自定義設置到 Amazon SageMaker - Amazon SageMaker
身分驗證方法自訂設定上線後存取網域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自定義設置到 Amazon SageMaker

為組織設定 (自訂設定) 會引導您完成 Amazon SageMaker 網域的進階設定。此選項提供資訊和建議,協助您瞭解和控制帳戶設定的所有層面,包括權限、整合和加密。如果您要設定自訂網域,請使用此選項。如需有關網域的資訊,請參閱Amazon SageMaker 域名概述

身分驗證方法

在設定網域之前,請考慮使用者存取網域的驗證方法。

AWS 身分識別中心

  • 協助簡化對使用者群組的存取權限管理作業。您可以授與或拒絕使用者群組的權限,而不是將這些權限套用至每個個別使用者。如果使用者移至其他組織,您可以將該使用者移至不同的 AWS Identity and Access Management Identity Center (AWS IAM Identity Center) 群組。然後,使用者會自動接收新組織所需的權限。

    請注意,IAM 身分中心必須與網域位於 AWS 區域 同一個網域。

    若要使用 IAM 身分中心進行設定,請遵循 AWS IAM 身分中心使用者指南中的下列指示:

  • IAM 身分中心的使用者可以使用透過電子郵件傳送給他們的 AWS 存取入口網站 URL 來存取網域。電子郵件提供建立帳戶以存取網域的指示。如需詳細資訊,請參閱登入 AWS 存取入口網站.

    身為管理員,您可以瀏覽至 IAM 身分中心,並在「設定摘要」 下找到 AWS 存取入口網站 URL,以尋找 URL。 AWS 存取入口網站

  • 如果您希望限制對特定 Amazon 虛擬私有雲 AWS Identity and Access Management (VPC)、界面端點或一組預先定義的 IP 地址存取您的網域,您的網域必須使用 (IAM) 身份驗證。使用 IAM 身分中心驗證的網域不支援此功能。您仍然可以使用 IAM 身分中心來實現集中式員工身分控制。如需如何實作這些限制,同時保留 IAM 身分中心以提供一致的使用者登入體驗的指示,請參閱AWS 機器學習部落格中的使用 IAM 身分中心安全存取 Amazon SageMaker Studio Classic 和 SAML 應用程式。請注意, AWS SSO 是此部落格中的 IAM 身分中心。

透過 IAM 登入

  • 登入帳戶後,使用者設定檔可以透過 SageMaker 主控台存取網域。

  • 使 AWS Identity and Access Management 用 (IAM) 身份驗證時,您可以限制對特定 Amazon 虛擬私有雲 (VPC)、界面端點或一組預先定義的 IP 地址存取您的網域。如需詳細資訊,請參閱 僅允許從您的 VPC 內部存取

組織設定 (自訂設定)

符合中的先決條件之後Amazon SageMaker 前提,請開啟「設定 SageMaker 網域 (自訂設定)」頁面,並展開下列各節,以取得有關設定的資訊。

從 SageMaker 主控台開啟「設定 SageMaker 網域

  1. 開啟 SageMaker 主控台

  2. 在左側導覽窗格中,選擇 [管理員設定] 以展開選項。

  3. 管理員組態下,選擇網域

  4. 網域頁面中,選擇建立網域

  5. 在 [設定 SageMaker 網域] 頁面上,選擇 [為組織設定]。

  6. 選擇 Set up (設定)

開啟「設定 SageMaker 網域」頁面後,請遵循下列指示:

  1. 在「網域名稱」中,輸入網域的唯一名稱。例如,這可以是您的專案或團隊名稱。

  2. 選擇下一步

在此步驟中,您可以設定網域的驗證方法、使用者和權限。

  1. 在 [您想要如何存取工作室? ,您可以選擇兩個選項之一。如需驗證方法的資訊,請參閱身分驗證方法。下列提供了有關選項的詳細資訊:

    • AWS 身分識別中心

      誰將使用工作室? 選擇要存取網域的 AWS IAM Identity Center 群組。

      如果您選擇 [無識別中心] 使用者群組,則建立沒有使用者的網域。您可以在網域建立後,將 IAM 身分中心群組新增至網域。如需詳細資訊,請參閱 檢視和編輯網域

    • 透過 IAM 登入

      誰將使用工作室? 選擇 [+ 新增使用者],輸入新的使用者設定檔名稱,然後選擇 [新] 以建立並新增使用者設定檔名稱。

      您可以重複此程序來建立多個使用者設定檔。

  2. 誰將使用工作室? 選取 IAM 身分中心使用者或群組,然後選擇 「選取」。您必須在設定 IAM 身分中心的相同區域內設定 Amazon SageMaker 工作室。您可以從主控台右上角的下拉式清單中選擇區域來變更網域的區域,也可以導覽至AWS 存取入口網站來變更 IAM 身分中心區域。

  3. 他們執行什麼 ML 活動? 您可以選擇 [使用現有角色] 來使用現有角色,或者選擇 [建立新角色] 並勾選您希望角色具有存取權的 ML 活動來建立新角色。

  4. 選取 ML 活動時,您可能需要滿足需求。若要滿足需求,請選擇「新增」並完成需求。

  5. 滿足所有需求之後,選擇「下一步」。

在此步驟中,您可以設定在上一個步驟中啟用的應用程式。如需 ML 活動的詳細資訊,請參閱機器學習 (ML) 活動參考

如果應用程式尚未啟用,您會收到該應用程式的警告。若要啟用尚未啟用的應用程式,請選擇上一步回到上一個步驟,然依照先前的指示執行。

  • 工作室配置:

    Studio 下,您可以選擇在新版和經典版 Studio 作為默認體驗之間進行選擇。這表示當您開啟 Studio 時,選擇要與之互動的 ML 環境。

    • 工作室-新包括多個集成的開發環境(IDE)和應用程序,包括 Amazon SageMaker 工作室經典。如果選擇,工作室經典 IDE 具有默認設置。如需預設設定的資訊,請參閱預設設定

    • 經典工作室包括木星 IDE。如果選擇,您可以配置您的 Studio 經典配置。

      如需經典工作室的資訊,請參閱Amazon 經典 SageMaker 一室

  • SageMaker 畫布配置:

    如果您已啟用 Amazon SageMaker Canvas,請參閱以開始使用 Amazon SageMaker 畫布取得上線的說明和組態詳細資訊。

  • 工作室經典配置:

    如果您選擇 [工作室-新增 (建議使用)] 做為預設體驗,則 Studio 經典版 IDE 會有預設設定。如需預設設定的資訊,請參閱預設設定

    如果您選擇 Studio 傳統版作為預設體驗,您可以選擇啟用或停用筆記本資源共用。筆記本資源包括單元格輸出和 Git 存儲庫等成品。如需筆記本資源的詳細資訊,請參閱分享和使用 Amazon SageMaker 工作室經典筆記本

    如果您已啟用筆記本資源共用:

    1. 可共用筆記型電腦資源的 S3 位置下,輸入您的 Amazon S3 位置。

    2. 在 [加密金鑰-用] 下,保留為 [無自訂加密] 或選擇現有金 AWS KMS 鑰,或選擇 [輸入 KMS 金鑰 ARN] 並輸入金 AWS KMS 鑰的 ARN。

    3. 記事本儲存格輸出共用偏好設定下,選擇允許使用者共用儲存格輸出停用儲存格輸出共

  • 工作室配置:

    若要啟用 RStudio,您需要一個 RStudio 授權。若要設定,請參閱RStudio 授權

    1. RStudio Workbench 下,驗證已自動偵測到您的 RStudio 授權。如需取得 RStudio 授權並使用啟用授權的詳細資訊 SageMaker,請參閱RStudio 授權

    2. 選取要在其上啟動 RStudio 伺服器的執行個體類型。如需更多詳細資訊,請參閱R StudioServerPro 執行個體類型

    3. 許可下,建立您的角色或選取現有角色。此角色也須具有下列許可政策。此原則可讓 R StudioServerPro 應用程式存取必要的資源。它還允許 Amazon SageMaker 在現有 R StudioServer Pro StudioServerPro 應用程式處於DeletedFailed狀態時自動啟動 R 應用程式。有關向角色新增權限的資訊,請參閱修改角色許可政策 (主控台)

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. RStudio Connect 下,新增您的 RStudio Connect 伺服器的 URL。RStudio Connect 是發佈的應用程式,R 降價報告,儀表板,繪圖等的發布平台。當您開啟 RStudio 時 SageMaker,不會建立 RStudio Connect 伺服器。如需詳細資訊,請參閱 RStudio Connect URL

    5. RStudio Package 管理器下,添加您的 RStudio Package 管理器的 URL。 SageMaker 當您上載 RStudio 時,會為套件管理員建立預設套件存放庫。有關 RStudio 套件管理員的更多相關資訊,請參閱RStudio 套件管理員

    6. 選取下一步

  • 代碼編輯器配置:

    如果您已啟用程式碼編輯器,請參開始使用 Amazon SageMaker 工作室中的代碼編輯器閱以取得概觀和組態詳細資訊。

選擇您希望 Studio 連接到其他 AWS 服務的方式。

您可以透過指定使用僅限 Virtual Private Cloud (VPC) 網路存取類型,選擇停用對 Studio 的網際網路存取。如果選擇此選項,除非您的 VPC 具有 SageMaker API 和執行階段的介面端點,或具有網際網路存取權的網路位址轉譯 (NAT) 閘道,且您的安全群組允許輸出連線,否則無法執行 Studio 筆記本。如需 Amazon VPC 的詳細資訊,請參閱選擇一個 Amazon VPC

如果您選擇 Virtual Private Cloud (VPC)(VPC),則僅需執行以下步驟。如果您選擇 [公用網際網路存取],則需要執行下列步驟的前兩個步驟。

  1. VPC 下,選擇 Amazon VPC ID。

  2. 在 [子網] 下,選擇一或多個子網路。如果您未選擇任何子網路,請 SageMaker 使用 Amazon VPC 中的所有子網路。建議您使用不在限制可用區域中建立的多個子網路。在這些受限的可用區域中使用子網路可能會導致容量不足錯誤,並延長應用程式建立時間。如需可用區域的資訊,請參閱可用區域

  3. 在 [安全性群組] 下,選擇一或多個子網路。

如果選取僅 VPC,則 SageMaker 會自動將為網域定義的安全性群組設定套用至網域中建立的所有共用空間。如果選取「僅公用網際網路」,則 SageMaker 不會將安全性群組設定套用至在網域中建立的共用空間。

您可以選擇加密您的資料。在您建立網域時為您建立的 Amazon 彈性 Amazon Elastic File System 統 (Amazon EFS) 和亞馬遜彈性區塊存放區 (Amazon EBS) 檔案系統。程式碼編輯器和 JupyterLab 空格都會使用 Amazon EBS 大小。

加密 Amazon EFS 和 Amazon EBS 檔案系統之後,就無法變更加密金鑰。若要加密您的 Amazon EFS 和 Amazon EBS 檔案系統,您可以使用下列組態。

  • 在 [加密金鑰-用] 下,保留為 [無自訂加密] 或選擇現有的 KMS 金鑰,或選擇 [輸入 KMS 金鑰 ARN] 並輸入 KMS 金鑰的 ARN。

  • 預設空間大小-選擇性下,輸入預設空間大小。

  • 在 [最大空間大小-選擇性] 下,輸入最大空間大小。

檢閱您的網域設定。如果您需要變更設定,請選擇相關步驟旁邊的 [編輯]。確認網域設定正確後,請選擇「提交」,就會為您建立網域。此程序可能需要幾分鐘的時間。

以下各節提供 AWS CLI 使用 IAM 身分中心或 IAM 身份驗證方法的自訂設定指示。

在中滿足必要條件 (包括設定 AWS CLI 認證) 之後Amazon SageMaker 前提,請使用下列步驟。

  1. 建立用於建立網域並附加AmazonSageMakerFull存取原則的執行角色。您也可以使用現有的角色,該角色至少具有連接的信任原則,該角色會授 SageMaker 予承擔該角色的權限。如需詳細資訊,請參閱 如何使用 SageMaker 執行角色

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. 取得您帳戶的預設 Amazon Virtual Private Cloud (Amazon VPC)。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. 取得預設 Amazon VPC 中的子網路清單。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. 透過傳遞預設的 Amazon VPC ID、子網路和執行角色 ARN 來建立網域。您還必須傳遞圖 SageMaker 像 ARN。如需有關可用 JupyterLab 版本 ARN 的資訊,請參閱設定預設 JupyterLab版本

    對於authentication-mode,用SSO於 IAM 身分中心身份驗證或 IAM IAM 身份驗證。

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

  5. 確認網域是否已建立。

    aws --region region sagemaker list-domains

若要取得有關使用建立領域的資訊 AWS CloudFormation,請參閱《使AWS CloudFormation 用指南》AWS::SageMaker::Domain中的〈〉

網域設定完成後,系統管理使用者可以檢視和編輯網域。如需相關資訊,請參閱檢視和編輯網域

上線後存取網域

用戶可以使用以下方 SageMaker 式訪問: