanho máximo do espaço.

Revise as configurações do seu domínio. Se você precisar alterar as configurações, escolha Editar ao lado da etapa relevante. Depois de confirmar que as configurações do seu domínio estão corretas, escolha Enviar e o domínio será criado para você. esse processo pode demorar alguns minutos.

As seções a seguir fornecem AWS CLI instruções para a configuração personalizada do seu domínio usando o IAM Identity Center ou os métodos de IAM autenticação.

Depois de satisfazer os pré-requisitos, incluindo a configuração de suas AWS CLI credenciais, em SageMaker Pré-requisitos completos da Amazon, use as etapas a seguir.

  1. Crie uma função de execução que seja usada para criar um domínio e anexar a AmazonSageMakerFullAccesspolítica. Você também pode usar uma função existente que tenha, no mínimo, uma política de confiança anexada que conceda SageMaker permissão para assumir a função. Para obter mais informações, consulte Como usar funções SageMaker de execução.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
  2. Obtenha a Amazon Virtual Private Cloud (AmazonVPC) padrão da sua conta.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
  3. Obtenha a lista de sub-redes na Amazon padrão. VPC

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
  4. Crie um domínio transmitindo o VPC ID, as sub-redes e a função de execução padrão da Amazon. ARN Você também deve passar uma SageMaker imagemARN. Para obter informações sobre a JupyterLab versão disponívelARNs, consulteDefinindo uma JupyterLab versão padrão.

    Paraauthentication-mode, use SSO para autenticação do IAM Identity Center ou IAM para IAM autenticação.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    Você pode usar o AWS CLI para personalizar os aplicativos e as ferramentas de ML exibidos no Studio para o domínio, usando StudioWebPortalSettings. Use HiddenAppTypes para ocultar aplicativos e HiddenMlTools ocultar ferramentas de ML. Para obter mais informações sobre como personalizar a navegação à esquerda da interface do usuário do Studio, consulteOculte ferramentas e aplicativos de aprendizado de máquina na interface do usuário do Amazon SageMaker Studio. Esse recurso não está disponível para o Studio Classic.

  5. Verifique se o domínio foi criado.

    aws --region region sagemaker list-domains

Para obter informações sobre como criar um domínio usando AWS CloudFormation, consulte AWS::SageMaker: :Domain no Guia do AWS CloudFormation Usuário.

Para ver um exemplo de um AWS CloudFormation modelo que você pode usar para configurar seu domínio, consulte Criação de SageMaker domínios da Amazon usando AWS CloudFormation no aws-samples GitHub repositório.

Depois que o domínio for configurado, o usuário administrativo poderá visualizar e editar o domínio. Para obter informações, consulte Exibir domínios e Editar configurações de domínio.

Acesse o domínio após a integração

Os usuários podem acessar SageMaker usando: