Amazon 的自定义设置 SageMaker - Amazon SageMaker
身份验证方法自定义设置登录后访问该域名
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的自定义设置 SageMaker

组织设置(自定义设置)将引导您完成Amazon SageMaker 域名的高级设置。此选项提供信息和建议,帮助您了解和控制账户配置的各个方面,包括权限、集成和加密。如果要设置自定义域,请使用此选项。有关域的信息,请参阅Amazon SageMaker 域名概述

身份验证方法

在设置域之前,请考虑用户访问该域的身份验证方法。

Amazon 身份中心

  • 帮助简化对用户组访问权限的管理。您可以向用户组授予或拒绝权限,而不是将这些权限应用于每个用户。如果用户移至其他组织,则可以将该用户移至其他 Ident Amazon Identity and Access Management ity center (Amazon IAM Identity Center) 群组。然后,用户会自动获得新组织所需的权限。

    请注意,IAM 身份中心必须与域 Amazon Web Services 区域 相同。

    要设置 IAM 身份中心,请按照 I Amazon AM 身份中心用户指南中的以下说明进行设置:

  • IAM Identity Center 中的用户可以使用通过电子邮件发送给他们的 Amazon Web Services 访问门户 URL 访问该域。该电子邮件提供了创建账户以访问域名的说明。有关更多信息,请参阅登录 Amazon Web Services 访问门户

    作为管理员,您可以通过导航到 IAM 身份中心并在设置摘要下找到 Amazon Web Services 访问门户 URL 来找到 Amazon Web Services 访问门户 URL

  • 如果您希望仅限特定的 Amazon 虚拟私有云 Amazon Identity and Access Management (VPC)、接口终端节点或一组预定义的 IP 地址访问您的域名,则您的域必须使用 (IAM) 身份验证。使用 IAM 身份中心身份验证的域不支持此功能。您仍然可以使用 IAM 身份中心启用集中式员工身份控制。有关如何在保留 IAM Identity Center 以提供一致的用户登录体验的同时实施这些限制的说明,请参阅Amazon 机器学习博客中的使用 IAM 身份中心和 SAML 应用程序安全访问 Amazon SageMaker Studio Classic 和 SAML 应用程序。请注意,在本博客中, Amazon SSO 是 IAM 身份中心。

通过 IAM 登录

  • 登录账户后,用户配置文件可以通过 SageMaker 控制台访问该域。

  • 使用 Amazon Identity and Access Management (IAM) 身份验证时,您可以仅限特定的 Amazon 虚拟私有云 (VPC)、接口终端节点或一组预定义的 IP 地址访问您的域。有关更多信息,请参阅 仅允许从您的 VPC 内部进行访问

组织设置(自定义设置)

满足中的先决条件后Amazon SageMaker 先决条件,打开设置 SageMaker 域(自定义设置)页面,展开以下各节以获取有关设置的信息。

从 SageMaker 控制台打开 “设置 SageMaker 域

  1. 打开SageMaker 控制台

  2. 在左侧导航窗格中,选择管理员配置以展开选项。

  3. 管理员配置下,选择

  4. 页面上,选择创建域

  5. 设置 SageMaker 域名页面上,选择为组织设置

  6. 选择 Set up (设置)

打开 “设置 SageMaker 域名” 页面后,请按照以下说明进行操作:

  1. 在 “域名” 中,为您的域输入一个唯一的名称。例如,这可以是您的项目或团队名称。

  2. 选择下一步

在此步骤中,您将为您的域设置身份验证方法、用户和权限。

  1. 在 “你想如何访问 Studio?” 下 ,您可以从两个选项中选择一个。有关身份验证方法的信息,请参见身份验证方法。下文提供了有关这些选项的详细信息:

    • Amazon 身份中心

      在 “谁将使用 Studio?” 下 选择将访问该域的 Amazon IAM Identity Center 群组。

      如果您选择 No Identity Center 用户组,则会创建一个没有用户的域。创建域后,您可以将 IAM 身份中心群组添加到该域中。有关更多信息,请参阅 查看和编辑域名

    • 通过 IAM 登录

      在 “谁将使用 Studio?” 下 选择 + 添加用户,输入新的用户配置文件名称,然后选择添加以创建和添加用户配置文件名称。

      您可以重复此过程来创建多个用户配置文件。

  2. 在 “谁将使用 Studio?” 下 选择 IAM 身份中心用户或群组,然后选择选择。您需要在配置您的 IAM 身份中心的同一区域内设置 Amazon SageMaker Studio。您可以通过从控制台右上角的下拉列表中选择区域来更改域的区域,也可以通过导航到Amazon 访问门户来更改您的 IAM Identity Center 区域。

  3. 他们执行哪些机器学习活动? 您可以通过选择 “使用现有角色” 来使用现有角色,也可以通过选择 “创建新角色” 并选中您希望该角色有权访问的 ML 活动来创建新角色。

  4. 在选择机器学习活动时,您可能需要满足要求。要满足要求,请选择 “添加” 并完成要求。

  5. 满足所有要求后,选择 “下一步”。

在此步骤中,您可以配置在上一步中启用的应用程序。有关 ML 活动的更多信息,请参阅机器学习活动参考

如果尚未启用该应用程序,则会收到有关该应用程序的警告。要启用尚未启用的应用程序,请选择 “返回” 返回上一步并按照前面的说明进行操作。

  • 演播室配置:

    Studio 下,您可以选择在 Studio 的新版本和经典版本之间进行选择,作为您的默认体验。这意味着在打开 Studio 时要选择与哪个机器学习环境进行交互。

    • Studio-新增功能包括多个集成开发环境 (IDE) 和应用程序,包括 Amazon SageMaker Studio Classic。如果选择该选项,Studio Classic IDE 将具有默认设置。有关默认设置的信息,请参阅默认设置

    • Studio Classic 包括木星集成开发环境。如果选择此选项,则可以配置您的 Studio 经典配置。

      有关 Studio Classic 的信息,请参阅亚马逊 SageMaker Studio 经典版

  • SageMaker 画布配置:

    如果您启用了 Amazon SageMaker Canvas,开始使用 Amazon C SageMaker anvas请参阅,了解入门操作的说明和配置详情。

  • Studio 经典版配置:

    如果您选择 Studio-新建(推荐)作为默认体验,则 Studio Classic IDE 将使用默认设置。有关默认设置的信息,请参阅默认设置

    如果您选择 Studio Classic 作为默认体验,则可以选择启用或禁用笔记本资源共享。笔记本资源包括单元输出和 Git 存储库等工件。有关笔记本资源的更多信息,请参阅共享和使用 Amazon SageMaker Studio 经典笔记本电脑

    如果您启用了笔记本资源共享:

    1. 在 “可共享笔记本资源的 S3 位置” 下,输入您的 Amazon S3 位置。

    2. 在 “加密密钥-可选” 下,保留为 “无自定义加密”,或者选择现有 Amazon KMS 密钥或选择 “输入 KMS 密钥 ARN” 并输入 Amazon KMS 密钥的 ARN。

    3. 在 “笔记本单元输出共享首选项” 下,选择 “允许用户共享单元格输出” 或 “禁用单元输出共享”。

  • RStudio 配置:

    要启用 RStudio,你需要 rStudio 许可证。要进行设置,请参阅RStudio 许可证

    1. RStudio Workbench 下,验证是否会自动检测到您的 RStudio 许可证。有关获取 RStudio 许可证并使用激活许可证的更多信息 SageMaker,请参阅RStudio 许可证

    2. 选择要在其上启动 RStudio Server 的实例类型。有关更多信息,请参阅 R StudioServerPro 实例类型

    3. 权限下,创建您的角色或选择现有角色。该角色必须具有以下权限策略。此策略允许 R StudioServerPro 应用程序访问必要的资源。它还 SageMaker 允许亚马逊在现有 R StudioServer Pro StudioServerPro 应用程序处于DeletedFailed状态时自动启动 R 应用程序。有关向角色添加权限的信息,请参阅修改角色权限策略(控制台)

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. RStudio Connect 下,添加 RStudio Connect 服务器的 URL。RStudio Connect 是 Shiny 应用程序、R Markdown 报告、控制面板、绘图等的发布平台。当你登录 RStudio 时 SageMaker,不会创建 RStudio Connect 服务器。有关更多信息,请参阅 RStudio Connect URL

    5. RStudio Package Manager 下,添加 rStudio Package Manager 的网 SageMaker 在您加载 RStudio 时为 Package Manager 创建默认的软件包存储库。有关 RStudio 软件包管理器的更多信息,请参阅 RStudio Package Manager

    6. 选择下一步

  • 代码编辑器配置:

    如果您启用了代码编辑器,开始使用 Amazon SageMaker Studio 中的代码编辑器请参阅,以获取概述和配置详细信息。

选择您希望 Studio 连接到其他 Amazon 服务的方式。

您可以通过指定仅限虚拟私有云 (VPC) 的网络访问类型来选择禁用对您的 Studio 的互联网访问。如果您选择此选项,则除非您的 VPC 具有指向 SageMaker API 和运行时的接口终端节点,或者具有互联网访问权限的网络地址转换 (NAT) 网关,并且您的安全组允许出站连接,否则您将无法运行 Studio 笔记本。有关 Amazon VPC 的更多信息,请参阅选择 Amazon VPC

如果您选择虚拟私有云 (VPC) Private Cloud,则只需执行以下步骤。如果您选择公共互联网接入,则需要执行以下前两个步骤。

  1. VPC 下,选择亚马逊 VPC ID。

  2. 子网下,选择一个或多个子网。如果您未选择任何子网,则 SageMaker 使用 Amazon VPC 中的所有子网。我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受限可用区的更多信息,请参阅可用区

  3. 安全组下,选择一个或多个子网。

如果选择了 “仅限 VPC”,则 SageMaker 会自动将为该域定义的安全组设置应用于在该域中创建的所有共享空间。如果选择 “仅限公共互联网”,则 SageMaker 不会将安全组设置应用于在域中创建的共享空间。

您可以选择加密您的数据。创建域时为您创建的亚马逊弹性文件系统 (Amazon EFS) 和亚马逊弹性区块存储 (Amazon EBS) Block Store 文件系统。代码编辑器和 JupyterLab 空格都使用 Amazon EBS 的大小。

加密您的 Amazon EFS 和 Amazon EBS 文件系统后,您无法更改加密密钥。要加密您的 Amazon EFS 和 Amazon EBS 文件系统,您可以使用以下配置。

  • 在 “加密密钥-可选” 下,保留为 “无自定义加密”,或者选择现有 KMS 密钥或选择输入 KMS 密钥 ARN,然后输入您的 KMS 密钥的 ARN。

  • 在 “默认空间大小-可选” 下,输入默认空间大小。

  • 在 “最大空间大小-可选” 下,输入最大空间大小。

查看您的域名设置。如果需要更改设置,请选择相关步骤旁边的 “编辑”。确认您的域名设置准确无误后,选择提交,即可为您创建域名。此过程可能需要几分钟时间。

以下各节提供了使用 IAM 身份中心或 IAM 身份验证方法自定义设置域名的 Amazon CLI 说明。

满足先决条件(包括设置 Amazon CLI 证书)后Amazon SageMaker 先决条件,请按照以下步骤操作。

  1. 创建用于创建域的执行角色并附加AmazonSageMakerFull访问策略。您也可以使用至少具有附加信任策略的现有角色,该策略可授予担任该角色的 SageMaker 权限。有关更多信息,请参阅 如何使用 SageMaker 执行角色

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. 获取账户的默认 Amazon Virtual Private Cloud (Amazon VPC)。

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. 获取默认 Amazon VPC 中的子网列表。

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. 通过传递默认 Amazon VPC ID、子网和执行角色 ARN 来创建域。您还必须传递 SageMaker 图片 ARN。有关可用 JupyterLab 版本 ARN 的信息,请参阅设置默认 JupyterLab版本

    对于authentication-mode,用SSO于 IAM 身份中心身份验证或 IAM IAM 身份验证。

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

  5. 验证域名是否已创建。

    aws --region region sagemaker list-domains

有关使用创建域的信息 Amazon CloudFormation,请参阅《Amazon CloudFormation 用户指南》AWS::SageMaker::Domain中的。

设置域后,管理用户可以查看和编辑该域。有关信息,请参阅 查看和编辑域名

登录后访问该域名

用户可以使用以下 SageMaker 方式进行访问: