本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Amazon A SageMaker I 的自定义设置 使用自定义设置 **为组织设置(自定义设置)将**引导您完成 Amazon A SageMaker I 域的高级设置。该选项提供信息和建议,帮助您了解和控制账户配置的各个方面,包括权限、集成和加密。如果要设置自定义域,请使用此选项。有关域的信息,请参阅 [亚马逊 SageMaker AI 域名概述](gs-studio-onboard.md)。 **Topics** + [ ## 身份验证方法 ](#onboard-custom-authentication-details) + [ ## 机构设置(自定义设置) ](#onboard-custom-instructions) + [ ## 载入后访问域 ](#onboard-custom-users-accesss-domain) ## 身份验证方法 在设置域之前,请考虑用户访问域的身份验证方法。 **Amazon 身份中心**: + **帮助简化对用户组访问权限的管理。**您可以授予或拒绝授予用户组权限,而不是将这些权限应用到每个用户。如果用户移至其他组织,则可以将该用户移至其他 Ident Amazon Identity and Access Management ity center (Amazon IAM Identity Center) 群组。然后,用户会自动获得新组织所需的权限。 请注意,IAM 身份中心必须与域 Amazon Web Services 区域 相同。 要使用 IAM Identity Center 进行设置,请使用*《Amazon IAM Identity Center 用户指南》*中的以下说明: + 先[启用 Amazon IAM Identity Center](https://docs.amazonaws.cn/singlesignon/latest/userguide/get-set-up-for-idc.html)。 + [创建权限集](https://docs.amazonaws.cn/singlesignon/latest/userguide/get-started-create-a-permission-set.html),遵循应用最少权限的最佳实践。 + 在 IAM Identity Center 目录中[添加组](https://docs.amazonaws.cn/singlesignon/latest/userguide/addgroups.html)。 + 为用户和组[分配单点登录访问权限](https://docs.amazonaws.cn/singlesignon/latest/userguide/useraccess.html#assignusers)。 + 查看基本工作流程,[开始 IAM Identity Center 中的常见任务](https://docs.amazonaws.cn/singlesignon/latest/userguide/getting-started.html)。 + IAM Identity Center 中的用户可以使用通过电子邮件发送给他们的 Amazon Web Services 访问门户 URL 访问该域。邮件中提供了创建账户访问域的说明。有关更多信息,请参阅[登录 Amazon Web Services 访问门户](https://docs.amazonaws.cn/singlesignon/latest/userguide/howtosignin.html)。 作为管理员,您可以通过导航到 [IAM 身份中心](https://console.amazonaws.cn/singlesignon)并在**设置摘**要下找到 Amazon Web Services 访问门户 URL 来找到 **Amazon Web Services 访问门户 URL**。 + 如果您希望仅限特定的 Amazon 虚拟私有云 Amazon Identity and Access Management ()、接口终端节点或一组预定义的 IP 地址访问您的域,则您的域必须使用 (IAMVPCs) 身份验证。使用 IAM Identity Center 身份验证的域不支持此功能。您仍然可以使用 IAM Identity Center 实现集中的劳动力身份控制。有关如何在保留 IAM Identity Center 以提供一致的用户登录体验的同时实施这些限制的说明,请参阅*Amazon 机器学习*博客中的[使用 IAM 身份中心和 SAML 应用程序安全访问 Amazon SageMaker Studio Classic 和 SAML 应用程序](https://www.amazonaws.cn/blogs/machine-learning/secure-access-to-amazon-sagemaker-studio-with-aws-sso-and-a-saml-application/)。请注意,在本博客中, Amazon SSO 是 IAM 身份中心。 **通过 IAM 登录**: + 登录账户后,用户配置文件可以通过 SageMaker AI 控制台访问该域。 + 使用 Amazon Identity and Access Management (IAM) 身份验证时,您可以仅限特定的 Amazon 虚拟私有云 (VPCs)、接口终端节点或一组预定义的 IP 地址访问您的域。有关更多信息,请参阅 [仅允许从您的 VPC 内部进行访问](studio-interface-endpoint.md#studio-private-link-restrict)。 ## 机构设置(自定义设置) 自定义设置 ### 使用管理控制台进行自定义设置 满足中的先决条件后[完成 Amazon A SageMaker I 先决条件](gs-set-up.md),打开**设置 SageMaker AI Domain**(自定义设置)页面,展开以下各节以获取有关设置的信息。 **从 **SageMaker AI 控制台打开设置 A SageMaker I 域**** 1. 打开 A [SageMaker I 控制台](https://console.amazonaws.cn/sagemaker/)。 1. 在左侧导航窗格中,选择**管理员配置**以展开选项。 1. 在**管理员配置**下,选择**域**。 1. 在**域**页面上,选择**创建域**。 1. 在**设置 SageMaker AI 域**页面上,选择**为组织设置**。 1. 选择**设置**。 打开 “**设置 SageMaker AI 域**” 页面后,请按照以下说明进行操作: #### 步骤 1:域详细信息 1. 在**域名**中,输入域的唯一名称。例如,这可以是您的项目或团队名称。 1. 选择**下一步**。 #### 步骤 2:用户和 ML 活动 在此步骤中,您将设置域的身份验证方法、用户和权限。 1. 在**如何访问 Studio?**下,您可以从两个选项中选择一个。有关身份验证方法的信息,请参阅 [身份验证方法](#onboard-custom-authentication-details)。有关这些选项的详细信息,请参阅下文: + **Amazon 身份中心**: 在 “**谁将使用 Studio?**” 下 选择将访问该域的 Amazon IAM Identity Center 群组。 如果选择**无身份中心用户组**,则创建一个无用户的域。您可以在创建域后向域添加 IAM Identity Center 组。有关更多信息,请参阅 [编辑域设置](domain-edit.md)。 + **通过 IAM 登录**: 在**谁将使用 Studio?**下选择 **\$1 添加用户**,输入新的用户配置文件名称,并选择**添加**以创建和添加用户配置文件名称。 您可以重复此过程来创建多个用户配置文件。 1. 在**谁将使用 Studio?**下选择 IAM Identity Center 用户或组,然后选择**选择**。您需要在配置 IAM 身份中心的同一区域内设置 Amazon SageMaker Studio。您可以从管理控制台右上方的下拉列表中选择区域来更改域的区域,也可以通过导航到 [Amazon 访问门户](https://console.amazonaws.cn/singlesignon)来更改 IAM Identity Center 的区域。 1. 在**它们执行哪些 ML 活动?**下,您可以选择**使用现有角色**来使用现有角色,也可以选择**创建新角色**来创建新角色,并选中希望该角色访问的 ML 活动。 1. 在选择 ML 活动时,您可能需要满足一些要求。要满足要求,请选择**添加**并完成要求。 1. 满足所有要求后,选择**下一步**。 #### 步骤 3:申请 在此步骤中,您可以配置在上一步骤中启用的应用程序。有关 ML 活动的更多信息,请参阅 [机器学习活动参考](role-manager-ml-activities.md)。 如果应用程序尚未启用,则会收到针对该应用程序的警告。要启用尚未启用的应用程序,请选择 **Back(返回)**返回上一步,并按照之前的说明操作。 + **Studio** 配置: 在 **Studio** 下,您可以选择较新版本和经典版本的 Studio 作为默认体验。这意味着在打开 Studio 时,要选择与哪个 ML 环境交互。 + **Studio** 包括多个集成开发环境 (IDEs) 和应用程序,包括 Amazon SageMaker Studio Classic。如果选择了该选项,Studio Classic IDE 将使用默认设置。有关默认设置的信息,请参阅 [默认设置](onboard-quick-start.md#onboard-quick-start-defaults)。 有关 Studio 的信息,请参阅 [亚马逊 SageMaker Studio](studio-updated.md)。 + **Studio Classic** 包含 Jupyter IDE。如果选择了,您可以配置您的 Studio Classic 配置。 有关 Studio Classic 的信息,请参阅 [亚马逊 SageMaker Studio 经典版](studio.md)。 + **SageMaker 画布**配置: 如果您启用了 Amazon SageMaker Canvas,[开始使用 Amazon C SageMaker anvas](canvas-getting-started.md)请参阅,了解入门操作的说明和配置详情。 + **Studio Classic** 配置: 如果您选择 **Studio**(推荐)作为默认体验,Studio Classic IDE 就会有默认设置。有关默认设置的信息,请参阅 [默认设置](onboard-quick-start.md#onboard-quick-start-defaults)。 如果选择 Studio Classic 作为默认体验,则可以选择启用或禁用笔记本资源共享。笔记本资源包括单元格输出和 Git 存储库等构件。有关笔记本资源的更多信息,请参阅 [共享和使用 Amazon SageMaker Studio 经典笔记本电脑](notebooks-sharing.md)。 如果启用了笔记本资源共享: 1. 在**可共享笔记本资源的 S3 位置**下,输入您的 Amazon S3 位置。 1. 在 “**加密密钥-*可选***” 下,保留为 “**无自定义加密**”,或者选择现有 Amazon KMS 密钥或选择 “**输入 KMS 密钥 ARN**” 并输入 Amazon KMS 密钥的 ARN。 1. 在**笔记本单元格输出共享首选项**下,选择**允许用户共享单元格输出**或**禁用单元格输出共享**。 + **RStudio**配置: 要启用 RStudio,您需要 RStudio 许可证。设置方法请参阅 [获取 RStudio 许可证](rstudio-license.md)。 1. 在 **RStudio Workbench** 下,验证是否自动检测到您的 RStudio 许可证。有关获取 RStudio 许可证并使用 SageMaker AI 激活许可证的更多信息,请参阅[获取 RStudio 许可证](rstudio-license.md)。 1. 选择要在其上启动 RStudio 服务器的实例类型。有关更多信息,请参阅 [RStudioServerPro 实例类型](rstudio-select-instance.md)。 1. 在**权限**下,创建您的角色或选择现有角色。该角色必须具有以下权限策略。此策略允许 RStudioServerPro 应用程序访问必要的资源。它还允许 SageMaker Amazon AI 在现有 RStudioServerPro RStudioServerPro应用程序处于`Deleted`或`Failed`状态时自动启动该应用程序。有关向角色添加权限的信息,请参阅[修改角色权限策略(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] } ``` ------ 1. 在 “**RStudio 连接**” 下,添加 C RStudio onnect 服务器的 URL。 RStudio Connect 是 Shiny 应用程序、R Markdown 报告、仪表板、绘图等的发布平台。当你 RStudio 在 SageMaker AI 上启动时,不会创建 RStudio Connect 服务器。有关更多信息,请参阅 [添加 RStudio Connect 网址](rstudio-configure-connect.md)。 1. 在 P **RStudio ackage Manager** 下,添加 RStudio包管理器的 URL。 SageMaker AI 会在您上线时为 Package Manager 创建默认的软件包存储库 RStudio。有关 Package Man RStudio ager 的更多信息,请参阅[更新 Package Man RStudio ager 网址](rstudio-configure-pm.md)。 1. 选择**下一步**。 + **Code Editor** 配置: 如果已启用 Code Editor,请参阅 [Amazon SageMaker Studio 中的代码编辑器](code-editor.md) 了解概述和配置详情。 #### 步骤 4:自定义 Studio 用户界面 在本节中,您可以自定义 Studio 中显示的可查看应用程序和机器学习 (ML) 工具。该自定义功能只隐藏 Studio 左侧导航窗格中的应用程序和 ML 工具。有关 Studio UI 的信息,请参阅 [亚马逊 SageMaker Studio 界面概述](studio-updated-ui.md)。 有关应用程序的信息,请参阅 [Amazon SageMaker Studio 支持的应用程序](studio-updated-apps.md)。 Studio Classic 中不提供自定义 Studio UI 功能。如果希望将 Studio 设置为默认体验,请选择**上一步**,然后返回上一步。 1. 在**自定义 Studio UI** 页面上,您可以通过切换隐藏 Studio 中显示的应用程序和 ML 工具。 1. 查看更改后,选择**下一步**。 #### 步骤 5:设置网络设置 选择您希望 Studio 连接到其他 Amazon 服务的方式。 您可以指定使用**仅虚拟私有云(VPC)**网络访问类型,从而禁用 Studio 的互联网访问。如果您选择此选项,则除非您的 VPC 具有指向 SageMaker API 和运行时的接口终端节点,或者具有互联网访问权限的网络地址转换 (NAT) 网关,并且您的安全组允许出站连接,否则您将无法运行 Studio 笔记本。有关 Amazon 的更多信息 VPCs,请参阅[选择 Amazon VPC](onboard-vpc.md)。 如果您选择虚拟私有云(VPC),则只需执行以下步骤。如果您选择**公共互联网访问**,则需要执行以下步骤中的前两个。 1. 在 **VPC** 下,选择 Amazon VPC ID。 1. 在**子网**下,选择一个或多个子网。如果您不选择任何子网, SageMaker AI 将使用 Amazon VPC 中的所有子网。我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受限可用区的更多信息,请参阅[可用区](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones)。 1. 在**安全组**下,选择一个或多个子网。 如果选择了 “**仅限 VPC**”, SageMaker AI 会自动将为该域定义的安全组设置应用于在该域中创建的所有共享空间。如果选择 “**仅限公共互联网**”, SageMaker AI 不会将安全组设置应用于在域中创建的共享空间。 #### 步骤 6:配置存储 您可以选择加密数据。创建域时,会为您创建 [Amazon Elastic File System (Amazon EFS)](https://docs.amazonaws.cn/efs/latest/ug/whatisefs.html) 和 [Amazon Elastic Block Store (Amazon EBS)](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/AmazonEBS.html) 文件系统。代码编辑器和 JupyterLab 空格都使用 Amazon EBS 的大小。 加密 Amazon EFS 和 Amazon EBS 文件系统后,您就不能更改加密密钥了。要加密 Amazon EFS 和 Amazon EBS 文件系统,您可以使用以下配置。 + 在**加密密钥 - *可选***下,保留为**无自定义加密**或选择现有 KMS 密钥,或选择**输入 KMS 密钥 ARN** 并输入 KMS 密钥的 ARN。 + 在**默认空间大小 - *可选***下,输入默认空间大小。 + 在**最大空间大小 - *可选***下,输入最大空间大小。 #### 步骤 7:审查和创建 查看域设置。如果您需要更改设置,请选择相关步骤旁边的**编辑**。确认域设置准确无误后,选择**提交**,域就为您创建好了。此过程可能需要几分钟时间。 ### 使用自定义设置 Amazon CLI 以下各节提供了使用 IAM 身份中心或 IAM 身份验证方法自定义设置域名的 Amazon CLI 说明。 满足先决条件(包括设置 Amazon CLI 证书)后[完成 Amazon A SageMaker I 先决条件](gs-set-up.md),请按照以下步骤操作。 1. 创建用于创建域和附加[AmazonSageMakerFullAccess](https://console.amazonaws.cn/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)策略的执行角色。您也可以使用至少具有附加信任策略的现有角色,该策略授予 SageMaker AI 代入该角色的权限。有关更多信息,请参阅 [如何使用 SageMaker AI 执行角色](sagemaker-roles.md)。 ``` aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess ``` 1. 获取账户的默认 Amazon Virtual Private Cloud (Amazon VPC)。 ``` aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text ``` 1. 获取默认 Amazon VPC 中的子网列表。 ``` aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json ``` 1. 通过默认 Amazon VPC ID、子网和执行角色 ARN 创建域。您还必须传递 SageMaker 图片 ARN。有关可用 JupyterLab 版本的信息 ARNs,请参阅[设置默认 JupyterLab 版本](studio-jl.md#studio-jl-set)。 对于 `authentication-mode`,使用 `SSO` 进行 IAM Identity Center 身份验证,或使用 `IAM` 进行 IAM 身份验证。 ``` aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text ``` 您可以使用自定义在 Amazon CLI Studio 中为该域显示的应用程序和机器学习工具[StudioWebPortalSettings](https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html)。使用 `HiddenAppTypes` 隐藏应用程序,使用 `HiddenMlTools` 隐藏 ML 工具。有关自定义 Studio 用户界面左侧导航的更多信息,请参阅 [在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序](studio-updated-ui-customize-tools-apps.md)。此功能不适用于 Studio Classic。 1. 确认域已创建。 ``` aws --region region sagemaker list-domains ``` ### 使用自定义设置 Amazon CloudFormation 有关使用创建域的信息 Amazon CloudFormation,请参阅《*Amazon CloudFormation 用户指南》[AWS::SageMaker::Domain](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-sagemaker-domain.html)中的。* 有关可用于设置域名的 Amazon CloudFormation 模板的示例,请参阅在`aws-samples` GitHub 存储库 Amazon CloudFormation中[使用创建 Amazon SageMaker AI 域](https://github.com/aws-samples/cloudformation-studio-domain)。 域设置完成后,管理用户可以查看和编辑域。有关更多信息,请参阅 [查看领域](domain-view.md) 和 [编辑域设置](domain-edit.md)。 ## 载入后访问域 用户可以使用以下方式访问 SageMaker AI: + 如果域是使用 IAM Identity Center 身份验证设置的,则为登录 URL。有关信息,请参阅[如何登录用户门户](https://docs.amazonaws.cn/singlesignon/latest/userguide/howtosignin.html)。 + A [SageMaker I 控制台](https://console.amazonaws.cn/sagemaker)。