本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon A SageMaker I 的自定义设置
为组织设置(自定义设置)将引导您完成 Amazon A SageMaker I 域的高级设置。该选项提供信息和建议,帮助您了解和控制账户配置的各个方面,包括权限、集成和加密。如果要设置自定义域,请使用此选项。有关域的信息,请参阅 亚马逊 SageMaker AI 域名概述。
身份验证方法
在设置域之前,请考虑用户访问域的身份验证方法。
AWS 身份中心:
-
帮助简化对用户组访问权限的管理。您可以授予或拒绝授予用户组权限,而不是将这些权限应用到每个用户。如果用户移至其他组织,则可以将该用户移至其他 Ident AWS Identity and Access Management ity center (AWS IAM Identity Center) 群组。然后,用户会自动获得新组织所需的权限。
请注意,IAM身份中心必须与域位于 AWS 区域 同一个域中。
要使用 Ident IAM ity Center 进行设置,请按照《AWS IAM身份中心用户指南》中的以下说明进行设置:
-
创建权限集,遵循应用最少权限的最佳实践。
-
将群组添加到您的IAM身份中心目录。
-
为用户和组分配单点登录访问权限。
-
在 Ident IAMity Center 中查看基本工作流程,开始执行常见任务。
-
Ident IAM ity Center 中的用户可以使用通过电子邮件发送给他们的访问域。 AWS 访问门户 URL邮件中提供了创建账户访问域的说明。有关更多信息,请参阅登录 AWS 访问门户。
作为管理员,您可以 AWS 访问门户 URL通过导航到IAM身份中心
并在 “设置” AWS 访问门户 URL下方找到摘要来找到。 -
如果您希望仅限特定的 Amazon 虚拟私有云 AWS Identity and Access Management (IAM)、接口终端节点或一组预定义的 IP 地址访问您的域名,则您的域必须使用 (VPCs) 身份验证。使用IAM身份中心身份验证的域不支持此功能。您仍然可以使用 IAM Identity Center 来启用集中式员工身份控制。有关如何在保持 Ident IAM ity Center 以提供一致的用户登录体验的同时实施这些限制的说明,请参阅AWS 机器学习博客中的通过IAM身份中心和应用程序安全访问 Amazon SageMaker Studio Classic 和SAML应用程序
。请注意, AWS SSO这是本博客中的IAM身份中心。
通过IAM以下方式登录:
-
登录账户后,用户配置文件可以通过 SageMaker AI 控制台访问该域。
-
使用 AWS Identity and Access Management () 身份验证时,您可以仅限特定的 Amazon 虚拟私有云 (VPCs)、接口终端节点或一组预定义的 IP 地址访问您的域。IAM有关更多信息,请参阅 仅允许从您的内部访问 VPC。
机构设置(自定义设置)
满足中的先决条件后完成 Amazon A SageMaker I 先决条件,打开设置 SageMaker AI Domain(自定义设置)页面,展开以下各节以获取有关设置的信息。
从 SageMaker AI 控制台打开设置 A SageMaker I 域
-
打开 A SageMaker I 控制台
。 -
在左侧导航窗格中,选择管理员配置以展开选项。
-
在管理员配置下,选择域。
-
在域页面上,选择创建域。
-
在设置 SageMaker AI 域页面上,选择为组织设置。
-
选择 Set up (设置)。
打开 “设置 SageMaker AI 域” 页面后,请按照以下说明进行操作:
-
在域名中,输入域的唯一名称。例如,这可以是您的项目或团队名称。
-
选择下一步。
在此步骤中,您将设置域的身份验证方法、用户和权限。
-
在如何访问 Studio?下,您可以从两个选项中选择一个。有关身份验证方法的信息,请参阅 身份验证方法。有关这些选项的详细信息,请参阅下文:
-
AWS 身份中心:
在 “谁将使用 Studio?” 下 选择将访问该域的 AWS IAM Identity Center 群组。
如果选择无身份中心用户组,则创建一个无用户的域。创建域后,您可以将IAM身份中心群组添加到域中。有关更多信息,请参阅 编辑域设置。
-
通过IAM以下方式登录:
在谁将使用 Studio?下选择 + 添加用户,输入新的用户配置文件名称,并选择添加以创建和添加用户配置文件名称。
您可以重复此过程来创建多个用户配置文件。
-
-
在 “谁将使用 Studio?” 下 选择 Ident IAM ity Center 用户或群组,然后选择选择。您需要在配置IAM身份中心的同一区域内设置 Amazon SageMaker Studio。您可以通过从控制台右上角的下拉列表中选择区域来更改域的区域,也可以通过导航到AWS 访问门户
来更改您的IAM身份中心区域。 -
在它们执行哪些 ML 活动?下,您可以选择使用现有角色来使用现有角色,也可以选择创建新角色来创建新角色,并选中希望该角色访问的 ML 活动。
-
在选择 ML 活动时,您可能需要满足一些要求。要满足要求,请选择添加并完成要求。
-
满足所有要求后,选择下一步。
在此步骤中,您可以配置在上一步骤中启用的应用程序。有关 ML 活动的更多信息,请参阅 机器学习活动参考。
如果应用程序尚未启用,则会收到针对该应用程序的警告。要启用尚未启用的应用程序,请选择 Back(返回)返回上一步,并按照之前的说明操作。
-
Studio 配置:
在 Studio 下,您可以选择较新版本和经典版本的 Studio 作为默认体验。这意味着在打开 Studio 时,要选择与哪个 ML 环境交互。
-
Studio 包括多个集成开发环境 (IDEs) 和应用程序,包括 Amazon SageMaker Studio Classic。如果选中,Studio Class IDE ic 将使用默认设置。有关默认设置的信息,请参阅 默认设置。
有关 Studio 的信息,请参阅 亚马逊 SageMaker Studio。
-
Studio Classic 包括木星IDE。如果选择了,您可以配置您的 Studio Classic 配置。
有关 Studio Classic 的信息,请参阅 亚马逊 SageMaker Studio 经典版。
-
-
SageMaker 画布配置:
如果您启用了 Amazon SageMaker Canvas,开始使用 Amazon C SageMaker anvas请参阅,了解入门操作的说明和配置详情。
-
Studio Classic 配置:
如果您选择 Studio(推荐)作为默认体验,则 Studio Class IDE ic 将使用默认设置。有关默认设置的信息,请参阅 默认设置。
如果选择 Studio Classic 作为默认体验,则可以选择启用或禁用笔记本资源共享。笔记本资源包括单元格输出和 Git 存储库等构件。有关笔记本资源的更多信息,请参阅 共享和使用 Amazon SageMaker Studio 经典笔记本电脑。
如果启用了笔记本资源共享:
-
在可共享笔记本资源的 S3 位置下,输入您的 Amazon S3 位置。
-
在 “加密密钥-可选” 下,保留为 “无自定义加密”,或者选择现有 AWS KMS 密钥或选择输入KMS密钥ARN并输入您的 AWS KMS 密钥ARN。
-
在笔记本单元格输出共享首选项下,选择允许用户共享单元格输出或禁用单元格输出共享。
-
-
RStudio配置:
要启用RStudio,您需要RStudio许可证。设置方法请参阅 获取RStudio许可证。
-
在 RStudioWorkbench 下,验证是否自动检测到您的RStudio许可证。有关获取RStudio许可证并使用 SageMaker AI 激活许可证的更多信息,请参阅获取RStudio许可证。
-
选择要在其上启动RStudio服务器的实例类型。有关更多信息,请参阅 RStudioServerPro 实例类型。
-
在权限下,创建您的角色或选择现有角色。该角色必须具有以下权限策略。此策略允许RStudioServerPro应用程序访问必要的资源。它还允许 SageMaker Amazon AI 在现有RStudioServerProRStudioServerPro应用程序处于
Deleted或Failed状态时自动启动该应用程序。有关向角色添加权限的信息,请参阅修改角色权限策略(控制台)。{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] } -
在 RStudioConnect 下,URL为你的 RStudio Connect 服务器添加。 RStudioConnect 是 Shiny 应用程序、R Markdown 报告、仪表板、绘图等的发布平台。当你RStudio在 SageMaker AI 上启动时,不会创建 RStudio Connect 服务器。有关更多信息,请参阅 添加 RStudio Connect URL。
-
在 P RStudioackage Manager 下,URL为你的RStudio包管理器添加。 SageMaker AI 会在您上线时为 Package Manager 创建默认的软件包存储库RStudio。有关 Package Man RStudio ager 的更多信息,请参阅更新 Package Man RStudio ager URL。
-
选择下一步。
-
-
Code Editor 配置:
如果已启用 Code Editor,请参阅 Amazon SageMaker Studio 中的代码编辑器 了解概述和配置详情。
在本节中,您可以自定义 Studio 中显示的可查看应用程序和机器学习 (ML) 工具。该自定义功能只隐藏 Studio 左侧导航窗格中的应用程序和 ML 工具。有关 Studio UI 的信息,请参阅 Amazon SageMaker Studio 用户界面概述。
有关应用程序的信息,请参阅 Amazon SageMaker Studio 支持的应用程序。
Studio Classic 中不提供自定义 Studio UI 功能。如果希望将 Studio 设置为默认体验,请选择上一步,然后返回上一步。
-
在自定义 Studio UI 页面上,您可以通过切换隐藏 Studio 中显示的应用程序和 ML 工具。
-
查看更改后,选择下一步。
选择您希望 Studio 连接到其他 AWS 服务的方式。
您可以通过指定仅限虚拟私有云 (VPC) 网络访问类型来选择禁用对您的 Studio 的互联网访问。如果选择此选项,则无法运行 Studio 笔记本,除非您VPC有指向 SageMaker API和运行时的接口终端节点,或者具有互联网访问权限的网络地址转换 (NAT) 网关,并且您的安全组允许出站连接。有关 Amazon 的更多信息VPCs,请参阅选择亚马逊 VPC。
如果您选择虚拟私有云 (VPC),则只需执行以下步骤。如果您选择公共互联网访问,则需要执行以下步骤中的前两个。
-
在下方 VPC,选择亚马逊 VPC ID。
-
在子网下,选择一个或多个子网。如果您不选择任何子网, SageMaker AI 会使用 Amazon 中的所有子网。VPC我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受限可用区的更多信息,请参阅可用区。
-
在安全组下,选择一个或多个子网。
如果选择了 “VPC仅限”, SageMaker AI 会自动将为该域定义的安全组设置应用于在该域中创建的所有共享空间。如果选择 “仅限公共互联网”, SageMaker AI 不会将安全组设置应用于在域中创建的共享空间。
您可以选择加密数据。创建域时为您创建的亚马逊 Elastic File System(亚马逊 EFSEBS)和亚马逊弹性区块存储(亚马逊)文件系统。代码编辑器和 JupyterLab 空格都使用 Amazon EBS 大小。
加密亚马逊EFS和亚马逊EBS文件系统后,您无法更改加密密钥。要加密您的 Amazon EFS 和 Amazon EBS 文件系统,您可以使用以下配置。
-
在 “加密密钥-可选” 下,保留为 “无自定义加密”,或者选择现有KMS密钥或选择 “输入KMS密钥” ARN 并输入您的KMS密钥。ARN
-
在默认空间大小 - 可选下,输入默认空间大小。
-
在最大空间大小 - 可选下,输入最大空间大小。
查看域设置。如果您需要更改设置,请选择相关步骤旁边的编辑。确认域设置准确无误后,选择提交,域就为您创建好了。此过程可能需要几分钟时间。
以下各节提供了使用IAM身份中心或IAM身份验证方法自定义设置域名的 AWS CLI 说明。
满足先决条件(包括设置 AWS CLI 证书)后完成 Amazon A SageMaker I 先决条件,请按照以下步骤操作。
-
创建用于创建域和附加AmazonSageMakerFullAccess
策略的执行角色。您也可以使用至少具有附加信任策略的现有角色,该策略授予 SageMaker AI 代入该角色的权限。有关更多信息,请参阅 如何使用 SageMaker AI 执行角色。 aws iam create-role --role-nameexecution-role-name--assume-role-policy-documentfile://execution-role-trust-policy.jsonaws iam attach-role-policy --role-nameexecution-role-name--policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess -
获取您账户的默认亚马逊虚拟私有云 (AmazonVPC)。
aws --regionregionec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text -
获取默认 Amazon VPC 中的子网列表。
aws --regionregionec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id--query "Subnets[*].SubnetId" --output json -
通过传递默认 Amazon VPC ID、子网和执行角色ARN来创建域。您还必须传递 A SageMaker I 图像ARN。有关可用 JupyterLab 版本的信息ARNs,请参阅设置默认 JupyterLab版本。
对于
authentication-modeSSO用于IAM身份中心身份验证或IAMIAM身份验证。aws --regionregionsagemaker create-domain --domain-namedomain-name--vpc-iddefault-vpc-id--subnet-idssubnet-ids--auth-modeauthentication-mode--default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text您可以使用自定义在 AWS CLI Studio 中为该域显示的应用程序和机器学习工具StudioWebPortalSettings。使用
HiddenAppTypes隐藏应用程序,使用HiddenMlTools隐藏 ML 工具。有关自定义 Studio 用户界面左侧导航的更多信息,请参阅 在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序。此功能不适用于 Studio Classic。 -
确认域已创建。
aws --regionregionsagemaker list-domains
有关使用创建域的信息 AWS CloudFormation,请参阅《AWS CloudFormation 用户指南》中的AWSSageMaker::: Domain。
有关可用于设置域名的 AWS CloudFormation 模板的示例,请参阅在aws-samples GitHub 存储库 AWS CloudFormation中使用创建 Amazon SageMaker AI 域
域设置完成后,管理用户可以查看和编辑域。有关更多信息,请参阅 查看领域 和 编辑域设置。
载入后访问域
用户可以使用以下方式访问 SageMaker AI:
-
URL如果域名是使用IAM身份中心身份验证设置的,则为登录。有关信息,请参阅如何登录用户门户。
