Fase 1: Migrar a interface do usuário do Studio Classic para o Studio - Amazon SageMaker
Pré-requisitosEtapa 1: criar um domínio de testeEtapa 2: migrar o domínio existenteLimpe os recursos do domínio de testeSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Fase 1: Migrar a interface do usuário do Studio Classic para o Studio

A primeira fase para migrar um domínio existente envolve a migração da interface do usuário do Amazon SageMaker Studio Classic para o Amazon SageMaker Studio.

A fase 1 consiste nas seguintes etapas:

  1. Crie um domínio de teste para verificar as configurações antes de migrar o domínio existente.

  2. Migre o domínio existente.

  3. Limpe o domínio de teste.

Pré-requisitos

Antes de executar essas etapas, preencha os pré-requisitos em. Pré-requisitos

Etapa 1: criar um domínio de teste

Antes de migrar seu domínio existente do Studio Classic para o Studio, recomendamos criar um domínio de teste usando o Studio com as mesmas configurações do seu domínio existente. Use esse domínio de teste para interagir com o Studio, testar configurações de rede e iniciar aplicativos antes de migrar o domínio existente.

  1. Obtenha o ID de domínio do seu domínio existente.

    1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

    2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

    3. Escolha o domínio existente.

    4. Na página Detalhes do Domínio, escolha a guia Configurações do Domínio.

    5. Copie o ID do domínio.

  2. Adicione o ID de domínio do seu domínio existente.

    export REF_DOMAIN_ID="domain-id"
export SM_REGION="region"

  3. Use describe-domain para obter informações importantes sobre o domínio existente.

    export REF_EXECROLE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.ExecutionRole')
export REF_VPC=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.VpcId')
export REF_SIDS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.SubnetIds | join(",")')
export REF_SGS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.SecurityGroups | join(",")')
export AUTHMODE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.AuthMode')

  4. Valide os parâmetros.

    echo "Execution Role: $REF_EXECROLE || VPCID: $REF_VPC || SubnetIDs: $REF_SIDS || Security GroupIDs: $REF_SGS || AuthMode: $AUTHMODE"

  5. Crie um domínio de teste usando as configurações do domínio existente.

    IFS=',' read -r -a subnet_ids <<< "$REF_SIDS"
IFS=',' read -r -a security_groups <<< "$REF_SGS"
security_groups_json=$(printf '%s\n' "${security_groups[@]}" | jq -R . | jq -s .)

aws sagemaker create-domain \
--domain-name "TestV2Config" \
--vpc-id $REF_VPC \
--auth-mode $AUTHMODE \
--subnet-ids "${subnet_ids[@]}" \
--app-network-access-type VpcOnly \
--default-user-settings "
{
    \"ExecutionRole\": \"$REF_EXECROLE\",
    \"StudioWebPortal\": \"ENABLED\",
    \"DefaultLandingUri\": \"studio::\",
    \"SecurityGroups\": $security_groups_json
}
"

  6. Depois que o domínio de teste estiver In Service pronto, use o ID do domínio de teste para criar um perfil de usuário. Esse perfil de usuário é usado para iniciar e testar aplicativos.

    aws sagemaker create-user-profile \
--region="$SM_REGION" --domain-id=test-domain-id \
--user-profile-name test-network-user

Atualizar as permissões de criação de aplicativos

Depois que o domínio de teste estiver In Service pronto, atualize a função de execução do domínio de teste para conceder aos usuários permissões para criar aplicativos.

  1. Crie uma AWS Identity and Access Management política com um dos conteúdos a seguir seguindo as etapas em Criação de políticas do IAM:

    • Use a política a seguir para conceder permissões para todos os tipos e espaços de aplicativos.

