Benutzerdefiniertes Setup für Amazon verwenden SageMaker - Amazon SageMaker
AuthentifizierungsmethodenBenutzerdefiniertes SetupGreifen Sie nach dem Onboarding auf die Domain zu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefiniertes Setup für Amazon verwenden SageMaker

Die Einrichtung für Organisationen (benutzerdefinierte Einrichtung) führt Sie durch eine erweiterte Einrichtung für Ihre SageMaker Amazon-Domain. Diese Option bietet Informationen und Empfehlungen, die Ihnen helfen, alle Aspekte der Kontokonfiguration, einschließlich Berechtigungen, Integrationen und Verschlüsselung, zu verstehen und zu kontrollieren. Verwenden Sie diese Option, wenn Sie eine benutzerdefinierte Domain einrichten möchten. Informationen zu Domänen finden Sie unter SageMaker Amazon-Domain-Übersicht.

Authentifizierungsmethoden

Bevor Sie die Domäne einrichten, sollten Sie die Authentifizierungsmethoden berücksichtigen, mit denen Ihre Benutzer auf die Domäne zugreifen können.

AWS Identitätscenter:

  • Hilft bei der Vereinfachung der Verwaltung von Zugriffsberechtigungen für Benutzergruppen. Sie können Benutzergruppen Berechtigungen gewähren oder verweigern, anstatt diese Berechtigungen jedem einzelnen Benutzer zuzuweisen. Wenn ein Benutzer in eine andere Organisation wechselt, können Sie diesen Benutzer in eine andere AWS Identity and Access Management Identity Center (AWS IAM Identity Center) -Gruppe verschieben. Der Benutzer erhält dann automatisch die Berechtigungen, die für die neue Organisation erforderlich sind.

    Beachten Sie, dass sich das IAM Identity Center in derselben AWS-Region Domäne befinden muss.

    Folgen Sie zur Einrichtung mit IAM Identity Center den folgenden Anweisungen aus dem AWS IAMIdentity Center-Benutzerhandbuch:

  • Die Benutzer in IAM Identity Center können über eine, die ihnen per E-Mail zugeschickt wird AWS-Zugangsportal URL, auf die Domain zugreifen. Die E-Mail enthält Anweisungen zum Erstellen eines Kontos für den Zugriff auf die Domain. Weitere Informationen finden Sie unter Melden Sie sich bei der an AWS-Zugangsportal.

    Als Administrator finden Sie das, AWS-Zugangsportal URL indem Sie zum IAMIdentity Center navigieren und die Zusammenfassung AWS-Zugangsportal URLunter Einstellungen suchen.

  • Ihre Domain muss die Authentifizierung AWS Identity and Access Management (IAM) verwenden, wenn Sie den Zugriff auf Ihre Domains ausschließlich auf bestimmte Amazon Virtual Private Clouds (VPCs), Schnittstellenendpunkte oder einen vordefinierten Satz von IP-Adressen beschränken möchten. Diese Funktion wird für Domains, die die IAM Identity Center-Authentifizierung verwenden, nicht unterstützt. Sie können IAM Identity Center weiterhin verwenden, um die zentrale Identitätskontrolle Ihrer Mitarbeiter zu ermöglichen. Anweisungen, wie Sie diese Einschränkungen implementieren und gleichzeitig IAM Identity Center beibehalten können, um eine konsistente Benutzeranmeldung zu gewährleisten, finden Sie unter Sicherer Zugriff auf Amazon SageMaker Studio Classic mit IAM Identity Center und einer SAML Anwendung im Blog zum AWS maschinellen Lernen. Beachten Sie, dass AWS SSO es sich in diesem Blog um IAM Identity Center handelt.

Loggen Sie sich ein über IAM:

  • Die Benutzerprofile können über die SageMaker Konsole auf die Domain zugreifen, nachdem sie sich beim Konto angemeldet haben.

  • Sie können den Zugriff auf Ihre Domains ausschließlich auf bestimmte Amazon Virtual Private Clouds (VPCs), Schnittstellenendpunkte oder einen vordefinierten Satz von IP-Adressen beschränken, wenn Sie die Authentifizierung AWS Identity and Access Management (IAM) verwenden. Weitere Informationen finden Sie unter Erlauben Sie den Zugriff nur von Ihrem VPC.

Einrichtung für Organisationen (benutzerdefinierte Einrichtung)

Nachdem Sie die Voraussetzungen unter erfüllt habenVollständige SageMaker Amazon-Voraussetzungen, öffnen Sie die Seite SageMaker Domain einrichten (benutzerdefinierte Konfiguration) und erweitern Sie die folgenden Abschnitte mit Informationen zur Einrichtung.

Öffnen Sie die Option „ SageMaker Domain einrichten“ von der SageMaker Konsole aus

  1. Öffnen Sie die SageMaker Konsole.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen aus, um die Optionen zu erweitern.

  3. Wählen Sie unter Admin-Konfigurationen Domains aus.

  4. Wählen Sie auf der Seite Domains Domain entfernen aus.

  5. Wählen Sie auf der Seite SageMaker Domain einrichten die Option Für Organisationen einrichten aus.

  6. Wählen Sie Set up (Festlegen).

Nachdem Sie die Seite „ SageMaker Domain einrichten“ geöffnet haben, folgen Sie den folgenden Anweisungen:

  1. Geben Sie unter Domainname einen eindeutigen Namen für Ihre Domain ein. Dies kann beispielsweise Ihr Projekt- oder Teamname sein.

  2. Wählen Sie Weiter.

In diesem Schritt richten Sie die Authentifizierungsmethode, die Benutzer und die Berechtigungen für Ihre Domain ein.

  1. Unter Wie möchten Sie auf Studio zugreifen? , können Sie eine von zwei Optionen wählen. Informationen zu den Authentifizierungsmethoden finden Sie unterAuthentifizierungsmethoden. Einzelheiten zu den Optionen finden Sie im Folgenden:

    • AWS Identitätszentrum:

      Unter Wer wird Studio verwenden? wählen Sie eine AWS IAM Identity Center Gruppe aus, die auf die Domain zugreifen soll.

      Wenn Sie Keine Identity Center-Benutzergruppe wählen, erstellen Sie eine Domain ohne Benutzer. Sie können IAM Identity Center-Gruppen nach der Erstellung der Domain zur Domain hinzufügen. Weitere Informationen finden Sie unter Bearbeiten Sie die Domäneneinstellungen.

    • Melden Sie sich an über IAM:

      Unter Wer wird Studio verwenden? Wählen Sie + Benutzer hinzufügen, geben Sie einen neuen Benutzerprofilnamen ein und wählen Sie Hinzufügen, um einen Benutzerprofilnamen zu erstellen und hinzuzufügen.

      Sie können diesen Vorgang wiederholen, um mehrere Benutzerprofile zu erstellen.

  2. Unter Wer wird Studio verwenden? wählen Sie die IAM Identity Center-Benutzer oder -Gruppen aus und klicken Sie dann auf Auswählen. Sie müssen Amazon SageMaker Studio in derselben Region einrichten, in der Ihr IAM Identity Center konfiguriert ist. Sie können die Region Ihrer Domain ändern, indem Sie die Region aus der Drop-down-Liste oben rechts in der Konsole auswählen, oder Sie können Ihre IAM Identity Center-Region ändern, indem Sie zum AWS Zugangsportal navigieren.

  3. Unter welchen ML-Aktivitäten führen sie durch? Sie können eine bestehende Rolle verwenden, indem Sie Bestehende Rolle verwenden wählen, oder Sie können eine neue Rolle erstellen, indem Sie Neue Rolle erstellen auswählen und die ML-Aktivitäten markieren, auf die die Rolle Zugriff haben soll.

  4. Bei der Auswahl von ML-Aktivitäten müssen Sie möglicherweise die Anforderungen erfüllen. Um eine Anforderung zu erfüllen, wählen Sie Hinzufügen und füllen Sie die Anforderung aus.

  5. Wenn alle Anforderungen erfüllt sind, wählen Sie Weiter.

In diesem Schritt können Sie die Anwendungen konfigurieren, die Sie im vorherigen Schritt aktiviert haben. Weitere Informationen zu den ML-Aktivitäten finden Sie unterReferenz zur ML-Aktivität.

Wenn die Anwendung nicht aktiviert wurde, erhalten Sie eine Warnung für diese Anwendung. Um eine Anwendung zu aktivieren, die nicht aktiviert wurde, kehren Sie zum vorherigen Schritt zurück, indem Sie Zurück wählen und den vorherigen Anweisungen folgen.

  • Studio-Konfiguration:

    Unter Studio haben Sie die Möglichkeit, zwischen der neueren und der klassischen Version von Studio als Standarderlebnis zu wählen. Das bedeutet, dass Sie auswählen müssen, mit welcher ML-Umgebung Sie interagieren, wenn Sie Studio öffnen.

    • Studio umfasst mehrere integrierte Entwicklungsumgebungen (IDEs) und Anwendungen, darunter Amazon SageMaker Studio Classic. Falls ausgewählt, IDE hat Studio Classic Standardeinstellungen. Informationen zu den Standardeinstellungen finden Sie unterStandardeinstellungen.

      Informationen zu Studio finden Sie unterAmazon SageMaker Studio.

    • Studio Classic beinhaltet den JupyterIDE. Falls ausgewählt, können Sie Ihre Studio Classic-Konfiguration konfigurieren.

      Informationen zu Studio Classic finden Sie unterAmazon SageMaker Studio Classic.

  • SageMaker Canvas-Konfiguration:

    Wenn Sie Amazon SageMaker Canvas aktiviert haben, finden Sie Erste Schritte mit der Verwendung von Amazon SageMaker Canvas die Anweisungen und Konfigurationsdetails für das Onboarding unter.

  • Studio Classic-Konfiguration:

    Wenn Sie Studio (empfohlen) als Standarderlebnis ausgewählt haben, IDE verfügt Studio Classic über Standardeinstellungen. Informationen zu den Standardeinstellungen finden Sie unterStandardeinstellungen.

    Wenn Sie Studio Classic als Standardoberfläche ausgewählt haben, können Sie die gemeinsame Nutzung von Notebook-Ressourcen aktivieren oder deaktivieren. Zu den Notebook-Ressourcen gehören Artefakte wie Zellausgabe und Git-Repositorys. Weitere Informationen zu Notebook-Ressourcen finden Sie unterTeilen und verwenden Sie ein Amazon SageMaker Studio Classic-Notizbuch.

    Wenn Sie die gemeinsame Nutzung von Notebook-Ressourcen aktiviert haben:

    1. Geben Sie unter S3-Standort für gemeinsam nutzbare Notebook-Ressourcen Ihren Amazon S3 S3-Standort ein.

    2. Lassen Sie unter Verschlüsselungsschlüssel — optional die Option Keine benutzerdefinierte Verschlüsselung stehen oder wählen Sie einen vorhandenen AWS KMS Schlüssel aus oder wählen Sie KMS Schlüssel eingeben ARN und geben Sie Ihren AWS KMS Schlüssel ein. ARN

    3. Wählen Sie unter Einstellungen für die gemeinsame Nutzung von Notebook-Zellenausgängen die Option Benutzern die gemeinsame Nutzung der Zellenausgabe erlauben oder Die gemeinsame Nutzung der Zellenausgabe deaktivieren aus.

  • RStudioKonfiguration:

    Zur Aktivierung RStudio benötigen Sie eine RStudio Lizenz. Informationen zur Einrichtung finden Sie unterHolen Sie sich eine RStudio Lizenz.

    1. Stellen Sie unter RStudioWorkbench sicher, dass Ihre RStudio Lizenz automatisch erkannt wird. Weitere Informationen zum Erwerb einer RStudio Lizenz und deren Aktivierung mit finden Sie SageMaker unterHolen Sie sich eine RStudio Lizenz.

    2. Wählen Sie einen Instanztyp aus, auf dem Ihr RStudio Server gestartet werden soll. Weitere Informationen finden Sie unter StudioServerPro R-Instanztyp.

    3. Erstellen Sie unter Berechtigung Ihre Rolle oder wählen Sie eine vorhandene Rolle aus. Der Benutzer muss über die folgenden Richtlinienberechtigungen verfügen: Diese Richtlinie ermöglicht der RStudioServerPro Anwendung den Zugriff auf die erforderlichen Ressourcen. Es ermöglicht Amazon auch SageMaker , automatisch eine RStudioServerPro Anwendung zu starten, wenn sich die bestehende RStudioServerPro Anwendung im Failed Status Deleted Oder befindet. Weitere Informationen zum Bearbeiten von Rollenberechtigungen finden Sie unter Ändern einer Rollenberechtigungsrichtlinie (Konsole).

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. Fügen RStudioSie unter Connect den URL für Ihren RStudio Connect-Server hinzu. RStudioConnect ist eine Veröffentlichungsplattform für Shiny-Anwendungen, R Markdown-Berichte, Dashboards, Diagramme und mehr. Wenn Sie RStudio einsteigen SageMaker, wird kein RStudio Connect-Server erstellt. Weitere Informationen finden Sie unter Eine RStudio Connect hinzufügen URL.

    5. Fügen Sie unter RStudioPackage Manager den URL für Ihren RStudio Package Manager hinzu. SageMaker erstellt beim Onboarding ein Standard-Paket-Repository für den Package ManagerRStudio. Weitere Informationen zum RStudio Package Manager finden Sie unterAktualisieren Sie den RStudio Paketmanager URL.

    6. Klicken Sie auf Weiter.

  • Konfiguration des Code-Editors:

    Wenn Sie den Code-Editor aktiviert haben, finden Sie Code-Editor in Amazon SageMaker Studio eine Übersicht und die Konfigurationsdetails unter.

In diesem Abschnitt können Sie die sichtbaren Anwendungen und Tools für maschinelles Lernen (ML) anpassen, die in Studio angezeigt werden. Durch diese Anpassung werden nur die Anwendungen und ML-Tools im linken Navigationsbereich in Studio ausgeblendet. Informationen zur Studio-Benutzeroberfläche finden Sie unterÜberblick über die Amazon SageMaker Studio-Benutzeroberfläche.

Informationen zu den Anwendungen finden Sie unterIn Amazon SageMaker Studio unterstützte Anwendungen.

Die Funktion zum Anpassen der Studio-Benutzeroberfläche ist in Studio Classic nicht verfügbar. Wenn Sie Studio als Standarderlebnis festlegen möchten, wählen Sie Zurück und kehren Sie zum vorherigen Schritt zurück.

  1. Auf der Seite „Studio-Benutzeroberfläche anpassen“ können Sie die in Studio angezeigten Anwendungen und ML-Tools ausblenden, indem Sie sie ausschalten.

  2. Nachdem Sie Ihre Änderungen überprüft haben, wählen Sie Weiter.

Wählen Sie aus, wie Studio eine Verbindung zu anderen AWS Diensten herstellen soll.

Sie können den Internetzugang zu Ihrem Studio deaktivieren, indem Sie den Netzwerkzugriffstyp Nur Virtual Private Cloud (VPC) angeben. Wenn Sie diese Option wählen, können Sie ein Studio-Notebook nur ausführen, wenn Sie VPC über einen Schnittstellenendpunkt zur SageMaker API Runtime oder über ein Network Address Translation (NAT) -Gateway mit Internetzugang verfügen und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. Weitere Informationen zu Amazon finden VPCs Sie unterWähle einen Amazon VPC.

Wenn Sie sich für Virtual Private Cloud (VPC) entscheiden, sind nur die folgenden Schritte erforderlich. Wenn Sie sich für öffentlichen Internetzugang entscheiden, sind die ersten beiden der folgenden Schritte erforderlich.

  1. Wählen Sie VPCunter die VPC Amazon-ID aus.

  2. Wählen Sie unter Subnetz ein oder mehrere Subnetze aus. Wenn Sie keine Subnetze auswählen, werden alle Subnetze im Amazon SageMaker verwendet. VPC Wir empfehlen, dass Sie mehrere Subnetze verwenden, die nicht in eingeschränkten Availability Zones erstellt wurden. Die Verwendung von Subnetzen in diesen eingeschränkten Availability Zones kann zu Fehlern bei unzureichender Kapazität und längeren Anwendungserstellungszeiten führen. Weitere Informationen über eingeschränkte Availability Zones finden Sie unter Availability Zones.

  3. Wählen Sie unter Sicherheitsgruppe (n) ein oder mehrere Subnetze aus.

Wenn „VPCNur“ ausgewählt ist, SageMaker werden die für die Domäne definierten Sicherheitsgruppeneinstellungen automatisch auf alle gemeinsam genutzten Bereiche angewendet, die in der Domäne erstellt wurden. Wenn Nur öffentliches Internet ausgewählt ist, werden die Sicherheitsgruppeneinstellungen SageMaker nicht auf gemeinsam genutzte Bereiche angewendet, die in der Domäne erstellt wurden.

Sie haben die Möglichkeit, Ihre Daten zu verschlüsseln. Die Dateisysteme Amazon Elastic File System (AmazonEFS) und Amazon Elastic Block Store (AmazonEBS), die für Sie erstellt werden, wenn Sie eine Domain erstellen. EBSAmazon-Größen werden sowohl vom Code-Editor als auch von JupyterLab Leerzeichen verwendet.

Sie können den Verschlüsselungsschlüssel nicht mehr ändern, nachdem Sie Ihre Amazon EFS - und EBS Amazon-Dateisysteme verschlüsselt haben. Um Ihre Amazon EFS - und EBS Amazon-Dateisysteme zu verschlüsseln, können Sie die folgenden Konfigurationen verwenden.

  • Lassen Sie unter Verschlüsselungsschlüssel — optional die Option Keine benutzerdefinierte Verschlüsselung stehen oder wählen Sie einen vorhandenen KMS Schlüssel aus oder wählen Sie KMS Schlüssel eingeben ARN und geben Sie Ihren KMS Schlüssel ein. ARN

  • Geben Sie unter Standardgröße für Speicherplatz — optional die Standardgröße für den Speicherplatz ein.

  • Geben Sie unter Maximale Speichergröße — optional die maximale Speichergröße ein.

Überprüfe deine Domain-Einstellungen. Wenn Sie die Einstellungen ändern müssen, wählen Sie neben dem entsprechenden Schritt Bearbeiten aus. Sobald Sie bestätigt haben, dass Ihre Domain-Einstellungen korrekt sind, wählen Sie Senden und die Domain wird für Sie erstellt. Dieser Vorgang kann einige Minuten dauern.

Die folgenden Abschnitte enthalten AWS CLI Anweisungen für die benutzerdefinierte Einrichtung Ihrer Domain mithilfe von IAM Identity Center oder IAM Authentifizierungsmethoden.

Nachdem Sie die Voraussetzungen erfüllt haben, einschließlich der Einrichtung Ihrer AWS CLI Anmeldeinformationen, inVollständige SageMaker Amazon-Voraussetzungen, gehen Sie wie folgt vor.

  1. Erstellen Sie eine Ausführungsrolle, die zum Erstellen einer Domäne verwendet wird, und fügen Sie die AmazonSageMakerFullAccessRichtlinie hinzu. Sie können auch eine bestehende Rolle verwenden, der mindestens eine Vertrauensrichtlinie angehängt ist, die die SageMaker Erlaubnis erteilt, die Rolle zu übernehmen. Weitere Informationen finden Sie unter Wie verwendet man SageMaker Ausführungsrollen.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Holen Sie sich die standardmäßige Amazon Virtual Private Cloud (AmazonVPC) Ihres Kontos.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Ruft die Liste der Subnetze im Standard-Amazon AmazonVPC.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Erstellen Sie eine Domain, indem Sie die VPC Standard-Amazon-ID, die Subnetze und die Ausführungsrolle ARN übergeben. Sie müssen auch ein SageMaker Bild ARN übergeben. Informationen zur verfügbaren JupyterLab Version finden Sie ARNs unterEine JupyterLab Standardversion festlegen.

    Fürauthentication-mode, für die IAM Identity Center-Authentifizierung oder IAM für die IAM Authentifizierung verwendenSSO.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    Mithilfe von können Sie die in Studio für die Domain angezeigten Anwendungen und ML-Tools anpassen StudioWebPortalSettings. AWS CLI Wird verwendetHiddenAppTypes, um Anwendungen und HiddenMlTools ML-Tools auszublenden. Weitere Informationen zum Anpassen der linken Navigationsleiste der Studio-Benutzeroberfläche finden Sie unterTools und Anwendungen für maschinelles Lernen in der Amazon SageMaker Studio-Benutzeroberfläche ausblenden. Diese Funktion ist für Studio Classic nicht verfügbar.

  5. Stellen Sie sicher, dass die Domäne erstellt wurde.

    aws --region region sagemaker list-domains

Informationen zum Erstellen einer Domäne mit AWS CloudFormation finden Sie unter AWS:SageMaker:: :Domain im AWS CloudFormation Benutzerhandbuch.

Ein Beispiel für eine AWS CloudFormation Vorlage, mit der Sie Ihre Domain einrichten können, finden Sie unter SageMaker Amazon-Domains mithilfe AWS CloudFormation im aws-samples GitHub Repository erstellen.

Nachdem die Domain eingerichtet wurde, kann der Administrator die Domain einsehen und bearbeiten. Weitere Informationen finden Sie unter Domänen anzeigen und Bearbeiten Sie die Domäneneinstellungen.

Greifen Sie nach dem Onboarding auf die Domain zu

Die Benutzer können wie folgt SageMaker zugreifen: