Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichtung und Rechteverwaltung von Amazon SageMaker Canvas (für IT-Administratoren)
Auf den folgenden Seiten wird erklärt, wie IT-Administratoren Amazon SageMaker Canvas konfigurieren und Benutzern in ihren Organisationen Berechtigungen gewähren können. Sie erfahren, wie Sie die Speicherkonfiguration einrichten, die Datenverschlüsselung verwalten und VPCs den Zugriff auf bestimmte Funktionen wie generative KI-Grundmodelle steuern, die Integration mit anderen AWS Services wie Amazon Redshift und mehr. Wenn Sie diese Schritte befolgen, können Sie SageMaker Canvas auf die spezifischen Anforderungen Ihres Unternehmens auf Ihre Benutzer zuschneiden.
Sie können SageMaker Canvas auch mit für Ihre Benutzer einrichten AWS CloudFormation. Weitere Informationen finden Sie unter [AWS:: SageMaker AI: :App](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sagemaker-app.html) im *AWS CloudFormation Benutzerhandbuch*.
**Topics**
+ [Erteilen Sie Ihren Benutzern die Erlaubnis, lokale Dateien hochzuladen](canvas-set-up-local-upload.md)
+ [Richten Sie SageMaker Canvas für Ihre Benutzer ein](setting-up-canvas-sso.md)
+ [Konfigurieren Sie Ihren Amazon S3-Speicher](canvas-storage-configuration.md)
+ [Erteilen von Berechtigungen für kontoübergreifenden Amazon S3-Speicher](canvas-permissions-cross-account.md)
+ [Gewähren von Berechtigungen zur Verwendung großer Datenmengen während des gesamten ML-Lebenszyklus für Benutzer](canvas-large-data-permissions.md)
+ [Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS](canvas-kms.md)
+ [Speichern Sie SageMaker Canvas-Anwendungsdaten in Ihrem eigenen KI-Bereich SageMaker](canvas-spaces-setup.md)
+ [Erteilen Sie Ihren Benutzern die Erlaubnis, benutzerdefinierte Bild- und Textvorhersagemodelle zu erstellen](canvas-set-up-cv-nlp.md)
+ [Erteilen von Berechtigungen zur Verwendung von Amazon-Bedrock-Features und Features der generativen KI in Canvas](canvas-fine-tuning-permissions.md)
+ [Aktualisieren Sie SageMaker Canvas für Ihre Benutzer](canvas-update.md)
+ [Anfordern einer Kontingenterhöhung.](canvas-requesting-quota-increases.md)
+ [Benutzern Berechtigungen zum Importieren von Amazon Redshift-Daten gewähren](canvas-redshift-permissions.md)
+ [Erteilen Sie Ihren Benutzern die Erlaubnis, Prognosen an Quick zu senden](canvas-quicksight-permissions.md)
+ [Anwendungsverwaltung](canvas-manage-apps.md)
+ [Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren](canvas-vpc.md)
+ [Richten Sie Verbindungen zu Datenquellen ein mit OAuth](canvas-setting-up-oauth.md)
# Erteilen Sie Ihren Benutzern die Erlaubnis, lokale Dateien hochzuladen
Wenn Ihre Benutzer Dateien von ihren lokalen Computern auf SageMaker Canvas hochladen, müssen Sie eine CORS-Konfiguration (Cross-Origin Resource Sharing) an den Amazon S3 S3-Bucket anhängen, den sie verwenden. Bei der Einrichtung oder Bearbeitung der SageMaker AI-Domain oder des Benutzerprofils können Sie entweder einen benutzerdefinierten Amazon S3 S3-Standort oder den Standardspeicherort angeben, bei dem es sich um einen von SageMaker KI erstellten Amazon S3 S3-Bucket mit einem Namen handelt, der das folgende Muster verwendet:`s3://sagemaker-{Region}-{your-account-id}`. SageMaker Canvas fügt die Daten Ihrer Benutzer dem Bucket hinzu, wenn sie eine Datei hochladen.
Um Benutzern die Erlaubnis zu erteilen, lokale Dateien in den Bucket hochzuladen, können Sie mit einem der folgenden Verfahren eine CORS-Konfiguration an den Bucket anhängen. Sie können die erste Methode verwenden, wenn Sie die Einstellungen Ihrer Domain bearbeiten. Dabei entscheiden Sie sich dafür, dass SageMaker KI die CORS-Konfiguration für Sie an den Bucket anhängt. Sie können auch die erste Methode verwenden, um ein Benutzerprofil innerhalb einer Domain zu bearbeiten. Die zweite Methode ist die manuelle Methode, bei der Sie die CORS-Konfiguration selbst an den Bucket anhängen können.
## SageMaker Methode für AI-Domaineinstellungen
Um Ihren Benutzern die Berechtigung zum Hochladen lokaler Dateien zu erteilen, können Sie die Canvas-Anwendungskonfiguration in den Domaineinstellungen bearbeiten. Dadurch wird eine CORS-Konfiguration (Cross-Origin Resource Sharing) an den Amazon S3 S3-Bucket der Canvas-Speicherkonfiguration angehängt und allen Benutzern in der Domain die Berechtigung erteilt, lokale Dateien in Canvas hochzuladen. SageMaker Standardmäßig ist die Berechtigungsoption aktiviert, wenn Sie eine neue Domain einrichten. Sie können diese Option jedoch nach Bedarf ein- und ausschalten.
**Anmerkung**
Wenn Sie bereits über eine CORS-Konfiguration für den Amazon-S3-Bucket in der Speicherkonfiguration verfügen, wird durch das Aktivieren der Option zum Hochladen lokaler Dateien die vorhandene Konfiguration durch die neue Konfiguration überschrieben.
Das folgende Verfahren zeigt, wie Sie diese Option aktivieren können, indem Sie die Domain-Einstellungen in der SageMaker AI-Konsole bearbeiten.
1. Gehen Sie zur SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich die Option **Domains** aus.
1. Wählen Sie aus der Liste der Domains Ihre Domain aus.
1. Wählen Sie auf der Seite mit den Domaindetails die Registerkarte **App-Konfigurationen** aus.
1. Gehen Sie zum Bereich **Canvas** und wählen Sie **Bearbeiten** aus.
1. Aktivieren Sie den Schalter **Lokalen Datei-Upload aktivieren**. Hiermit wird die CORS-Konfiguration angehängt und die Berechtigung zum Hochladen lokaler Dateien erteilt.
1. Wählen Sie **Absenden** aus.
Benutzer in der angegebenen Domain sollten jetzt über Berechtigungen zum Hochladen lokaler Dateien verfügen.
Sie können auch bestimmten Benutzerprofilen in einer Domain Berechtigungen gewähren, indem Sie das oben beschriebene Verfahren befolgen und statt der allgemeinen Domaineinstellungen die Benutzerprofileinstellungen aufrufen.
## Amazon-S3-Bucket-Methode
Wenn Sie die CORS-Konfiguration manuell an den SageMaker AI Amazon S3 S3-Bucket anhängen möchten, gehen Sie wie folgt vor.
1. Melden Sie sich bei [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) an.
1. Wählen Sie Ihren Bucket aus. Wenn Ihre Domain den standardmäßigen, von SageMaker KI erstellten Bucket verwendet, verwendet der Name des Buckets das folgende Muster:`s3://sagemaker-{Region}-{your-account-id}`.
1. Wählen Sie **Berechtigungen**.
1. Navigieren Sie zu **Cross-origins resource sharing (CORS)**.
1. Wählen Sie **Bearbeiten** aus.
1. Fügen Sie die folgende CORS-Richtlinie hinzu:
```
[
{
"AllowedHeaders": [
"*"
],
"AllowedMethods": [
"POST"
],
"AllowedOrigins": [
"*"
],
"ExposeHeaders": []
}
]
```
1. Wählen Sie **Änderungen speichern ** aus.
In der vorangegangenen Prozedur muss die CORS-Richtlinie `"POST"` unter `AllowedMethods` aufgeführt haben.
Nachdem Sie das Verfahren durchlaufen haben, sollten Sie:
+ Jedem Ihrer Benutzer ist eine IAM-Rolle zugewiesen.
+ Amazon SageMaker Studio Classic-Laufzeitberechtigungen für jeden Ihrer Benutzer. SageMaker Canvas verwendet Studio Classic, um die Befehle Ihrer Benutzer auszuführen.
+ Wenn die Benutzer Dateien von ihren lokalen Computern hochladen, ist eine CORS-Richtlinie an ihren Amazon-S3-Bucket angehängt.
Wenn Ihre Benutzer die lokalen Dateien nach der Aktualisierung der CORS-Richtlinie immer noch nicht hochladen können, speichert der Browser möglicherweise die CORS-Einstellungen eines früheren Upload-Versuchs zwischen. Wenn Probleme auftreten, weisen Sie sie an, ihren Browser-Cache zu leeren, und versuchen Sie es erneut.
# Richten Sie SageMaker Canvas für Ihre Benutzer ein
Gehen Sie wie folgt vor, um Amazon SageMaker Canvas einzurichten:
+ Erstellen Sie eine Amazon SageMaker AI-Domain.
+ Erstellen Sie Benutzerprofile für die Domain.
+ Richten Sie Okta Single Sign-On (Okta SSO) für Ihre Benutzer ein.
+ Aktivieren Sie die gemeinsame Nutzung von Links für Modelle.
Verwenden Sie Okta Single-Sign On (Okta SSO), um Ihren Benutzern Zugriff auf Amazon Canvas zu gewähren. SageMaker SageMaker Canvas unterstützt SAML 2.0-SSO-Methoden. Die folgenden Abschnitte führen Sie durch die Verfahren zur Einrichtung von Okta SSO.
Um eine Domain einzurichten, lesen Sie [Benutzerdefiniertes Setup für Amazon SageMaker AI verwenden](onboard-custom.md) und befolgen Sie die Anweisungen zum Einrichten Ihrer Domain mithilfe der IAM-Authentifizierung. Die folgenden Informationen können Ihnen dabei helfen, das Verfahren in diesem Abschnitt abzuschließen:
+ Sie können den Schritt zum Erstellen von Projekten ignorieren.
+ Sie müssen keinen Zugriff auf zusätzliche Amazon-S3-Buckets bereitstellen. Ihre Benutzer können den Standard-Bucket verwenden, den wir bei der Erstellung einer Rolle bereitstellen.
+ Um Ihren Benutzern Zugriff auf die gemeinsame Nutzung ihrer Notebooks mit Datenwissenschaftlern zu gewähren, aktivieren Sie die **Konfiguration für die gemeinsame Nutzung von Notebooks**.
+ Verwenden Sie Amazon SageMaker Studio Classic Version 3.19.0 oder höher. Informationen zur Aktualisierung von Amazon SageMaker Studio Classic finden Sie unter[Amazon SageMaker Studio Classic herunterfahren und aktualisieren](studio-tasks-update-studio.md).
Gehen Sie wie folgt vor, um Okta einzurichten. Für alle folgenden Verfahren geben Sie dieselbe IAM-Rolle für `IAM-role` an.
## Fügen Sie die SageMaker Canvas-Anwendung zu Okta hinzu
Richten Sie die Anmeldemethode für Okta ein.
1. Melden Sie sich im Okta Admin-Dashboard an.
1. Wählen Sie **Anwendung hinzufügen**. Suchen Sie nach **AWS Account Federation**.
1. Wählen Sie **Hinzufügen** aus.
1. Optional: Ändern Sie den Namen in **Amazon SageMaker Canvas**.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **SAML 2.0** als **Anmeldemethode**.
1. Wählen Sie **Identity Provider Metadata**, um die Metadaten-XML-Datei zu öffnen. Speichern Sie die Datei lokal.
1. Wählen Sie **Fertig** aus.
## Richten Sie den ID-Verbund in IAM ein
AWS Identity and Access Management (IAM) ist der AWS Service, den Sie verwenden, um auf Ihr AWS Konto zuzugreifen. Sie erhalten AWS über ein IAM-Konto Zugriff darauf.
1. Melden Sie sich bei der AWS Konsole an.
1. Wählen Sie **AWS Identity and Access Management (IAM)**.
1. Wählen Sie **Identitätsanbieter**.
1. Wählen Sie **Anbieter erstellen**.
1. Geben Sie für **Anbieter konfigurieren** Folgendes an:
+ **Anbietertyp** – Wählen Sie in der Dropdown-Liste **SAML** aus.
+ **Anbietername** **– Geben Sie Okta** an.
+ **Metadaten-Dokument** – Laden Sie das XML-Dokument hoch, das Sie in Schritt 7 von [Fügen Sie die SageMaker Canvas-Anwendung zu Okta hinzu](#canvas-set-up-okta) lokal gespeichert haben.
1. Finden Sie Ihren Identitätsanbieter unter **Identitätsanbieter**. Kopieren Sie seinen **Anbieter-ARN**-Wert.
1. Wählen Sie unter **Rollen** die IAM-Rolle aus, die Sie für den Okta SSO-Zugriff verwenden.
1. Wählen Sie unter **Vertrauensstellung** für die IAM-Rolle die Option **Vertrauensstellung bearbeiten**.
1. Ändern Sie die IAM-Vertrauensstellungsrichtlinie, indem Sie den **ARN-Wert des Anbieters** angeben, den Sie kopiert haben, und fügen Sie die folgende Richtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/Okta"
},
"Action": [
"sts:SetSourceIdentity"
]
}
]
}
```
------
1. Fügen Sie für **Berechtigungen** die folgende Richtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*"
}
]
}
```
------
## Konfigurieren Sie SageMaker Canvas in Okta
Konfigurieren Sie Amazon SageMaker Canvas in Okta mit dem folgenden Verfahren.
Um Amazon SageMaker Canvas für die Verwendung von Okta zu konfigurieren, folgen Sie den Schritten in diesem Abschnitt. Sie müssen für jedes **SageMakerStudioProfileName**Feld eindeutige Benutzernamen angeben. Sie können es beispielsweise `user.login` als Wert verwenden. Wenn sich der Benutzername vom SageMaker Canvas-Profilnamen unterscheidet, wählen Sie ein anderes eindeutig identifizierendes Attribut. Sie können beispielsweise die ID-Nummer eines Mitarbeiters als Profilnamen verwenden.
Ein Beispiel für Werte, die Sie für **Attribute** festlegen können, finden Sie im Code, der dem Verfahren folgt.
1. Wählen Sie unter **Verzeichnis** die Option **Gruppen** aus.
1. Fügen Sie eine Gruppe mit dem folgenden Muster hinzu: `sagemaker#canvas#IAM-role#AWS-account-id`.
1. Öffnen Sie in Okta die Konfiguration für die Anwendungsintegration von **AWS Account Federation**.
1. Wählen Sie **Anmelden** für die AWS Account Federation-Anwendung aus.
1. Wählen Sie **Bearbeiten** und geben Sie Folgendes an:
+ SAML 2.0
+ **Standard-Relay-Status** — https://*Region*.console.aws.amazon. com/sagemaker/home? region= *Region* \$1/studio/canvas/open. *StudioId* Sie finden die Studio Classic-ID in der Konsole: [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie **Attribute**.
1. Geben Sie in den **SageMakerStudioProfileName**Feldern eindeutige Werte für jeden Benutzernamen an. Die Benutzernamen müssen mit den Benutzernamen übereinstimmen, die Sie in der AWS Konsole erstellt haben.
```
Attribute 1:
Name: https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerStudioUserProfileName
Value: ${user.login}
Attribute 2:
Name: https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys
Value: {"SageMakerStudioUserProfileName"}
```
1. Wählen Sie den **Umgebungstyp aus.** Wählen Sie **Regulär AWS**.
+ Wenn Ihr Umgebungstyp nicht aufgeführt ist, können Sie Ihre ACS-URL im Feld **ACS-URL** festlegen. Wenn Ihr Umgebungstyp aufgeführt ist, müssen Sie Ihre ACS-URL nicht eingeben
1. Geben Sie für **Identitätsanbieter-ARN** den ARN an, den Sie in Schritt 6 des vorherigen Verfahrens verwendet haben.
1. Geben Sie eine **Sitzungsdauer** an.
1. Wählen Sie **Allen Rollen beitreten** aus.
1. Aktivieren Sie **Gruppenzuordnung verwenden**, indem Sie die folgenden Felder angeben:
+ **App-Filter** – `okta`
+ **Gruppenfilter** – `^aws\#\S+\#(?IAM-role[\w\-]+)\#(?accountid\d+)$`
+ **Rollenwertmuster** – `arn:aws:iam::$accountid:saml-provider/Okta,arn:aws:iam::$accountid:role/IAM-role`
1. Wählen Sie **Speichern/Weiter**.
1. Weisen Sie die Anwendung unter **Zuweisungen** der Gruppe zu, die Sie erstellt haben.
## Fügen Sie optionale Richtlinien zur Zugriffskontrolle in IAM hinzu
In IAM können Sie die folgende Richtlinie auf den Administratorbenutzer anwenden, der die Benutzerprofile erstellt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateSageMakerStudioUserProfilePolicy",
"Effect": "Allow",
"Action": "sagemaker:CreateUserProfile",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"studiouserid"
]
}
}
}
]
}
```
------
Wenn Sie die vorherige Richtlinie dem Admin-Benutzer hinzufügen möchten, müssen Sie die folgenden Berechtigungen von [Richten Sie den ID-Verbund in IAM ein](#set-up-id-federation-IAM) verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPresignedUrlPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/studiouserid": "${aws:PrincipalTag/SageMakerStudioUserProfileName}"
}
}
}
]
}
```
------
# Konfigurieren Sie Ihren Amazon S3-Speicher
Wenn Sie Ihre SageMaker Canvas-Anwendung einrichten, ist der Standardspeicherort für Modellartefakte, Datensätze und andere Anwendungsdaten ein Amazon S3 S3-Bucket, den Canvas erstellt. Dieser standardmäßige Amazon S3 Bucket folgt dem Benennungsmuster `s3://sagemaker-{Region}-{your-account-id}` und befindet sich in der gleichen -Region wie Ihre Canvas-Anwendung. Sie können den Speicherort jedoch anpassen und Ihren eigenen Amazon-S3-Bucket zum Speichern von Canvas-Anwendungsdaten angeben. Möglicherweise möchten Sie aus einem der folgenden Gründe Ihren eigenen Amazon-S3-Bucket zum Speichern von Anwendungsdaten verwenden:
+ Ihr Unternehmen hat interne Namenskonventionen für Amazon-S3-Buckets.
+ Sie möchten den kontoübergreifenden Zugriff auf Modellartefakte oder andere Canvas-Daten ermöglichen.
+ Sie möchten interne Sicherheitsrichtlinien einhalten, z. B. die Beschränkung von Benutzern auf bestimmte Amazon-S3-Buckets oder Modellartefakte.
+ Sie möchten die Sichtbarkeit und den Zugriff auf die von Canvas erstellten Protokolle verbessern, unabhängig von der AWS Konsole oder SageMaker Studio Classic.
Indem Sie Ihren eigenen Amazon-S3-Bucket angeben, können Sie mehr Kontrolle über Ihren eigenen Speicher haben und die Vorschriften Ihrer Organisation einhalten.
Zu Beginn können Sie entweder eine neue SageMaker AI-Domäne oder ein neues Benutzerprofil erstellen oder eine vorhandene Domäne oder ein vorhandenes Benutzerprofil aktualisieren. Beachten Sie, dass die Benutzerprofileinstellungen die Einstellungen auf Domainebene überschreiben. Sie können beispielsweise die Standard-Bucket-Konfiguration auf Domain-Ebene verwenden, aber Sie können einen benutzerdefinierten Amazon-S3-Bucket für einen einzelnen Benutzer angeben. Nachdem Sie Ihren eigenen Amazon-S3-Bucket für die Domain oder das Benutzerprofil angegeben haben, erstellt Canvas einen Unterordner namens `Canvas/` unter dem eingegebenen Amazon-S3-URI und speichert alle in der Canvas-Anwendung erzeugten Artefakte in diesem Unterordner.
**Wichtig**
Wenn Sie eine bestehende Domain oder ein vorhandenes Benutzerprofil aktualisieren, haben Sie vom vorherigen Speicherort aus keinen Zugriff mehr auf Ihre Canvas-Artefakte. Ihre Dateien befinden sich immer noch am alten Amazon S3-Speicherort, aber Sie können sie nicht mehr von Canvas aus anzeigen. Die neue Konfiguration wird wirksam, wenn Sie sich das nächste Mal bei der Anwendung anmelden.
Weitere Informationen zur Gewährung von kontoübergreifendem Zugriff auf Ihren Amazon-S3-Bucket finden Sie unter [Gewähren von kontoübergreifenden Objektberechtigungen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html#access-policies-walkthrough-example4-overview) im *Amazon S3-Benutzerhandbuch*.
In den folgenden Abschnitten wird beschrieben, wie Sie einen benutzerdefinierten Amazon-S3-Bucket für Ihre Canvas-Speicherkonfiguration angeben. Wenn Sie eine neue SageMaker KI-Domain (oder einen neuen Benutzer in einer Domain) einrichten, verwenden Sie die [Neue Methode zur Einrichtung einer Domain](#canvas-storage-configuration-new-domain) oder die[Neue Einrichtungsmethode eines Benutzerprofils](#canvas-storage-configuration-new-user). Wenn Sie ein vorhandenes Canvas-Benutzerprofil haben und die Speicherkonfiguration des Profils aktualisieren möchten, verwenden Sie den [Bestehende Benutzermethode](#canvas-storage-configuration-existing-user).
## Bevor Sie beginnen
Wenn Sie eine Amazon S3 S3-URI von einem anderen AWS Konto angeben oder wenn Sie einen Bucket verwenden, der mit verschlüsselt ist AWS KMS, müssen Sie die Berechtigungen konfigurieren, bevor Sie fortfahren. Sie müssen AWS IAM-Berechtigungen gewähren, um sicherzustellen, dass Canvas Objekte in Ihren Bucket herunterladen und aus Ihrem Bucket hochladen kann. Ausführliche Informationen über die Erteilung der erforderlichen Berechtigungen finden Sie unter [Erteilen von Berechtigungen für kontoübergreifenden Amazon S3-Speicher](canvas-permissions-cross-account.md).
Darüber hinaus muss die endgültige Amazon-S3-URI für den Trainingsordner in Ihrem Canvas-Speicherort 128 Zeichen oder weniger lang sein. Die endgültige Amazon-S3-URI besteht aus Ihrem `s3:////` Bucket-Pfad und dem Pfad, den Canvas Ihrem Bucket hinzufügt: `Canvas//Training`. Ein akzeptabler Pfad mit weniger als 128 Zeichen ist beispielsweise `s3:////Canvas//Training`.
## Neue Methode zur Einrichtung einer Domain
Wenn Sie eine neue Domain- und Canvas-Anwendung einrichten, verwenden Sie diesen Abschnitt, um den Speicherort auf Domainebene zu konfigurieren. Diese Konfiguration gilt für alle neuen Benutzer, die Sie in der Domain erstellen, es sei denn, Sie geben einen anderen Speicherort für einzelne Benutzerprofile an.
Wenn Sie eine **Standardeinrichtung** für Ihre Domain durchführen, gehen Sie auf der Seite **Schritt 3: Anwendungen konfigurieren – optional** für den Abschnitt **Canvas** wie folgt vor:
1. Gehen Sie für die **Canvas-Speicherkonfiguration** wie folgt vor:
1. Wählen Sie **System verwaltet** aus, wenn Sie den Speicherort auf den standardmäßigen SageMaker AI-Bucket festlegen möchten, der dem Muster `s3://sagemaker-{Region}-{your-account-id}` folgt.
1. Wählen Sie **Benutzerdefiniertes S3**, um Ihren eigenen Amazon-S3-Bucket als Speicherort anzugeben. Geben Sie dann die Amazon-S3-URI ein.
1. (Optional) Geben Sie für den **Verschlüsselungsschlüssel** einen KMS-Schlüssel zur Verschlüsselung von Canvas-Artefakten an, die am angegebenen Speicherort gespeichert sind.
1. Beenden Sie die Einrichtung der Domain und wählen Sie **Absenden** aus.
Ihre Domain ist jetzt so konfiguriert, dass sie den Amazon S3 S3-Standort verwendet, den Sie für den SageMaker Canvas-Anwendungsspeicher angegeben haben.
## Neue Einrichtungsmethode eines Benutzerprofils
Wenn Sie ein neues Benutzerprofil in Ihrer Domain einrichten, verwenden Sie diesen Abschnitt, um den Speicherort für den Benutzer zu konfigurieren. Diese Konfiguration überschreibt die Konfiguration auf Domainebene.
Wenn Sie ein Benutzerprofil zu Ihrer Domain hinzufügen, gehen Sie in **Schritt 2: Anwendungen konfigurieren** wie folgt vor, um den Abschnitt **Canvas** zu konfigurieren:
1. Gehen Sie für die **Canvas-Speicherkonfiguration** wie folgt vor:
1. Wählen Sie **System verwaltet** aus, wenn Sie den Speicherort auf den standardmäßigen, von SageMaker KI erstellten Bucket festlegen möchten, der dem Muster folgt`s3://sagemaker-{Region}-{your-account-id}`.
1. Wählen Sie **Benutzerdefiniertes S3**, um Ihren eigenen Amazon-S3-Bucket als Speicherort anzugeben. Geben Sie dann die Amazon-S3-URI ein.
1. (Optional) Geben Sie für den **Verschlüsselungsschlüssel** einen KMS-Schlüssel zur Verschlüsselung von Canvas-Artefakten an, die am angegebenen Speicherort gespeichert sind.
1. Schließen Sie die Einrichtung des Benutzerprofils ab und wählen Sie **Absenden** aus.
Ihr Benutzerprofil ist jetzt so konfiguriert, dass es den Amazon S3 S3-Speicherort verwendet, den Sie für den SageMaker Canvas-Anwendungsspeicher angegeben haben.
## Bestehende Benutzermethode
Wenn Sie ein vorhandenes Canvas-Benutzerprofil haben und den Amazon S3 S3-Speicherort aktualisieren möchten, können Sie die SageMaker AI-Domain oder die Benutzerprofileinstellungen bearbeiten. Die Änderung wird wirksam, wenn Sie sich das nächste Mal bei der Canvas-Anwendung anmelden.
**Anmerkung**
Wenn Sie den Speicherort für eine vorhandene Canvas-Anwendung ändern, verlieren Sie den Zugriff auf Ihre Canvas-Artefakte vom vorherigen Speicherort. Die Artefakte werden immer noch am alten Amazon S3-Speicherort gespeichert, aber Sie können sie nicht mehr von Canvas aus anzeigen.
Denken Sie daran, dass die Benutzerprofileinstellungen die allgemeinen Domain-Einstellungen überschreiben, sodass Sie den Amazon-S3-Speicherort für bestimmte Benutzerprofile aktualisieren können, ohne ihn für alle Benutzer zu ändern. Sie können die Speicherkonfiguration für eine vorhandene Domain oder einen vorhandenen Benutzer mithilfe der folgenden Verfahren aktualisieren.
------
#### [ Update an existing domain ]
Gehen Sie wie folgt vor, um die Speicherkonfiguration für eine Domain zu aktualisieren.
1. Öffnen Sie die SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich **Admin-Konfigurationen**.
1. Wählen Sie unter **Admin-Konfigurationen** **Domains** aus.
1. Wählen Sie aus der Liste der Domains Ihre Domain aus.
1. Wählen Sie auf der Seite **Domaindetails** die Registerkarte **App-Konfigurationen** aus.
1. Scrollen Sie nach unten zum Bereich **Canvas** und wählen Sie **Bearbeiten** aus.
1. Die Seite **Canvas-Einstellungen bearbeiten** wird geöffnet. Gehen Sie im Abschnitt **Canvas-Speicherkonfiguration** wie folgt vor:
1. Wählen Sie **System verwaltet** aus, wenn Sie als Speicherort den standardmäßigen, von SageMaker KI erstellten Bucket festlegen möchten, der dem Muster folgt`s3://sagemaker-{Region}-{your-account-id}`.
1. Wählen Sie **Benutzerdefiniertes S3**, um Ihren eigenen Amazon-S3-Bucket als Speicherort anzugeben. Geben Sie dann die Amazon-S3-URI ein.
1. (Optional) Geben Sie für den **Verschlüsselungsschlüssel** einen KMS-Schlüssel zur Verschlüsselung von Canvas-Artefakten an, die am angegebenen Speicherort gespeichert sind.
1. Schließen Sie alle anderen Änderungen ab, die Sie an der Domain vornehmen möchten, und wählen Sie dann **Absenden**, um Ihre Änderungen zu speichern.
------
#### [ Update an existing user profile ]
Gehen Sie wie folgt vor, um die Speicherkonfiguration für ein Benutzerprofil zu aktualisieren.
1. Öffnen Sie die SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich **Admin-Konfigurationen**.
1. Wählen Sie unter **Admin-Konfigurationen** **Domains** aus.
1. Wählen Sie aus der Liste der **Domains** Ihre Domain aus.
1. Wählen Sie in der Liste der Benutzer in der Domain den Benutzer aus, dessen Konfiguration Sie bearbeiten möchten.
1. Wählen Sie auf der Seite **Benutzerdetails** die Option **Bearbeiten**.
1. Wählen Sie im Navigationsbereich **Canvas-Einstellungen**.
1. Gehen Sie für die **Canvas-Speicherkonfiguration** wie folgt vor:
1. Wählen Sie **System verwaltet** aus, wenn Sie den Standort auf den SageMaker Standard-AI-Bucket festlegen möchten, der dem Muster folgt`s3://sagemaker-{Region}-{your-account-id}`.
1. Wählen Sie **Benutzerdefiniertes S3**, um Ihren eigenen Amazon-S3-Bucket als Speicherort anzugeben. Geben Sie dann die Amazon-S3-URI ein.
1. (Optional) Geben Sie für den **Verschlüsselungsschlüssel** einen KMS-Schlüssel zur Verschlüsselung von Canvas-Artefakten an, die am angegebenen Speicherort gespeichert sind.
1. Schließen Sie alle anderen Änderungen ab, die Sie am Benutzerprofil vornehmen möchten, und wählen Sie dann **Absenden**, um Ihre Änderungen zu speichern.
------
Der Speicherort für Ihr Canvas-Benutzerprofil sollte jetzt aktualisiert sein. Wenn Sie sich das nächste Mal bei der Canvas-Anwendung anmelden, erhalten Sie eine Benachrichtigung, dass der Speicherort aktualisiert wurde. Sie verlieren den Zugriff auf alle früheren Artefakte, die Sie in Canvas erstellt haben. Sie können weiterhin auf die Dateien in Amazon S3 zugreifen, aber Sie können sie nicht mehr in Canvas anzeigen.
# Erteilen von Berechtigungen für kontoübergreifenden Amazon S3-Speicher
Wenn Sie Ihre SageMaker AI-Domain oder Ihr Benutzerprofil einrichten, damit Benutzer auf SageMaker Canvas zugreifen können, geben Sie einen Amazon S3 S3-Speicherort für Canvas-Artefakte an. Zu diesen Artefakten gehören gespeicherte Kopien Ihrer Eingabedatensätze, Modellartefakte, Vorhersagen und andere Anwendungsdaten. Sie können entweder den standardmäßigen, von SageMaker KI erstellten Amazon S3 S3-Bucket verwenden oder Sie können den Speicherort anpassen und Ihren eigenen Bucket zum Speichern von Canvas-Anwendungsdaten angeben.
Sie können einen Amazon S3 S3-Bucket in einem anderen AWS Konto zum Speichern Ihrer Canvas-Daten angeben, aber zuerst müssen Sie kontoübergreifende Berechtigungen gewähren, damit Canvas auf den Bucket zugreifen kann.
In den folgenden Abschnitten wird beschrieben, wie Sie Canvas Berechtigungen für das Hoch- und Herunterladen von Objekten in einen Amazon-S3-Bucket in einem anderen Konto gewähren. Es gibt zusätzliche Berechtigungen für den Fall, dass Ihr Bucket mit AWS KMS verschlüsselt ist.
## Voraussetzungen
Bevor Sie beginnen, sollten Sie die folgenden Anforderungen prüfen:
+ Kontoübergreifende Amazon S3 S3-Buckets (und alle zugehörigen AWS KMS Schlüssel) müssen sich in derselben AWS Region befinden wie die Canvas-Benutzerdomäne oder das Benutzerprofil.
+ Die endgültige Amazon-S3-URI für den Trainingsordner in Ihrem Canvas-Speicherort muss 128 Zeichen oder weniger lang sein. Die endgültige S3-URI besteht aus Ihrem `s3:////` Bucket-Pfad und dem Pfad, den Canvas Ihrem Bucket hinzufügt: `Canvas//Training`. Ein akzeptabler Pfad mit weniger als 128 Zeichen ist beispielsweise `s3:////Canvas//Training`.
## Berechtigungen für kontoübergreifende Amazon-S3-Buckets
Im folgenden Abschnitt werden die grundlegenden Schritte zur Erteilung der erforderlichen Berechtigungen beschrieben, damit Canvas in einem anderen Konto auf Ihren Amazon-S3-Bucket zugreifen kann. Eine detailliertere Anleitung finden Sie unter [Beispiel 2: Bucket-Besitzer, der kontoübergreifende Bucket-Berechtigungen gewährt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html), im *Amazon S3-Benutzerhandbuch*.
1. Erstellen Sie einen Amazon-S3-Bucket, `bucketA`, in Konto A.
1. Der Canvas-Benutzer ist in einem anderen Konto namens Konto B vorhanden. In den folgenden Schritten beziehen wir uns auf die IAM-Rolle des Canvas-Benutzers wie `roleB` in Konto B.
Erteilen Sie der IAM-Rolle `roleB` in Konto B die Berechtigung zum Herunterladen (`GetObject`) und Hochladen (`PutObject`) von Objekten zu und von `bucketA` in Konto A, indem Sie eine IAM-Richtlinie anhängen.
Um den Zugriff auf einen bestimmten Bucket-Ordner zu beschränken, definieren Sie den Ordnernamen im Ressourcenelement, z. B. `arn:aws:s3:::/FolderName/*`. Weitere Informationen finden Sie unter [Wie kann ich IAM-Richtlinien verwenden, um benutzerspezifischen Zugriff auf bestimmte Ordner zu gewähren?](https://aws.amazon.com/premiumsupport/knowledge-center/iam-s3-user-specific-folder/)
**Anmerkung**
Aktionen auf Bucket-Ebene, wie z. B. `GetBucketCors` und `GetBucketLocation`, sollten für Ressourcen auf Bucket-Ebene hinzugefügt werden, nicht für Ordner.
Das folgende Beispiel für eine IAM-Richtlinie gewährt die erforderlichen Berechtigungen für `roleB` den Zugriff auf Objekte in: `bucketA`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucketA/FolderName/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucketA"
]
}
]
}
```
------
1. Konfigurieren Sie die Bucket-Richtlinie für `bucketA` in Konto A, um der IAM-Rolle `roleB` in Konto B Berechtigungen zu gewähren.
**Anmerkung**
Administratoren müssen außerdem die Option **Gesamten öffentlichen Zugriff blockieren** im Bereich **Berechtigungen** für den Bucket deaktivieren.
Es folgt ein Beispiel für eine Bucket-Policy für `bucketA`, um `roleB` die erforderlichen Berechtigungen zu erteilen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::bucketA/FolderName/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:ListBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucketA"
}
]
}
```
------
Nachdem Sie die vorherigen Berechtigungen konfiguriert haben, kann Ihr Canvas-Benutzerprofil in Konto B nun den Amazon S3-Bucket in Konto A als Speicherort für Canvas-Artefakte verwenden.
