使用 Amazon SageMaker AI 的自訂設定 - Amazon SageMaker AI
身分驗證方法自訂設定加入後存取網域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon SageMaker AI 的自訂設定

為組織設定 (自訂設定) 會引導您完成 Amazon SageMaker AI 網域的進階設定。此選項提供的資訊和建議可協助您了解和控制帳戶組態的所有層面,包括許可、整合和加密。如果您想要設定自訂網域,請使用此選項。如需網域的相關資訊,請參閱 Amazon SageMaker AI 網域概觀

身分驗證方法

設定網域之前,請考慮使用者存取網域的身分驗證方法。

AWS 身分中心

  • 有助於簡化使用者群組的存取許可管理。您可以授予或拒絕許可給使用者群組,而不是將這些許可套用至每個個別使用者。如果使用者移至不同的組織,您可以將該使用者移至不同的 AWS Identity and Access Management 身分中心 (AWS IAM Identity Center) 群組。然後,使用者會自動收到新組織所需的許可。

    請注意,IAM Identity Center 必須與網域位於相同的 AWS 區域 中。

    若要使用 IAM Identity Center 設定,請使用 AWS IAM Identity Center 使用者指南中的下列指示:

  • IAM Identity Center 中的使用者可以使用透過電子郵件傳送給他們的 AWS 存取入口網站 URL 來存取網域。電子郵件提供建立帳戶以存取網域的說明。如需詳細資訊,請參閱登入 AWS 存取入口網站

    身為管理員,您可以透過導覽至 IAM Identity Center AWS 存取入口網站 並在設定摘要下尋找 URL 來尋找 AWS 存取入口網站 URL

  • 如果您想要將網域的存取限制在特定 Amazon Virtual Private Clouds AWS Identity and Access Management (VPCs)、介面端點或預先定義的一組 IP 地址,您的網域必須使用 (IAM) 身分驗證。使用 IAM Identity Center 身分驗證的網域不支援此功能。您仍然可以使用 IAM Identity Center 來啟用集中式人力資源身分控制。如需如何實作這些限制,同時讓 IAM Identity Center 提供一致的使用者登入體驗的說明,請參閱AWS 機器學習部落格中的使用 IAM Identity Center 和 SAML 應用程式安全存取 Amazon SageMaker Studio Classic。請注意,此部落格中的 AWS SSO 是 IAM Identity Center。

透過 IAM 登入

  • 使用者設定檔可在登入帳戶後,透過 SageMaker AI 主控台存取網域。

  • 使用 AWS Identity and Access Management (IAM) 身分驗證時,您可以僅將網域的存取限制為特定 Amazon Virtual Private Clouds (VPCs)、介面端點或預先定義的一組 IP 地址。如需詳細資訊,請參閱僅允許從您的 VPC 內部存取

組織設定 (自訂設定)

滿足 中的先決條件後完成 Amazon SageMaker AI 先決條件,開啟設定 SageMaker AI 網域 (自訂設定) 頁面,並展開下列章節以取得設定的相關資訊。

SageMaker AI 主控台開啟設定 SageMaker AI 網域 SageMaker

  1. 開啟 SageMaker AI 主控台

  2. 在左側導覽窗格中,選擇管理員組態以展開選項。

  3. 管理員組態下,選擇網域

  4. 網域頁面中,選擇建立網域

  5. 設定 SageMaker AI 網域頁面上,選擇為組織設定

  6. 選擇 Set up (設定)

開啟設定 SageMaker AI 網域頁面後,請使用下列指示:

  1. 針對網域名稱,輸入網域的唯一名稱。例如,這可以是您的專案或團隊名稱。

  2. 選擇 Next (下一步)

在此步驟中,您會設定網域的身分驗證方法、使用者和許可。

  1. 您要如何存取 Studio 下,您可以選擇兩個選項之一。如需身分驗證方法的詳細資訊,請參閱身分驗證方法。選項的詳細資訊提供如下:

    • AWS 身分中心

      誰將使用 Studio 下?選擇將存取網域的 AWS IAM Identity Center 群組。

      如果您選擇無身分中心使用者群組,您可以建立沒有使用者的網域。您可以在網域建立之後,將 IAM Identity Center 群組新增至網域。如需詳細資訊,請參閱編輯網域設定

    • 透過 IAM 登入

      誰將使用 Studio? 選擇 + 新增使用者,輸入新的使用者設定檔名稱,然後選擇新增以建立和新增使用者設定檔名稱。

      您可以重複此程序來建立多個使用者設定檔。

  2. 誰將使用 Studio? 下,選取 IAM Identity Center 使用者或群組,然後選擇選取。您需要在設定 IAM Identity Center 的相同區域內設定 Amazon SageMaker Studio。您可以從主控台右上角的下拉式清單中選擇 區域,來變更網域的區域,也可以導覽至AWS 存取入口網站來變更 IAM Identity Center 區域。

  3. 他們執行哪些 ML 活動下?您可以選擇使用現有角色,或選擇建立新角色,並檢查您希望角色能夠存取的 ML 活動,以使用現有角色。

  4. 選取 ML 活動時,您可能需要滿足要求。若要滿足需求,請選擇新增並完成需求。

  5. 滿足所有要求後,選擇下一步

在此步驟中,您可以設定您在上一個步驟中啟用的應用程式。如需 ML 活動的詳細資訊,請參閱機器學習 (ML) 活動參考

如果應用程式尚未啟用,您會收到該應用程式的警告。若要啟用尚未啟用的應用程式,請選擇返回並遵循先前的說明返回上一個步驟。

  • Studio 組態:

    Studio 下,您可以選擇較新的 Studio 和傳統版本的 Studio 作為預設體驗。這表示當您開啟 Studio 時,請選擇您互動的 ML 環境。

    • Studio 包含多個整合式開發環境 IDEs) 和應用程式,包括 Amazon SageMaker Studio Classic。如果選擇此選項,Studio Classic IDE 具有預設設定。如需預設設定的資訊,請參閱 預設設定

      如需 Studio 的詳細資訊,請參閱Amazon SageMaker Studio

    • Studio Classic 包含 Jupyter IDE。如果選擇此選項,您可以設定 Studio Classic 組態。

      如需 Studio Classic 的詳細資訊,請參閱Amazon SageMaker Studio Classic

  • SageMaker Canvas 組態:

    如果您已啟用 Amazon SageMaker Canvas,請參閱 Amazon Sagemaker Canvas 使用入門以取得加入的指示和組態詳細資訊。

  • Studio Classic 組態:

    如果您選擇 Studio (建議) 做為您的預設體驗,則 Studio Classic IDE 具有預設設定。如需預設設定的資訊,請參閱 預設設定

    如果您選擇 Studio Classic 作為預設體驗,您可以選擇啟用或停用筆記本資源共用。筆記本資源包含成品,例如儲存格輸出和 Git 儲存庫。如需筆記本資源的詳細資訊,請參閱 共用和使用 Amazon SageMaker Studio Classic 筆記本

    如果您啟用筆記本資源共用:

    1. 可共用筆記本資源的 S3 位置下,輸入您的 Amazon S3 位置。

    2. 加密金鑰 - 選用下,將 保留為無自訂加密,或選擇現有 AWS KMS 金鑰,或選擇輸入 KMS 金鑰 ARN 並輸入 AWS KMS 金鑰的 ARN。

    3. 筆記本儲存格輸出共用偏好設定下,選擇允許使用者共用儲存格輸出停用儲存格輸出共用

  • RStudio 組態:

    若要啟用 RStudio,您需要 RStudio 授權。若要設定,請參閱 取得 RStudio 授權

    1. RStudio Workbench 下,驗證已自動偵測到您的 RStudio 授權。如需取得 RStudio 授權並使用 SageMaker AI 啟用授權的詳細資訊,請參閱 取得 RStudio 授權

    2. 選取要在其上啟動 RStudio 伺服器的執行個體類型。如需更多詳細資訊,請參閱R StudioServerPro 執行個體類型

    3. 許可下,建立您的角色或選取現有角色。此角色也須具有下列許可政策。此政策允許 RStudioServerPro 應用程式存取必要的資源。它還允許 Amazon SageMaker AI 在現有 RStudioServerPro 應用程式處於 DeletedFailed 狀態時自動啟動 RStudioServerPro 應用程式。有關向角色新增權限的資訊,請參閱修改角色許可政策 (主控台)

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. RStudio Connect 下,新增您的 RStudio Connect 伺服器的 URL。RStudio Connect 是發佈的應用程式,R 降價報告,儀表板,繪圖等的發布平台。當您在 SageMaker AI 上加入 RStudio 時,不會建立 RStudio Connect 伺服器。如需詳細資訊,請參閱新增 RStudio Connect URL

    5. RStudio 套件管理員下,新增 URL 到您的 RStudio 套件管理員。SageMaker AI 會為 Package Manager 建立預設套件儲存庫。 RStudio 有關 RStudio 套件管理員的更多相關資訊,請參閱更新 RStudio Package Manager URL

    6. 選取下一步

  • Code Editor 組態:

    如果您已啟用程式碼編輯器,請參閱 Amazon SageMaker Studio 中的程式碼編輯器 以取得概觀和組態詳細資訊。

在本節中,您可以自訂 Studio 中顯示的可檢視應用程式和機器學習 (ML) 工具。此自訂只會隱藏 Studio 左側導覽窗格中的應用程式和 ML 工具。如需 Studio UI 的資訊,請參閱Amazon SageMaker Studio UI 概觀

如需應用程式的資訊,請參閱 Amazon SageMaker 工作室支持的應用

Studio Classic 中無法使用自訂 Studio UI 功能。如果您想要將 Studio 設定為預設體驗,請選擇一個,並返回上一個步驟。

  1. 自訂 Studio UI 頁面上,您可以將應用程式和 ML 工具切換為關閉,以隱藏 Studio 中顯示的應用程式和 ML 工具。

  2. 檢閱變更後,請選擇下一步

選擇您希望 Studio 連線到其他服務的方式 AWS 。

您可以選擇停用 Studio 的網際網路存取,方法是使用僅限虛擬私有雲端 (VPC) 網路存取類型來指定 。如果您選擇此選項,則無法執行 Studio 筆記本,除非您的 VPC 具有 SageMaker API 和執行期的介面端點,或具有網際網路存取的網路位址轉譯 (NAT) 閘道,且您的安全群組允許傳出連線。如需 Amazon VPCs的詳細資訊,請參閱 選擇一個 Amazon VPC

如果您選擇虛擬私有雲端 (VPC),只需要下列步驟。如果您選擇公有網際網路存取,則需要執行下列前兩個步驟。

  1. VPC 下,選擇 Amazon VPC ID。

  2. 子網路下,選擇一或多個子網路。如果您未選擇任何子網路,SageMaker AI 會使用 Amazon VPC 中的所有子網路。建議您使用不在限制可用區域中建立的多個子網路。在這些受限的可用區域中使用子網路可能會導致容量不足錯誤,並延長應用程式建立時間。如需可用區域的資訊,請參閱可用區域

  3. 安全群組 (Security group) 下,選擇一或多個子網路。

如果只選取 VPC,SageMaker AI 會自動將為網域定義的安全群組設定套用到網域中建立的所有共用空間。如果只選取公有網際網路,SageMaker AI 不會將安全群組設定套用至網域中建立的共用空間。

您可以選擇加密資料。當您建立網域時,為您建立的 Amazon Elastic File System (Amazon EFS)Amazon Elastic Block Store (Amazon EBS) 檔案系統。Code Editor 和 JupyterLab spaces 都會使用 Amazon EBS 大小。

加密 Amazon EFS 和 Amazon EBS 檔案系統後,您無法變更加密金鑰。若要加密 Amazon EFS 和 Amazon EBS 檔案系統,您可以使用下列組態。

  • 加密金鑰 - 選用下,將 保留為無自訂加密,或選擇現有的 KMS 金鑰,或選擇輸入 KMS 金鑰 ARN 並輸入 KMS 金鑰的 ARN。

  • 預設空間大小 - 選用下,輸入預設空間大小。

  • 最大空間大小 - 選用下,輸入最大空間大小。

檢閱您的網域設定。如果您需要變更設定,請選擇相關步驟旁的編輯。確認您的網域設定正確後,請選擇提交,然後為您建立網域。此程序可能需要幾分鐘的時間。

以下各節提供使用 IAM Identity Center 或 IAM 身分驗證方法自訂設定網域 AWS CLI 的說明。

在滿足先決條件之後,包括設定您的 AWS CLI 登入資料,請在 中使用完成 Amazon SageMaker AI 先決條件下列步驟。

  1. 建立用於建立網域和連接 AmazonSageMakerFullAccess 政策的執行角色。您也可以使用至少具有連接信任政策的現有角色,該政策授予 SageMaker AI 擔任該角色的許可。如需詳細資訊,請參閱如何使用 SageMaker AI 執行角色

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. 取得您帳戶的預設 Amazon Virtual Private Cloud (Amazon VPC)。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. 取得預設 Amazon VPC 中的子網路清單。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. 透過傳遞預設的 Amazon VPC ID、子網路和執行角色 ARN 來建立網域。您也必須傳遞 SageMaker AI 映像 ARN。如需有關 JupyterLab 可用版本 ARN 的詳細資訊,請參閱設定預設 JupyterLab 版本

    對於 authentication-mode,使用 SSO進行 IAM Identity Center 身分驗證,或使用 IAM進行 IAM 身分驗證。

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    您可以使用 StudioWebPortalSettings,使用 AWS CLI 自訂 Studio 中為網域顯示的應用程式和 ML 工具。使用 HiddenAppTypes來隱藏應用程式,並使用 HiddenMlTools 來隱藏 ML 工具。如需自訂 Studio UI 左側導覽的詳細資訊,請參閱 在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式。此功能不適用於 Studio Classic。

  5. 確認網域已建立。

    aws --region region sagemaker list-domains

如需有關使用 建立網域的資訊 AWS CloudFormation,請參閱《 使用者指南》中的 AWS::SageMaker::DomainAWS CloudFormation

如需可用來設定網域的 AWS CloudFormation 範本範例,請參閱 aws-samples GitHub 儲存庫中的使用 建立 Amazon SageMaker AI 網域 AWS CloudFormation

設定網域後,管理使用者可以檢視和編輯網域。如需詳細資訊,請參閱 檢視網域編輯網域設定

加入後存取網域

使用者可以使用下列方式存取 SageMaker AI: