將 UI 從 Studio Classic 遷移至 Studio - Amazon SageMaker AI
必要條件步驟 1:更新應用程式建立許可步驟 2:更新 VPC 組態步驟 3:升級至 Studio UI將 Studio Classic 設定為預設體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 UI 從 Studio Classic 遷移至 Studio

遷移現有網域的第一個階段涉及將 UI 從 Amazon SageMaker Studio Classic 遷移至 Amazon SageMaker Studio。此階段不包含資料遷移。使用者可以繼續以與遷移前相同的方式使用資料。如需遷移資料的相關資訊,請參閱 (選用) 將資料從 Studio Classic 遷移至 Studio

階段 1 包含下列步驟:

  1. 更新 Studio 中可用新應用程式的應用程式建立許可。

  2. 更新網域的 VPC 組態。

  3. 升級網域以使用 Studio UI。

必要條件

在執行這些步驟之前,請先完成 中的先決條件完成先決條件以遷移 Studio 體驗

步驟 1:更新應用程式建立許可

在遷移網域之前,請更新網域的執行角色,以授予使用者建立應用程式的許可。

  1. 請依照建立 IAM AWS Identity and Access Management 政策中的步驟,使用下列其中一個內容建立政策:https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

    • 使用下列政策來授予所有應用程式類型和空間的許可。

      注意

      如果網域使用 SageMakerFullAccess政策,您不需要執行此動作。 會SageMakerFullAccess授予許可來建立所有應用程式。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SMStudioUserProfileAppPermissionsCreateAndDelete",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:app/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioCreatePresignedDomainUrlForUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        {
            "Sid": "SMStudioAppPermissionsListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListApps",
                "sagemaker:ListDomains",
                "sagemaker:ListUserProfiles",
                "sagemaker:ListSpaces",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:DescribeSpace"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SMStudioAppPermissionsTagOnCreate",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:*/*",
            "Condition": {
                "Null": {
                    "sagemaker:TaggingAction": "false"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSharedSpacesWithoutOwners",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:space/${sagemaker:DomainId}/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSpacesToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private",
                        "Shared"
                    ]
                }
            }
        },
        {
            "Sid": "SMStudioRestrictCreatePrivateSpaceAppsToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:region:account-id:app/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:account-id:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private"
                    ]
                }
            }
        },
        {
            "Sid": "AllowAppActionsForSharedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Shared"
                    ]
                }
            }
        }
    ]
}

    • 由於 Studio 顯示一組擴充的應用程式,因此使用者可能可以存取之前未顯示的應用程式。管理員可以透過建立 AWS Identity and Access Management (IAM) 政策來限制對這些預設應用程式的存取,將某些應用程式的拒絕許可授予特定使用者。

      注意

      應用程式類型可以是 jupyterlabcodeeditor

      {  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenySageMakerCreateAppForSpecificAppTypes",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/*/app-type/*"
    }
  ]
}

  2. 將政策連接至網域的執行角色。如需說明,請遵循新增 IAM 身分許可 (主控台) 中的步驟。

步驟 2:更新 VPC 組態

如果您在 VPC-Only 模式下使用網域,請確定 VPC 組態符合在 VPC-Only 模式下使用 Studio 的要求。如需詳細資訊,請參閱將 VPC 中的 Amazon SageMaker Studio 連線至外部資源

步驟 3:升級至 Studio UI

將現有網域從 Studio Classic 遷移到 Studio 之前,我們建議您使用與現有網域具有相同組態的 Studio 建立測試網域。

在遷移現有網域之前,使用此測試網域與 Studio 互動、測試聯網組態和啟動應用程式。

  1. 取得現有網域的網域 ID。

    1. https://console.aws.amazon.com/sagemaker/:// 開啟 Amazon SageMaker AI 主控台。

    2. 從左側導覽窗格中,展開管理員組態,然後選擇網域

    3. 選擇現有的網域。

    4. 網域詳細資訊頁面上,選擇網域設定標籤。

    5. 複製網域 ID

  2. 新增現有網域的網域 ID。

    export REF_DOMAIN_ID="domain-id"
export SM_REGION="region"

  3. 使用 describe-domain取得現有網域的重要資訊。

    export REF_EXECROLE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.ExecutionRole')
export REF_VPC=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.VpcId')
export REF_SIDS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.SubnetIds | join(",")')
export REF_SGS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.SecurityGroups | join(",")')
export AUTHMODE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.AuthMode')

  4. 驗證參數。

    echo "Execution Role: $REF_EXECROLE || VPCID: $REF_VPC || SubnetIDs: $REF_SIDS || Security GroupIDs: $REF_SGS || AuthMode: $AUTHMODE"

  5. 使用現有網域中的組態建立測試網域。

    IFS=',' read -r -a subnet_ids <<< "$REF_SIDS"
IFS=',' read -r -a security_groups <<< "$REF_SGS"
security_groups_json=$(printf '%s\n' "${security_groups[@]}" | jq -R . | jq -s .)

aws sagemaker create-domain \
--domain-name "TestV2Config" \
--vpc-id $REF_VPC \
--auth-mode $AUTHMODE \
--subnet-ids "${subnet_ids[@]}" \
--app-network-access-type VpcOnly \
--default-user-settings "
{
    \"ExecutionRole\": \"$REF_EXECROLE\",
    \"StudioWebPortal\": \"ENABLED\",
    \"DefaultLandingUri\": \"studio::\",
    \"SecurityGroups\": $security_groups_json
}
"

  6. 測試網域為 之後In Service,請使用測試網域的 ID 來建立使用者設定檔。此使用者設定檔用於啟動和測試應用程式。

    aws sagemaker create-user-profile \
--region="$SM_REGION" --domain-id=test-domain-id \
--user-profile-name test-network-user

測試 Studio 功能

使用test-network-user使用者設定檔啟動測試網域。我們建議您徹底測試 Studio UI,並建立應用程式以VPCOnly測試模式中的 Studio 功能。測試下列工作流程:

  • 建立新的 JupyterLab Space、測試環境和連線。

  • 根據 Code-OSS、Visual Studio Code - Open Source Space、測試環境和連線,建立新的程式碼編輯器。

  • 啟動新的 Studio Classic 應用程式、測試環境和連線。

  • 使用測試讀取和寫入動作來測試 Amazon Simple Storage Service 連線。

如果這些測試成功,請升級現有的網域。如果您遇到任何故障,建議您在更新現有網域之前修正您的環境和連線問題。

清除測試網域資源

遷移現有網域之後,請清除測試網域資源。

  1. 新增測試網域的 ID。

    export TEST_DOMAIN="test-domain-id"
export SM_REGION="region"

  2. 列出網域中處於執行中狀態的所有應用程式。

    active_apps_json=$(aws sagemaker list-apps --region=$SM_REGION --domain-id=$TEST_DOMAIN)
echo $active_apps_json

  3. 剖析執行中的應用程式的 JSON 清單,並將其刪除。如果使用者嘗試建立他們沒有許可的應用程式,則以下指令碼中可能沒有擷取到空格。您必須手動刪除這些空格。

    echo "$active_apps_json" | jq -c '.Apps[]' | while read -r app;
do
    if echo "$app" | jq -e '. | has("SpaceName")' > /dev/null;
    then
        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        space_name=$(echo "$app" | jq -r '.SpaceName')

        echo "Deleting App - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --space-name $space_name

        echo "Deleting Space - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-space --region=$SM_REGION --domain-id=$domain_id \
        --space-name $space_name
    else

        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        user_profile_name=$(echo "$app" | jq -r '.UserProfileName')

        echo "Deleting Studio Classic - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || UserProfileName: $user_profile_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --user-profile-name $user_profile_name

    fi

done

  4. 刪除測試使用者設定檔。

    aws sagemaker delete-user-profile \
--region=$SM_REGION --domain-id=$TEST_DOMAIN \
--user-profile-name "test-network-user"

  5. 刪除測試網域。

    aws sagemaker delete-domain \
--region=$SM_REGION --domain-id=$TEST_DOMAIN

使用測試網域中的組態測試 Studio 功能之後,請遷移現有的網域。當 Studio 是網域的預設體驗時,Studio 是網域中所有使用者的預設體驗。不過,使用者設定優先於網域設定。因此,如果使用者在其使用者設定中將預設體驗設為 Studio Classic,則該使用者將擁有 Studio Classic 作為其預設體驗。

您可以從 SageMaker AI 主控台、 或 更新現有網域 AWS CLI,以遷移現有網域 AWS CloudFormation。選擇下列其中一個索引標籤以檢視相關指示。

您可以使用 SageMaker AI 主控台,將 Studio 設定為現有網域的預設體驗。

  1. https://console.aws.amazon.com/sagemaker/:// 開啟 Amazon SageMaker AI 主控台。

  2. 從左側導覽窗格中展開管理員組態,然後選擇網域

  3. 選擇您要啟用 Studio 作為預設體驗的現有網域。

  4. 網域詳細資訊頁面上展開啟用新的 Studio

  5. (選用) 若要檢視啟用 Studio 做為預設體驗所涉及步驟的詳細資訊,請選擇檢視詳細資訊。頁面顯示以下內容。

    • SageMaker Studio 概觀區段中,您可以檢視 Studio Web 型界面中包含或可用的應用程式。

    • 啟用程序區段中,您可以檢視要啟用 Studio 之工作流程任務的說明。

      注意

      您需要手動遷移資料。如需遷移資料的指示,請參閱 (選用) 將資料從 Studio Classic 遷移至 Studio

    • 還原至 Studio Classic 體驗區段中,您可以檢視如何在啟用 Studio 做為預設體驗之後還原至 Studio Classic。

  6. 若要開始將 Studio 啟用為預設體驗的程序,請選擇啟用新的 Studio

  7. 指定和設定角色區段中,您可以檢視自動包含在 Studio 中的預設應用程式。

    若要防止使用者執行這些應用程式,請選擇 AWS Identity and Access Management 具有拒絕存取之 IAM 政策的 (IAM) 角色。如需如何建立政策以限制存取的詳細資訊,請參閱 步驟 1:更新應用程式建立許可

  8. 選擇預設 S3 儲存貯體以連接 CORS 政策區段中,您可以授予 Studio 對 Amazon S3 儲存貯體的存取權。在這種情況下,預設 Amazon S3 儲存貯體是 Studio Classic 的預設 Amazon S3 儲存貯體。在此步驟中,您可以執行下列動作:

    • 驗證要連接 CORS 政策的網域預設 Amazon S3 儲存貯體。如果您的網域沒有預設的 Amazon S3 儲存貯體,SageMaker AI 會建立已連接正確 CORS 政策的 Amazon S3 儲存貯體。

    • 您可以包含 10 個額外的 Amazon S3 儲存貯體,以連接 CORS 政策。

      如果您想要包含超過 10 個儲存貯體,您可以手動新增它們。如需手動將 CORS 政策連接至 Amazon S3 儲存貯體的詳細資訊,請參閱 (選用) 更新您的 CORS 政策以存取 Amazon S3 儲存貯體

    若要繼續,請選取所選 Amazon S3 儲存貯體上的核取方塊,您是否同意覆寫任何現有的 CORS 政策?

  9. 遷移資料區段包含 Studio Classic 和 Studio 不同資料儲存磁碟區的相關資訊。您的資料不會透過此程序自動遷移。如需遷移資料、生命週期組態和 JupyterLab 延伸模組的指示,請參閱 (選用) 將資料從 Studio Classic 遷移至 Studio

  10. 完成頁面上的任務並驗證組態後,請選擇啟用新的 Studio

若要使用 將 Studio 設定為現有網域的預設體驗 AWS CLI,請使用update-domain 呼叫。您必須將 ENABLED設定為 的值StudioWebPortal,並將 studio:: 設定為 default-user-settings 參數DefaultLandingUri的一部分的 值。 

StudioWebPortal 指出 Studio 體驗是否為預設體驗,並DefaultLandingUri指出使用者存取網域時導向的預設體驗。在此範例中,在網域層級 (在 中default-user-settings) 設定這些值,可讓 Studio 成為網域內使用者的預設體驗。

如果網域中的使用者在使用者層級 (在 app:JupyterServer:UserSettings) 上將其StudioWebPortal設為 DISABLEDDefaultLandingUri設為 ,則這優先於網域設定。換言之,無論網域設定為何,該使用者都會將 Studio Classic 作為其預設體驗。

下列程式碼範例示範如何將 Studio 設定為網域內使用者的預設體驗:

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region AWS 區域 \
--default-user-settings '
{
    "StudioWebPortal": "ENABLED",
    "DefaultLandingUri": "studio::"
}
'

  • 若要取得您的 existing-domain-id,請使用下列指示:

    若要取得 existing-domain-id

    1. https://console.aws.amazon.com/sagemaker/:// 開啟 Amazon SageMaker AI 主控台。

    2. 從左側導覽窗格中,展開管理員組態,然後選擇網域

    3. 選擇現有的網域。

    4. 網域詳細資訊頁面上,選擇網域設定標籤。

    5. 複製網域 ID

  • 若要確保您 AWS 區域 使用的網域正確,請使用下列指示:

    若要取得 AWS 區域

    1. 在 https://https://console.aws.amazon.com/sagemaker/ 開啟 Amazon SageMaker AI 主控台。

    2. 從左側導覽窗格中,展開管理員組態,然後選擇網域

    3. 選擇現有的網域。

    4. 網域詳細資訊頁面上,確認這是現有的網域。

    5. 從 SageMaker AI 主控台右上角展開 AWS 區域 下拉式清單,並使用您 AWS 區域 名稱右側的對應 AWS 區域 ID。例如:us-west-1

將預設體驗遷移至 Studio 之後,您可以授予 Studio 對 Amazon S3 儲存貯體的存取權。例如,您可以包含對 Studio Classic 預設 Amazon S3 儲存貯體和其他 Amazon S3 儲存貯體的存取。若要這麼做,您必須手動將跨來源資源共享 (CORS) 組態連接至 Amazon S3 儲存貯體。如需如何手動將 CORS 政策連接至 Amazon S3 儲存貯體的詳細資訊,請參閱 (選用) 更新您的 CORS 政策以存取 Amazon S3 儲存貯體

同樣地,當您 AWS CLI 使用建立網域呼叫從 建立網域時,您可以將 Studio 設定為預設體驗。 

您可以使用 來設定建立網域時的預設體驗 AWS CloudFormation。如需 AWS CloudFormation 遷移範本,請參閱 SageMaker Studio 管理員 IaC 範本。如需使用 建立網域的詳細資訊 AWS CloudFormation,請參閱使用 建立 Amazon SageMaker AI 網域 AWS CloudFormation

如需 支援的網域資源相關資訊 AWS CloudFormation,請參閱 AWS::SageMaker AI::Domain

將預設體驗遷移至 Studio 之後,您可以授予 Studio 對 Amazon S3 儲存貯體的存取權。例如,您可以包含對 Studio Classic 預設 Amazon S3 儲存貯體和其他 Amazon S3 儲存貯體的存取。若要這麼做,您必須手動將跨來源資源共享 (CORS) 組態連接至 Amazon S3 儲存貯體。如需有關如何手動將 CORS 政策連接至 Amazon S3 儲存貯體的資訊,請參閱 (選用) 更新您的 CORS 政策以存取 Amazon S3 儲存貯體

在 Studio Classic 中,使用者可以建立、列出檔案,並將檔案上傳至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。若要支援 Studio 中的相同體驗,管理員必須將跨來源資源共享 (CORS) 組態連接至 Amazon S3 儲存貯體。這是必要的,因為 Studio 從網際網路瀏覽器進行 Amazon S3 呼叫。瀏覽器會代表使用者叫用 CORS。因此,除非 CORS 政策連接至 Amazon S3 儲存貯體,否則所有對 Amazon S3 儲存貯體的請求都會失敗。

基於下列原因,您可能需要手動將 CORS 政策連接至 Amazon S3 儲存貯體。

  • 如果現有的 Amazon S3 預設儲存貯體在您將現有網域的預設體驗遷移至 Studio 時未連接正確的 CORS 政策。

  • 如果您使用 AWS CLI 將現有網域的預設體驗遷移至 Studio。如需使用 AWS CLI 進行遷移的詳細資訊,請參閱 使用 將 Studio 設定為現有網域的預設體驗 AWS CLI

  • 如果您想要將 CORS 政策連接至其他 Amazon S3 儲存貯體。

注意

如果您打算使用 SageMaker AI 主控台來啟用 Studio 做為預設體驗,則您附加 CORS 政策的 Amazon S3 儲存貯體將在遷移期間覆寫其現有的 CORS 政策。因此,您可以忽略下列手動指示。

不過,如果您已使用 SageMaker AI 主控台進行遷移,並想要包含更多 Amazon S3 儲存貯體來連接 CORS 政策,請繼續執行下列手動指示。

下列程序說明如何手動將 CORS 組態新增至 Amazon S3 儲存貯體。

將 CORS 組態新增至 Amazon S3 儲存貯體

  1. 確認 Amazon S3 儲存貯體與具有下列名稱 AWS 區域 的現有網域位於相同的 中。如需說明,請參閱檢視 Amazon S3 儲存貯體的屬性

    sagemaker-region-account-id

  2. 將具有下列內容的 CORS 組態新增至預設 Amazon S3 儲存貯體。如需說明,請參閱設定跨來源資源共享 (CORS)

    [
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "POST",
            "PUT",
            "GET",
            "HEAD",
            "DELETE"
        ],
        "AllowedOrigins": [
            "https://*.sagemaker.aws"
        ],
        "ExposeHeaders": [
            "ETag",
            "x-amz-delete-marker",
            "x-amz-id-2",
            "x-amz-request-id",
            "x-amz-server-side-encryption",
            "x-amz-version-id"
        ]
    }
]

Amazon SageMaker Data Wrangler 作為其在 Studio Classic 體驗中的功能存在。當您啟用 Studio 做為預設體驗時,請使用 Amazon SageMaker Canvas 應用程式來存取 Data Wrangler 功能。SageMaker Canvas 是一種應用程式,您可以在其中訓練和部署機器學習模型,而無需撰寫任何程式碼,而 Canvas 提供由 Data Wrangler 提供的資料準備功能。

新的 Studio 體驗不支援傳統 Data Wrangler UI,如果您想要繼續使用 Data Wrangler,則必須建立 Canvas 應用程式。不過,您必須具備必要的許可,才能建立和使用 Canvas 應用程式。

請完成下列步驟,將必要的許可政策連接至 SageMaker AI 網域或使用者的 IAM AWS 角色。

授予 Canvas 內 Data Wrangler 功能的許可

  1. 將 AWS 受管政策 AmazonSageMakerFullAccess 連接至使用者的 IAM 角色。如需說明如何將 IAM 政策連接至角色的程序,請參閱《IAM 使用者指南》中的新增 IAM 身分許可 (主控台)AWS 。

    如果此許可政策對您的使用案例而言過於寬鬆,您可以建立範圍縮減政策,至少包含下列許可:

    {
    "Sid": "AllowStudioActions",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
    ],
    "Resource": "*"
},
{
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}

  2. 將 AWS 受管政策 AmazonSageMakerCanvasDataPrepFullAccess 連接至使用者的 IAM 角色。

連接必要的許可後,您可以建立 Canvas 應用程式並登入。如需詳細資訊,請參閱Amazon Sagemaker Canvas 使用入門

登入 Canvas 後,您可以直接存取 Data Wrangler 並開始建立資料流程。如需詳細資訊,請參閱 Canvas 文件資料準備中的 。

Amazon SageMaker Autopilot 作為其在 Studio Classic 體驗中的功能存在。當您使用更新的 Studio 體驗遷移到 時,請使用 Amazon SageMaker Canvas 應用程式,透過使用者介面 (UI) 繼續使用相同的自動化機器學習 (AutoML) 功能。SageMaker Canvas 是一種應用程式,您可以在其中訓練和部署機器學習模型,而無需撰寫任何程式碼,而 Canvas 會提供 UI 來執行 AutoML 任務。

新的 Studio 體驗不支援傳統 Autopilot UI。如果您想要透過 UI 繼續使用 Autopilot 的 AutoML 功能,則必須建立 Canvas 應用程式。

不過,您必須具備必要的許可,才能建立和使用 Canvas 應用程式。

  • 如果您從 Studio 存取 SageMaker Canvas,請將這些許可新增至 SageMaker AI 網域或使用者設定檔的執行角色。

  • 如果您是從主控台存取 SageMaker Canvas,請將這些許可新增至使用者的 IAM AWS 角色。

  • 如果您透過預先簽章的 URL 存取 SageMaker Canvas,請將這些許可新增至您用於 Okta SSO 存取的 IAM 角色。

若要在 Canvas 中啟用 AutoML 功能,請將下列政策新增至您的執行角色或 IAM 使用者角色。

  • AWS 受管政策:CanvasFullAccess

  • 內嵌政策:

    {
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}
將 IAM 政策連接至執行角色
  1. 尋找連接至 SageMaker AI 使用者設定檔的執行角色

    1. 在 SageMaker AI 主控台 中https://console.aws.amazon.com/sagemaker/,導覽至網域,然後選擇您的 SageMaker AI 網域。

    2. 執行角色 ARN 會列在使用者設定檔的使用者詳細資訊頁面上的執行角色下。記下 ARN 中的執行角色名稱。

    3. 在 IAM 主控台 https://console.aws.amazon.com/iam/ 中,選擇角色

    4. 在搜尋欄位中依名稱搜尋您的角色。

    5. 設定角色。

  2. 將政策新增至角色

    1. 在 IAM 主控台 https://console.aws.amazon.com/iam/ 中,選擇角色

    2. 在搜尋欄位中依名稱搜尋您的角色。

    3. 設定角色。

    4. 許可索引標籤中,導覽至下拉式功能表新增許可

      • 針對受管政策:選取連接政策,搜尋您要連接之管理政策的名稱。

        選取政策,然後選擇新增許可

      • 對於內嵌政策:選取建立內嵌政策,在 JSON 索引標籤中貼上您的政策,選擇下一步,為您的政策命名,然後選擇建立

如需說明如何將 IAM 政策連接至角色的程序,請參閱《IAM 使用者指南》中的新增 IAM 身分許可 (主控台)AWS 。

連接必要的許可後,您可以建立 Canvas 應用程式並登入。如需詳細資訊,請參閱Amazon Sagemaker Canvas 使用入門

將 Studio Classic 設定為預設體驗

管理員可以將 Studio Classic 還原為現有網域的預設體驗。這可以透過 完成 AWS CLI。

注意

當 Studio Classic 設定為網域層級的預設體驗時,Studio Classic 是網域中所有使用者的預設體驗。不過,使用者層級的設定優先於網域層級設定。因此,如果使用者的預設體驗設為 Studio,則該使用者將擁有 Studio 作為其預設體驗。

若要使用 還原為 Studio Classic 作為現有網域的預設體驗 AWS CLI,請使用update-domain 呼叫。作為 default-user-settings 欄位的一部分,您必須設定:

  • StudioWebPortal 值為 DISABLED

  • DefaultLandingUri 的值 app:JupyterServer:

StudioWebPortal 指出 Studio 體驗是否為預設體驗,並DefaultLandingUri指出使用者存取網域時導向的預設體驗。在此範例中,在網域層級 (在 中default-user-settings) 設定這些值,可讓 Studio Classic 成為網域內使用者的預設體驗。

如果網域中的使用者在使用者層級 (在 studio::UserSettings) 上將其StudioWebPortal設為 ENABLEDDefaultLandingUri設為 ,則這優先於網域層級設定。換言之,無論網域層級設定為何,該使用者都會將 Studio 做為其預設體驗。

下列程式碼範例示範如何將 Studio Classic 設定為網域內使用者的預設體驗:

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region AWS 區域 \
--default-user-settings '
{
    "StudioWebPortal": "DISABLED",
    "DefaultLandingUri": "app:JupyterServer:"
}
'

請使用下列指示來取得您的 existing-domain-id

  1. https://console.aws.amazon.com/sagemaker/:// 開啟 Amazon SageMaker AI 主控台。

  2. 從左側導覽窗格中,展開管理員組態,然後選擇網域

  3. 選擇現有的網域。

  4. 網域詳細資訊頁面上,選擇網域設定標籤。

  5. 複製網域 ID

若要取得您的 AWS 區域,請使用下列指示,以確保您 AWS 區域 使用的網域正確。

  1. https://console.aws.amazon.com/sagemaker/:// 開啟 Amazon SageMaker AI 主控台。

  2. 從左側導覽窗格中,展開管理員組態,然後選擇網域

  3. 選擇現有的網域。

  4. 網域詳細資訊頁面上,確認這是現有的網域。

  5. 從 SageMaker AI 主控台右上角展開 AWS 區域 下拉式清單,並使用您 AWS 區域 名稱右側的對應 AWS 區域 ID。例如:us-west-1