      nota

      Se o domínio de teste usar a SageMakerFullAccess política, você não precisará executar essa ação. SageMakerFullAccessconcede permissões para criar todos os aplicativos.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SMStudioUserProfileAppPermissionsCreateAndDelete",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:app/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioCreatePresignedDomainUrlForUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        {
            "Sid": "SMStudioAppPermissionsListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListApps",
                "sagemaker:ListDomains",
                "sagemaker:ListUserProfiles",
                "sagemaker:ListSpaces",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:DescribeSpace"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SMStudioAppPermissionsTagOnCreate",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:*/*",
            "Condition": {
                "Null": {
                    "sagemaker:TaggingAction": "false"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSharedSpacesWithoutOwners",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:space/${sagemaker:DomainId}/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSpacesToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private",
                        "Shared"
                    ]
                }
            }
        },
        {
            "Sid": "SMStudioRestrictCreatePrivateSpaceAppsToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:app/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private"
                    ]
                }
            }
        },
        {
            "Sid": "AllowAppActionsForSharedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Shared"
                    ]
                }
            }
        }
    ]
}

    • Como o Studio mostra um conjunto expandido de aplicativos, os usuários podem ter acesso a aplicativos que não foram exibidos antes. Os administradores podem limitar o acesso a esses aplicativos padrão criando uma política AWS Identity and Access Management (IAM) que concede permissões negadas para alguns aplicativos a usuários específicos.

      nota

      O tipo de aplicativo pode ser jupyterlab oucodeeditor.

      {  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenySageMakerCreateAppForSpecificAppTypes",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/*/app-type/*"
    }
  ]
}

  2. Anexe a política à função de execução do domínio de teste. Para obter instruções, siga as etapas em Adicionar permissões de identidade do IAM (console).

Funcionalidade do Test Studio

Inicie o domínio de teste usando o perfil test-network-user do usuário. Sugerimos que você teste minuciosamente a interface do usuário do Studio e crie aplicativos para testar a funcionalidade do Studio no VPCOnly modo. Teste os seguintes fluxos de trabalho:

  • Crie um novo JupyterLab espaço, teste o ambiente e a conectividade.

  • Crie um novo editor de código, baseado em Code-OSS, Visual Studio Code - Open Source Space, ambiente de teste e conectividade.

  • Inicie um novo aplicativo Studio Classic, teste o ambiente e a conectividade.

  • Teste a conectividade do Amazon Simple Storage Service com ações de teste de leitura e gravação.

Se esses testes forem bem-sucedidos, atualize o domínio existente. Se você encontrar alguma falha, recomendamos corrigir seus problemas de ambiente e conectividade antes de atualizar o domínio existente.

Etapa 2: migrar o domínio existente

Depois de testar a funcionalidade do Studio com as configurações em seu domínio de teste, migre o domínio existente. Quando o Studio é a experiência padrão para um domínio, o Studio é a experiência padrão para todos os usuários no domínio. No entanto, as configurações do usuário têm precedência sobre as configurações do domínio. Portanto, se um usuário tiver sua experiência padrão definida como Studio Classic em suas configurações de usuário, esse usuário terá o Studio Classic como experiência padrão.

Você pode migrar o domínio existente atualizando-o a partir do SageMaker console AWS CLI, do ou AWS CloudFormation. Escolha uma das guias a seguir para ver as instruções relevantes.

Você pode definir o Studio como a experiência padrão para o domínio existente usando o SageMaker console.

  1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

  2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

  3. Escolha o domínio existente para o qual você deseja habilitar o Studio como a experiência padrão.

  4. Na página de detalhes do domínio, expanda Ativar o novo Studio.

  5. (Opcional) Para ver os detalhes sobre as etapas envolvidas na ativação do Studio como sua experiência padrão, escolha Exibir detalhes. A página mostra o seguinte.

    • Na seção Visão geral do SageMaker Studio, você pode ver os aplicativos incluídos ou disponíveis na interface web do Studio.

    • Na seção Processo de capacitação, você pode ver as descrições das tarefas do fluxo de trabalho para habilitar o Studio.

      nota

      Você precisará migrar seus dados manualmente. Para obter instruções sobre como migrar seus dados, consulteFase 3: Migrar dados.

    • Na seção Reverter para a experiência do Studio Classic, você pode ver como voltar para o Studio Classic depois de ativar o Studio como sua experiência padrão.

  6. Para iniciar o processo de habilitar o Studio como sua experiência padrão, escolha Habilitar o novo Studio.

  7. Na seção Especificar e configurar a função, você pode visualizar os aplicativos padrão que são incluídos automaticamente no Studio.

    Para impedir que os usuários executem esses aplicativos, escolha a função AWS Identity and Access Management (IAM) que tem uma política do IAM que nega o acesso. Para obter informações sobre como criar uma política para limitar o acesso, consulteAtualizar as permissões de criação de aplicativos.

  8. Na seção Escolha o bucket padrão do S3 para anexar a política do CORS, você pode dar ao Studio acesso aos buckets do Amazon S3. O bucket padrão do Amazon S3, nesse caso, é o bucket padrão do Amazon S3 para seu Studio Classic. Nesta etapa, você pode fazer o seguinte:

    • Verifique o bucket Amazon S3 padrão do domínio ao qual anexar a política do CORS. Se o seu domínio não tiver um bucket padrão do Amazon S3, SageMaker crie um bucket do Amazon S3 com a política de CORS correta anexada.

    • Você pode incluir 10 buckets adicionais do Amazon S3 aos quais anexar a política do CORS.

      Se quiser incluir mais de 10 compartimentos, você pode adicioná-los manualmente. Para obter mais informações sobre como anexar manualmente a política do CORS aos seus buckets do Amazon S3, consulte. Atualize sua política de CORS para acessar os buckets do Amazon S3

    Para continuar, marque a caixa de seleção ao lado de Você concorda em substituir alguma política de CORS existente nos buckets Amazon S3 escolhidos? .

  9. A seção Migrar dados contém informações sobre os diferentes volumes de armazenamento de dados do Studio Classic e do Studio. Seus dados não serão migrados automaticamente por meio desse processo. Para obter instruções sobre como migrar seus dados, configurações de ciclo de vida e JupyterLab extensões, consulte. Fase 3: Migrar dados

  10. Depois de concluir as tarefas na página e verificar sua configuração, escolha Habilitar o novo Studio.

Para definir o Studio como a experiência padrão para o domínio existente usando o AWS CLI, use a chamada update-domain. Você deve definir ENABLED como valor para StudioWebPortal e definir studio:: como valor para DefaultLandingUri como parte do default-user-settings parâmetro. 

StudioWebPortalindica se a experiência do Studio é a experiência padrão e DefaultLandingUri indica a experiência padrão para a qual o usuário é direcionado ao acessar o domínio. Neste exemplo, definir esses valores em um nível de domínio (indefault-user-settings) torna o Studio a experiência padrão para usuários dentro do domínio.

Se um usuário dentro do domínio tiver seus dados StudioWebPortal definidos como DISABLED e DefaultLandingUri definidos app:JupyterServer: em um nível de usuário (inUserSettings), isso terá precedência sobre as configurações do domínio. Em outras palavras, esse usuário terá o Studio Classic como sua experiência padrão, independentemente das configurações do domínio.

O exemplo de código a seguir mostra como definir o Studio como a experiência padrão para usuários dentro do domínio:

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region Região da AWS \
--default-user-settings '
{
    "StudioWebPortal": "ENABLED",
    "DefaultLandingUri": "studio::"
}
'

  • Para obter seuexisting-domain-id, use as seguintes instruções:

    Para obter existing-domain-id

    1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

    2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

    3. Escolha o domínio existente.

    4. Na página Detalhes do Domínio, escolha a guia Configurações do Domínio.

    5. Copie o ID do domínio.

  • Para garantir que você esteja usando o correto Região da AWS para seu domínio, use as seguintes instruções:

    Para obter Região da AWS

    1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

    2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

    3. Escolha o domínio existente.

    4. Na página Detalhes do domínio, verifique se esse é o domínio existente.

    5. Expanda a lista Região da AWS suspensa no canto superior direito do SageMaker console e use o Região da AWS ID correspondente à direita do seu Região da AWS nome. Por exemplo, us-west-1.

Depois de migrar sua experiência padrão para o Studio, você pode dar ao Studio acesso aos buckets do Amazon S3. Por exemplo, você pode incluir acesso ao seu bucket Amazon S3 padrão do Studio Classic e buckets adicionais do Amazon S3. Para fazer isso, você deve anexar manualmente uma configuração de Cross-Origin Resource Sharing (CORS) aos buckets do Amazon S3. Para obter mais informações sobre como anexar manualmente a política do CORS aos seus buckets do Amazon S3, consulte. Atualize sua política de CORS para acessar os buckets do Amazon S3

Da mesma forma, você pode definir o Studio como a experiência padrão ao criar um domínio AWS CLI usando a chamada create-domain

Você pode definir a experiência padrão ao criar um domínio usando AWS CloudFormation o. Para obter um modelo de AWS CloudFormation migração, consulte Modelos de IaC do SageMaker Studio Administrator. Para obter mais informações sobre como criar um domínio usando AWS CloudFormation, consulte Criação de SageMaker domínio da Amazon usando AWS CloudFormation.

Para obter informações sobre o recurso de domínio suportado pelo AWS CloudFormation, consulte AWS::SageMaker: :Domain.

Depois de migrar sua experiência padrão para o Studio, você pode dar ao Studio acesso aos buckets do Amazon S3. Por exemplo, você pode incluir acesso ao seu bucket Amazon S3 padrão do Studio Classic e buckets adicionais do Amazon S3. Para fazer isso, você deve anexar manualmente uma configuração de Cross-Origin Resource Sharing (CORS) aos buckets do Amazon S3. Para obter informações sobre como anexar manualmente a política do CORS aos seus buckets do Amazon S3, consulte. Atualize sua política de CORS para acessar os buckets do Amazon S3

Atualize sua política de CORS para acessar os buckets do Amazon S3

No Studio Classic, os usuários podem criar, listar e fazer upload de arquivos para buckets do Amazon Simple Storage Service (Amazon S3). Para oferecer suporte à mesma experiência no Studio, os administradores devem anexar uma configuração Cross-Origin Resource Sharing (CORS) aos buckets do Amazon S3. Isso é necessário porque o Studio faz chamadas para o Amazon S3 a partir do navegador da Internet. O navegador invoca o CORS em nome dos usuários. Como resultado, todas as solicitações para os buckets do Amazon S3 falham, a menos que a política do CORS esteja anexada aos buckets do Amazon S3.

Talvez seja necessário anexar manualmente a política do CORS aos buckets do Amazon S3 pelos seguintes motivos.

  • Se já houver um bucket padrão do Amazon S3 que não tenha a política CORS correta anexada quando você migra a experiência padrão do domínio existente para o Studio.

  • Se você estiver usando o AWS CLI para migrar a experiência padrão do domínio existente para o Studio. Para obter informações sobre como usar o AWS CLI para migrar, consulteDefina o Studio como a experiência padrão para o domínio existente usando o AWS CLI.

  • Se você quiser anexar a política do CORS a buckets adicionais do Amazon S3.

nota

Se você planeja usar o SageMaker console para habilitar o Studio como sua experiência padrão, os buckets do Amazon S3 aos quais você anexa a política de CORS terão suas políticas de CORS existentes substituídas durante a migração. Por esse motivo, você pode ignorar as seguintes instruções manuais.

No entanto, se você já usou o SageMaker console para migrar e quiser incluir mais buckets do Amazon S3 aos quais anexar a política do CORS, continue com as seguintes instruções manuais.

O procedimento a seguir mostra como adicionar manualmente uma configuração CORS a um bucket do Amazon S3.

Para adicionar uma configuração CORS a um bucket do Amazon S3

  1. Verifique se há um bucket do Amazon S3 no mesmo domínio existente com o Região da AWS seguinte nome. Para obter instruções, consulte Visualização das propriedades de um bucket do Amazon S3. 

    sagemaker-region-account-id

  2. Adicione uma configuração CORS com o conteúdo a seguir ao bucket padrão do Amazon S3. Para obter instruções, consulte Como configurar o compartilhamento de recursos de origem cruzada (CORS).

    [
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "POST",
            "PUT",
            "GET",
            "HEAD",
            "DELETE"
        ],
        "AllowedOrigins": [
            "https://*.sagemaker.aws"
        ],
        "ExposeHeaders": [
            "ETag",
            "x-amz-delete-marker",
            "x-amz-id-2",
            "x-amz-request-id",
            "x-amz-server-side-encryption",
            "x-amz-version-id"
        ]
    }
]

Migre do Data Wrangler no Studio Classic para o Canvas SageMaker

O Amazon SageMaker Data Wrangler existe como seu próprio recurso na experiência do Studio Classic. Ao habilitar o Studio como sua experiência padrão, use o aplicativo Amazon SageMaker Canvas para acessar a funcionalidade do Data Wrangler. SageMaker O Canvas é um aplicativo no qual você pode treinar e implantar modelos de aprendizado de máquina sem escrever nenhum código, e o Canvas fornece recursos de preparação de dados baseados no Data Wrangler.

A nova experiência do Studio não é compatível com a interface clássica do Data Wrangler, e você deve criar um aplicativo Canvas se quiser continuar usando o Data Wrangler. No entanto, você deve ter as permissões necessárias para criar e usar aplicativos Canvas.

Conclua as etapas a seguir para anexar as políticas de permissões necessárias à função do AWS IAM do seu SageMaker domínio ou usuário.

Para conceder permissões para a funcionalidade do Data Wrangler dentro do Canvas

  1. Anexe a política AWS gerenciada AmazonSageMakerFullAccessà função do IAM do seu usuário. Para ver um procedimento que mostra como anexar políticas do IAM a uma função, consulte Adicionar permissões de identidade do IAM (console) no Guia AWS do usuário do IAM.

    Se essa política de permissões for muito permissiva para seu caso de uso, você poderá criar políticas com escopo reduzido que incluam pelo menos as seguintes permissões:

    {
    "Sid": "AllowStudioActions",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
    ],
    "Resource": "*"
},
{
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}

  2. Anexe a política AWS gerenciada AmazonSageMakerCanvasDataPrepFullAccessà função do IAM do seu usuário.

Depois de anexar as permissões necessárias, você pode criar um aplicativo Canvas e fazer login. Para ter mais informações, consulte Começando a usar o Amazon SageMaker Canvas.

Depois de fazer login no Canvas, você pode acessar diretamente o Data Wrangler e começar a criar fluxos de dados. Para obter mais informações, consulte Preparar dados a documentação do Canvas.

Migre do piloto automático no Studio Classic para o Canvas SageMaker

O Amazon SageMaker Autopilot existe como seu próprio recurso na experiência do Studio Classic. Ao migrar para a experiência atualizada do Studio, use o aplicativo Amazon SageMaker Canvas para continuar usando os mesmos recursos de aprendizado de máquina automatizado (AutoML) por meio de uma interface de usuário (UI). SageMaker O Canvas é um aplicativo no qual você pode treinar e implantar modelos de aprendizado de máquina sem escrever nenhum código, e o Canvas fornece uma interface de usuário para executar suas tarefas do AutoML.

A nova experiência do Studio não é compatível com a interface clássica do Autopilot. Você deve criar um aplicativo Canvas se quiser continuar usando os recursos AutoML do Autopilot por meio de uma interface de usuário.

No entanto, você deve ter as permissões necessárias para criar e usar aplicativos Canvas.

  • Se você estiver acessando o SageMaker Canvas a partir do Studio, adicione essas permissões à função de execução do seu SageMaker domínio ou perfil de usuário.

  • Se você estiver acessando o SageMaker Canvas a partir do console, adicione essas permissões à função do AWS IAM do seu usuário.

  • Se você estiver acessando o SageMaker Canvas por meio de uma URL pré-assinada, adicione essas permissões à função do IAM que você está usando para acessar o Okta SSO.

Para habilitar os recursos do AutoML no Canvas, adicione as seguintes políticas à sua função de execução ou função de usuário do IAM.

  • AWS política gerenciada: CanvasFullAccess.

  • Política embutida:

    {
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}
Para anexar políticas do IAM a uma função de execução
  1. Encontre a função de execução anexada ao seu perfil de SageMaker usuário

    1. No SageMaker consolehttps://console.aws.amazon.com/sagemaker/, navegue até Domínios e escolha seu SageMaker domínio.

    2. O ARN da função de execução está listado em Função de execução na página Detalhes do usuário do seu perfil de usuário. Anote o nome da função de execução no ARN.

    3. No console do IAM https://console.aws.amazon.com/iam/, escolha Roles.

    4. Pesquise sua função pelo nome no campo de pesquisa.

    5. Selecione a função.

  2. Adicionar políticas à função

    1. No console do IAM https://console.aws.amazon.com/iam/, escolha Roles.

    2. Pesquise sua função pelo nome no campo de pesquisa.

    3. Selecione a função.

    4. Na guia Permissões, navegue até o menu suspenso Adicionar permissões.

      • Para políticas gerenciadas: selecione Anexar políticas, pesquise o nome da política de gerenciamento que você deseja anexar.

        Selecione a política e escolha Adicionar permissões.

      • Para políticas em linha: selecione Criar política em linha, cole sua política na guia JSON, escolha Avançar, nomeie sua política e escolha Criar.

Para ver um procedimento que mostra como anexar políticas do IAM a uma função, consulte Adicionar permissões de identidade do IAM (console) no Guia AWS do usuário do IAM.

Depois de anexar as permissões necessárias, você pode criar um aplicativo Canvas e fazer login. Para ter mais informações, consulte Começando a usar o Amazon SageMaker Canvas.

Limpe os recursos do domínio de teste

Depois de migrar o domínio existente, limpe os recursos do domínio de teste.

  1. Adicione o ID do domínio de teste.

    export TEST_DOMAIN="test-domain-id"
export SM_REGION="region"

  2. Liste todos os aplicativos no domínio que estão em execução.

    active_apps_json=$(aws sagemaker list-apps --region=$SM_REGION --domain-id=$TEST_DOMAIN)
echo $active_apps_json

  3. Analise a lista JSON de aplicativos em execução e exclua-os. Se os usuários tentarem criar um aplicativo para o qual não têm permissões, pode haver espaços que não foram capturados no script a seguir. Você deve excluir manualmente esses espaços.

    echo "$active_apps_json" | jq -c '.Apps[]' | while read -r app;
do
    if echo "$app" | jq -e '. | has("SpaceName")' > /dev/null;
    then
        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        space_name=$(echo "$app" | jq -r '.SpaceName')

        echo "Deleting App - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --space-name $space_name

        echo "Deleting Space - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-space --region=$SM_REGION --domain-id=$domain_id \
        --space-name $space_name
    else

        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        user_profile_name=$(echo "$app" | jq -r '.UserProfileName')

        echo "Deleting Studio Classic - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || UserProfileName: $user_profile_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --user-profile-name $user_profile_name

    fi

done

  4. Exclua o perfil do usuário de teste.

    aws sagemaker delete-user-profile \
--region=$SM_REGION --domain-id=$TEST_DOMAIN \
--user-profile-name "test-network-user"

  5. Exclua o domínio de teste.

    aws sagemaker delete-domain \
--region=$SM_REGION --domain-id=$TEST_DOMAIN

Solução de problemas

Os administradores podem reverter para o Studio Classic como a experiência padrão para o domínio existente atualizando o domínio. Isso pode ser feito por meio do SageMaker console ou do AWS CLI. Escolha uma das guias a seguir para ver as instruções relevantes.

Quando o Studio Classic é a experiência padrão para o domínio, o Studio Classic é a experiência padrão para todos os usuários no domínio. No entanto, as configurações do usuário têm precedência sobre as configurações do domínio. Portanto, se um usuário tiver sua experiência padrão definida como Studio, esse usuário terá o Studio como experiência padrão.

Para reverter para o Studio Classic como a experiência padrão usando o SageMaker console, use as instruções a seguir.

  1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

  2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

  3. Escolha o domínio existente para reverter.

  4. Escolha a guia Configurações do domínio.

  5. Na página de detalhes do domínio, navegue até a seção Reverter para a experiência do Studio Classic.

  6. Na seção Reverter para a experiência do Studio Classic, escolha o processo Reverter para o Studio Classic. Isso levará você à página Reverter domínio para o Studio Classic.

  7. Na página Reverter domínio para Studio Classic, conclua as tarefas a seguir e selecione as caixas correspondentes. Execute as seguintes tarefas antes de reverter a experiência padrão do domínio existente para o Studio Classic:

    1. Etapa 1 - O backup de seus dados contém informações sobre os diferentes volumes de armazenamento de dados do Studio Classic e do Studio. Seus dados não serão migrados automaticamente por meio desse processo. Para obter instruções sobre como migrar seus dados, configurações de ciclo de vida e JupyterLab extensões, consulte. Fase 3: Migrar dados

    2. Exclua todos os aplicativos do Code Editor do Studio JupyterLab e o lembrará de excluir seus aplicativos do Studio para evitar custos adicionais. Essa não é uma etapa obrigatória porque você pode excluir seus aplicativos e espaços depois de reverter o domínio existente para o Studio Classic. Recomendamos que você exclua seus aplicativos e espaços não utilizados para evitar custos adicionais com eles.

      Para obter instruções sobre como excluir aplicativos e espaços do seu domínio, consulteExclua ou interrompa a execução de instâncias, aplicativos e espaços no Studio.

    3. Etapa 3 - Confirme que você deseja reverter esse domínio para o Studio Classic e solicita que você confirme sua intenção de reverter a experiência padrão do domínio existente para o Studio Classic.

    4. Fornecer feedback oferece a opção de deixar comentários sobre o motivo pelo qual você está revertendo o domínio existente para o Studio Classic.

  8. Depois que todas as etapas forem concluídas e as caixas de seleção estiverem preenchidas, o botão Reverter domínio para o Studio Classic ficará disponível.

  9. Depois de concluir as tarefas na página e verificar suas alterações, escolha Reverter domínio para Studio Classic para reverter o domínio existente.

Para reverter para o Studio Classic como a experiência padrão para o domínio existente usando o AWS CLI, use a chamada update-domain. Você deve definir DISABLED como o valor para StudioWebPortal e app:JupyterServer: como o valor para DefaultLandingUri como parte do default-user-settings parâmetro. 

StudioWebPortalindica se a experiência do Studio é a experiência padrão e DefaultLandingUri indica a experiência padrão para a qual o usuário é direcionado ao acessar o domínio. Neste exemplo, definir esses valores em um nível de domínio (indefault-user-settings) torna o Studio Classic a experiência padrão para usuários dentro do domínio.

Se um usuário dentro do domínio tiver seus dados StudioWebPortal definidos como ENABLED e DefaultLandingUri definidos studio:: em um nível de usuário (inUserSettings), isso terá precedência sobre as configurações do domínio. Em outras palavras, esse usuário terá o Studio como sua experiência padrão, independentemente das configurações do domínio.

O exemplo de código a seguir mostra como definir o Studio Classic como a experiência padrão para usuários dentro do domínio:

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region Região da AWS \
--default-user-settings '
{
    "StudioWebPortal": "DISABLED",
    "DefaultLandingUri": "app:JupyterServer:"
}
'

  • Para obter seuexisting-domain-id, use as seguintes instruções:

    Para obter existing-domain-id

    1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

    2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

    3. Escolha o domínio existente.

    4. Na página Detalhes do Domínio, escolha a guia Configurações do Domínio.

    5. Copie o ID do domínio.

  • Para obter o seuRegião da AWS, use as instruções a seguir para garantir que você esteja usando o correto Região da AWS para o seu domínio:

    Para obter Região da AWS

    1. Abra o SageMaker console da Amazon em https://console.aws.amazon.com/sagemaker/.

    2. No painel de navegação esquerdo, expanda Configurações administrativas e escolha Domínios.

    3. Escolha o domínio existente.

    4. Na página Detalhes do domínio, verifique se esse é o domínio existente.

    5. Expanda a lista Região da AWS suspensa no canto superior direito do SageMaker console e use o Região da AWS ID correspondente à direita do seu Região da AWS nome. Por exemplo, us-west-1.