## Berechtigungen für kontoübergreifende Amazon S3 S3-Buckets, verschlüsselt mit AWS KMS
Das folgende Verfahren zeigt Ihnen, wie Sie die erforderlichen Berechtigungen erteilen, damit Canvas auf Ihren Amazon S3 S3-Bucket in einem anderen Konto zugreifen kann, das mit verschlüsselt ist AWS KMS. Die Schritte ähneln dem obigen Verfahren, jedoch mit zusätzlichen Berechtigungen. Weitere Informationen über die [Gewährung von kontenübergreifendem KMS-Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) finden Sie im *AWS KMS Entwicklerhandbuch* unter Zulassen der Verwendung eines KMS-Schlüssels durch Benutzer in anderen Konten.
1. Erstellen Sie einen Amazon-S3-Bucket `bucketA` und einen KMS-Schlüssel von Amazon S3, `s3KmsInAccountA`, in Konto A.
1. Der Canvas-Benutzer ist in einem anderen Konto namens Konto B vorhanden. In den folgenden Schritten beziehen wir uns auf die IAM-Rolle des Canvas-Benutzers wie `roleB` in Konto B.
Erteilen Sie der IAM-Rolle `roleB` in Konto B die Erlaubnis, Folgendes zu tun:
+ Herunterladen (`GetObject`) und Hochladen (`PutObject`) von Objekten auf und von `bucketA` in Konto A.
+ Greifen Sie auf den AWS KMS Schlüssel `s3KmsInAccountA` in Konto A zu.
Die folgende Beispiel-IAM-Richtlinie gewährt die erforderlichen Berechtigungen für `roleB`, um auf Objekte in `bucketA` zuzugreifen und den KMS-Schlüssel `s3KmsInAccountA` zu verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucketA/FolderName/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucketA"
]
},
{
"Action": [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:Decrypt"
],
"Effect": "Allow",
"Resource": "arn:aws:kms:us-east-1:111122223333:key/s3KmsInAccountA"
}
]
}
```
------
1. Konfigurieren Sie die Bucket-Richtlinie für `bucketA` und die Schlüsselrichtlinie für `s3KmsInAccountA` in Konto A, um der IAM-Rolle `roleB` in Konto B Berechtigungen zu gewähren.
Im Folgenden finden Sie ein Beispiel für eine Bucket-Policy für `bucketA`, mit der die erforderlichen Berechtigungen für `roleB` erteilt werden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::bucketA/FolderName/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/roleB"
},
"Action": [
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucketA"
}
]
}
```
------
Das folgende Beispiel ist eine Schlüsselrichtlinie, die Sie an den KMS-Schlüssel `s3KmsInAccountA` in Konto A anhängen, um `roleB` Zugriff zu gewähren. Weitere Informationen zum Erstellen und Anhängen einer wichtigen Richtlinienerklärung finden Sie unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im *AWS KMS Entwicklerhandbuch*.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::accountB:role/roleB"
]
},
"Action": [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:Decrypt"
],
"Resource": "*"
}
```
Nachdem Sie die vorherigen Berechtigungen konfiguriert haben, kann Ihr Canvas-Benutzerprofil in Konto B nun den verschlüsselten Amazon-S3-Bucket in Konto A als Speicherort für Canvas-Artefakte verwenden.
# Gewähren von Berechtigungen zur Verwendung großer Datenmengen während des gesamten ML-Lebenszyklus für Benutzer
Amazon SageMaker Canvas-Benutzer, die mit Datensätzen arbeiten, die größer als 10 GB im CSV-Format oder 2,5 GB im Parquet-Format sind, benötigen spezielle Berechtigungen für die Verarbeitung großer Datenmengen. Diese Berechtigungen sind für die Verwaltung umfangreicher Daten während des gesamten Machine-Learning-Lebenszyklus unerlässlich. Wenn Datensätze die angegebenen Schwellenwerte oder die lokale Speicherkapazität der Anwendung überschreiten, verwendet SageMaker Canvas Amazon EMR Serverless für eine effiziente Verarbeitung. Dies gilt in folgenden Fällen:
+ Datenimport: Importieren Sie umfangreiche Datensätze mit zufälliger oder geschichteter Stichprobenauswahl.
+ Datenaufbereitung: Exportieren Sie verarbeitete Daten aus Data Wrangler in Canvas nach Amazon S3, in einen neuen Canvas-Datensatz oder in ein Canvas-Modell.
+ Modellbildung: Training von Modellen anhand umfangreicher Datensätze.
+ Inferenz: Vorhersagen auf der Grundlage umfangreicher Datensätze treffen.
Standardmäßig verwendet SageMaker Canvas EMR Serverless, um diese Remote-Jobs mit den folgenden App-Einstellungen auszuführen:
+ Vorinitialisierte Kapazität: nicht konfiguriert
+ Anwendungsgrenzen: Maximale Kapazität von 400 VCPUs, maximal 16 V gleichzeitig CPUs pro Konto, 3000 GB Arbeitsspeicher, 20000 GB Festplatte
+ Metastore-Konfiguration: AWS Glue Data Catalog
+ Anwendungsprotokolle: AWS verwalteter Speicher (aktiviert) unter Verwendung eines AWS eigenen Verschlüsselungsschlüssels
+ Verhalten der Anwendung: Startet automatisch bei der Übermittlung eines Auftrags und beendet sich automatisch, nachdem die Anwendung 15 Minuten lang inaktiv war.
Um diese umfangreichen Datenverarbeitungsfunktionen zu aktivieren, benötigen Benutzer die erforderlichen Berechtigungen, die über die Amazon SageMaker AI-Domaineinstellungen erteilt werden können. Die Methode zur Erteilung dieser Berechtigungen hängt davon ab, wie Ihre Amazon SageMaker AI-Domain ursprünglich eingerichtet wurde. Wir behandeln drei Hauptszenarien:
+ Schnelle Domaineinrichtung
+ Benutzerdefiniertes Domain-Setup (mit öffentlicher access/without Internet-VPC)
+ Benutzerdefinierte Domaineinrichtung (mit VPC und ohne öffentlichem Internetzugang)
Jedes Szenario erfordert spezifische Schritte, um sicherzustellen, dass Benutzer über die erforderlichen Berechtigungen verfügen, um EMR Serverless für die Verarbeitung großer Datenmengen über den gesamten Lebenszyklus des maschinellen Lernens in SageMaker Canvas zu nutzen.
## Szenario 1: Schnelle Domaineinrichtung
Wenn Sie bei der Erstellung Ihrer SageMaker KI-Domain die Option **Quick Setup** verwendet haben, gehen Sie wie folgt vor:
1. Navigieren Sie zu den Amazon SageMaker AI-Domaineinstellungen:
1. Öffnen Sie die Amazon SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich die Option **Domains** aus.
1. Wählen Sie Ihre Domain aus.
1. Wechseln Sie zur Registerkarte **App-Konfiguration**.
1. Scrollen Sie zum Bereich **Canvas** und wählen Sie **Bearbeiten** aus.
1. Aktivieren Sie die Verarbeitung großer Datenmengen:
1. Aktivieren Sie im Abschnitt **Konfiguration für die Verarbeitung großer Datenmengen** die Option **EMR Serverless für die Verarbeitung großer Datenmengen aktivieren**.
1. Erstellen Sie eine EMR-Serverless-Rolle oder wählen Sie sie aus:
1. Wählen Sie **Eine neue Ausführungsrolle erstellen und verwenden**, um eine neue IAM-Rolle zu erstellen, die eine Vertrauensbeziehung zu EMR Serverless und der zugehörigen [AWS verwaltete Richtlinie: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](security-iam-awsmanpol-canvas.md#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)-Richtlinie aufweist. Diese IAM-Rolle wird von Canvas übernommen, um EMR-Serverless-Aufträge zu erstellen.
1. Wenn Sie bereits über eine Ausführungsrolle mit einer Vertrauensstellung für EMR Serverless verfügen, wählen Sie **Bestehende Ausführungsrolle verwenden** und wählen Sie Ihre Rolle aus der Dropdown-Liste aus.
+ Die bestehende Rolle muss einen Namen haben, der mit dem Präfix `AmazonSageMakerCanvasEMRSExecutionAccess-` beginnt.
+ Die von Ihnen ausgewählte Rolle sollte außerdem mindestens über die in der [AWS verwaltete Richtlinie: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](security-iam-awsmanpol-canvas.md#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)-Richtlinie beschriebenen Berechtigungen verfügen.
+ Die Rolle sollte über eine EMR–Serverless-Vertrauensrichtlinie verfügen, wie unten dargestellt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EMRServerlessTrustPolicy",
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. (Optional) Fügen Sie Amazon S3-Berechtigungen für benutzerdefinierte Amazon-S3-Buckets hinzu:
1. Die von Canvas verwaltete Richtlinie gewährt automatisch Lese- und Schreibberechtigungen für Amazon-S3-Buckets, die `sagemaker` oder `SageMaker AI` in ihrem Namen enthalten. Es gewährt auch Leserechte für Objekte in benutzerdefinierten Amazon S3-Buckets mit dem Tag `"SageMaker": "true"`.
1. Für benutzerdefinierte Amazon-S3-Buckets ohne das erforderliche Tag fügen Sie bitte die folgende Richtlinie zu Ihrer EMR-Serverless-Rolle hinzu:
1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. Wir empfehlen Ihnen, die Berechtigungen auf bestimmte Amazon-S3-Buckets zu beschränken, auf die Canvas zugreifen soll.
1. Speichern Sie Ihre Änderungen und starten Sie Ihre SageMaker Canvas-Anwendung neu.
## Szenario 2: Benutzerdefiniertes Domain-Setup (mit öffentlicher access/without Internet-VPC)
Wenn Sie eine benutzerdefinierte Domain erstellt haben oder verwenden, befolgen Sie bitte die Schritte 1 bis 3 aus Szenario 1 und führen Sie anschließend die folgenden zusätzlichen Schritte aus:
1. Fügen Sie Ihrer Amazon SageMaker AI-Ausführungsrolle Berechtigungen für den Amazon `DescribeImages` ECR-Vorgang hinzu, da Canvas öffentliche Amazon ECR-Docker-Images für die Datenvorbereitung und das Modelltraining verwendet:
1. Melden Sie sich bei der AWS Konsole an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie **Roles**.
1. Suchen Sie im Suchfeld anhand des Namens nach Ihrer SageMaker AI-Ausführungsrolle und wählen Sie sie aus.
1. Fügen Sie Ihrer SageMaker KI-Ausführungsrolle die folgende Richtlinie hinzu. Dies kann entweder durch Hinzufügen als neue Inline-Richtlinie oder durch Anhängen der Richtlinienerklärung an eine bestehende Richtlinie erfolgen. Beachten Sie, dass einer IAM-Rolle maximal 10 Richtlinien zugeordnet werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ECRDescribeImagesOperation",
"Effect": "Allow",
"Action": "ecr:DescribeImages",
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-data-wrangler-emr-container",
"arn:aws:ecr:*:*:repository/ap-dataprep-emr"
]
}]
}
```
------
1. Speichern Sie Ihre Änderungen und starten Sie Ihre SageMaker Canvas-Anwendung neu.
## Szenario 3: benutzerdefinierte Domaineinrichtung (mit VPC und ohne öffentlichen Internetzugang)
Wenn Sie eine benutzerdefinierte Domain erstellt haben oder verwenden, befolgen Sie bitte alle Schritte aus Szenario 2 und anschließend die folgenden zusätzlichen Schritte:
1. Stellen Sie sicher, dass Ihre VPC-Subnetze privat sind:
1. Überprüfen Sie, ob die Routingtabelle für Ihre Subnetze keinen Eintrag `0.0.0.0/0` enthält, der einem Internet-Gateway zugeordnet ist.
1. Fügen Sie Berechtigungen zum Erstellen von Netzwerkschnittstellen hinzu:
1. Wenn Sie SageMaker Canvas mit EMR Serverless für die umfangreiche Datenverarbeitung verwenden, benötigt EMR Serverless die Möglichkeit, Amazon EC2 zu erstellen, um die Netzwerkkommunikation zwischen EMR Serverless-Anwendungen und Ihren VPC-Ressourcen ENIs zu ermöglichen.
1. Fügen Sie Ihrer Amazon SageMaker AI-Ausführungsrolle die folgende Richtlinie hinzu. Dies kann entweder durch Hinzufügen als neue Inline-Richtlinie oder durch Anhängen der Richtlinienerklärung an eine bestehende Richtlinie erfolgen. Beachten Sie, dass einer IAM-Rolle maximal 10 Richtlinien zugeordnet werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEC2ENICreation",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "ops.emr-serverless.amazonaws.com"
}
}
}
]
}
```
------
1. (Optional) Beschränken Sie die ENI-Erstellung auf bestimmte Subnetze:
1. Um Ihr Setup weiter zu sichern, indem Sie die Erstellung von Subnetzen innerhalb Ihrer VPC ENIs auf bestimmte Subnetze beschränken, können Sie jedes Subnetz mit bestimmten Bedingungen kennzeichnen.
1. Verwenden Sie die folgende IAM-Richtlinie, um sicherzustellen, dass serverlose EMR-Anwendungen Amazon EC2 nur ENIs innerhalb der zulässigen Subnetze und Sicherheitsgruppen erstellen können:
```
{
"Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/KEY": "VALUE"
}
}
}
```
1. Folgen Sie den Schritten auf der Seite[Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren](canvas-vpc.md), um den VPC-Endpunkt für Amazon S3 festzulegen, der für EMR Serverless und andere AWS Services, die von Canvas verwendet werden, erforderlich ist. SageMaker
1. Speichern Sie Ihre Änderungen und starten Sie Ihre SageMaker Canvas-Anwendung neu.
Wenn Sie diese Schritte ausführen, können Sie die Verarbeitung großer Datenmengen in SageMaker Canvas für verschiedene Domain-Setups aktivieren, einschließlich solcher mit benutzerdefinierten VPC-Konfigurationen. Denken Sie daran, Ihre SageMaker Canvas-Anwendung neu zu starten, nachdem Sie diese Änderungen vorgenommen haben, um die neuen Berechtigungen zu übernehmen.
# Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS
Möglicherweise haben Sie Daten, die Sie bei der Nutzung von Amazon SageMaker Canvas verschlüsseln möchten, z. B. Ihre privaten Unternehmensinformationen oder Kundendaten. SageMaker Canvas verwendet AWS Key Management Service , um Ihre Daten zu schützen. AWS KMS ist ein Dienst, mit dem Sie kryptografische Schlüssel zur Verschlüsselung Ihrer Daten erstellen und verwalten können. Weitere Informationen AWS KMS dazu finden Sie [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)im *AWS KMS Entwicklerhandbuch*.
Amazon SageMaker Canvas bietet Ihnen mehrere Optionen zum Verschlüsseln Ihrer Daten. SageMaker Canvas bietet eine Standardverschlüsselung innerhalb der Anwendung für Aufgaben wie die Erstellung Ihres Modells und die Generierung von Erkenntnissen. Sie können sich auch dafür entscheiden, in Amazon S3 gespeicherte Daten zu verschlüsseln, um Ihre ruhenden Daten zu schützen. SageMaker Canvas unterstützt den Import verschlüsselter Datensätze, sodass Sie einen verschlüsselten Workflow einrichten können. In den folgenden Abschnitten wird beschrieben, wie Sie AWS KMS Verschlüsselung verwenden können, um Ihre Daten beim Erstellen von Modellen mit SageMaker Canvas zu schützen.
## Verschlüsseln Sie Ihre Daten in Canvas SageMaker
Mit SageMaker Canvas können Sie zwei verschiedene AWS KMS Verschlüsselungsschlüssel verwenden, um Ihre Daten in SageMaker Canvas zu verschlüsseln. Diese können Sie bei der [Einrichtung Ihrer Domain mit dem Standard-Domain-Setup](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html) angeben. Diese Schlüssel werden in den folgenden Schritten zur Einrichtung der Domain angegeben:
+ **Schritt 3: Anwendungen konfigurieren – (Optional)** – Bei der Konfiguration des Abschnitts **Canvas-Speicherkonfigurationen** können Sie einen **Verschlüsselungsschlüssel** angeben. Dies ist ein KMS-Schlüssel, den SageMaker Canvas für die langfristige Speicherung von Modellobjekten und Datensätzen verwendet, die im bereitgestellten Amazon S3 S3-Bucket für Ihre Domain gespeichert sind. Wenn Sie eine Canvas-Anwendung mit der [CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)API erstellen, verwenden Sie das `S3KMSKeyId` Feld, um diesen Schlüssel anzugeben.
+ **Schritt 6: Speicher konfigurieren** — SageMaker Canvas verwendet einen Schlüssel für die Verschlüsselung des privaten Amazon SageMaker Studio-Bereichs, der für Ihre Canvas-Anwendung erstellt wurde. Dazu gehören temporärer Anwendungsspeicher, Visualisierungen und Rechenaufträge (z. B. das Erstellen von Modellen). Sie können entweder den AWS verwalteten Standardschlüssel verwenden oder Ihren eigenen angeben. Wenn Sie Ihren AWS KMS Schlüssel angeben, werden die im `/home/sagemaker-user` Verzeichnis gespeicherten Daten mit Ihrem Schlüssel verschlüsselt. Wenn Sie keinen AWS KMS Schlüssel angeben, werden die `/home/sagemaker-user` darin enthaltenen Daten mit einem AWS verwalteten Schlüssel verschlüsselt. Unabhängig davon, ob Sie einen AWS KMS Schlüssel angeben, werden alle Daten außerhalb des Arbeitsverzeichnisses mit einem AWS verwalteten Schlüssel verschlüsselt. Weitere Informationen über den Studio-Bereich und Ihren Canvas-Anwendungsspeicher finden Sie unter [Speichern Sie SageMaker Canvas-Anwendungsdaten in Ihrem eigenen KI-Bereich SageMaker](canvas-spaces-setup.md). Wenn Sie eine Canvas-Anwendung mit der [CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)API erstellen, verwenden Sie das `KmsKeyID` Feld, um diesen Schlüssel anzugeben.
Die obigen Schlüssel können dieselben oder unterschiedliche KMS-Schlüssel sein.
### Voraussetzungen
Um Ihren eigenen KMS-Schlüssel für einen der zuvor beschriebenen Zwecke zu verwenden, müssen Sie zunächst der IAM-Rolle Ihres Benutzers die Berechtigung zur Verwendung des Schlüssels erteilen. Anschließend können Sie den KMS-Schlüssel bei der Einrichtung Ihrer Domain angeben.
Die einfachste Methode, Ihrer Rolle die Erlaubnis zur Verwendung des Schlüssels zu erteilen, besteht darin, die Schlüsselrichtlinie zu ändern. Gehen Sie wie folgt vor, um Ihrer Rolle die erforderlichen Berechtigungen zu erteilen.
1. Öffnen Sie die [AWS KMS -Konsole](https://console.aws.amazon.com/kms/).
1. Wählen Sie im Abschnitt **Key Policy (Schlüsselrichtlinie)** die Option **Switch to policy view (Zur Richtlinienansicht wechseln)** aus.
1. Ändern Sie die Richtlinie des Schlüssels, um der IAM-Rolle Berechtigungen für die `kms:GenerateDataKey` und `kms:Decrypt` -Aktionen zu gewähren. Wenn Sie außerdem die Schlüsselrichtlinie ändern, die Ihren Canvas-Anwendungsspeicher im Studio-Bereich verschlüsselt, gewähren Sie die `kms:CreateGrant`-Aktion. Sie können eine Anweisung hinzufügen, die der folgenden ähnelt:
```
{
"Sid": "ExampleStmt",
"Action": [
"kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Resource": "*"
}
```
1. Wählen Sie **Änderungen speichern ** aus.
Die weniger bevorzugte Methode besteht darin, die IAM-Rolle des Benutzers so zu ändern, dass dem Benutzer Berechtigungen zur Verwendung oder Verwaltung des KMS-Schlüssels erteilt werden. Wenn Sie diese Methode verwenden, muss die KMS-Schlüsselrichtlinie auch die Zugriffsverwaltung über IAM zulassen. Informationen zum Erteilen von Berechtigungen für einen KMS-Schlüssel über die IAM-Rolle des Benutzers finden Sie im *AWS KMS Entwicklerhandbuch* unter [Angabe von KMS-Schlüsseln in IAM-Richtlinienerklärungen](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html).
### Verschlüsseln Sie Ihre Daten in der SageMaker Canvas-Anwendung
Der erste KMS-Schlüssel, den Sie in SageMaker Canvas verwenden können, wird für die Verschlüsselung von Anwendungsdaten verwendet, die auf Amazon Elastic Block Store (Amazon EBS) -Volumes und im Amazon Elastic File System gespeichert sind, das SageMaker KI in Ihrer Domain erstellt. SageMaker Canvas verschlüsselt Ihre Daten mit diesem Schlüssel in der zugrunde liegenden Anwendung und den temporären Speichersystemen, die bei der Verwendung von Compute-Instances für die Erstellung von Modellen und die Generierung von Erkenntnissen erstellt werden. SageMaker Canvas gibt den Schlüssel immer dann an andere AWS Dienste wie Autopilot weiter, wenn SageMaker Canvas mit ihnen Jobs zur Verarbeitung Ihrer Daten initiiert.
Sie können diesen Schlüssel angeben, indem Sie die `KmsKeyID` im `CreateDomain`-API-Aufruf oder bei der Einrichtung der Standarddomain in der Konsole festlegen. Wenn Sie keinen eigenen KMS-Schlüssel angeben, verwendet SageMaker AI einen standardmäßigen AWS verwalteten KMS-Schlüssel, um Ihre Daten in der Canvas-Anwendung zu verschlüsseln. SageMaker
Um Ihren eigenen KMS-Schlüssel für die Verwendung in der SageMaker Canvas-Anwendung über die Konsole anzugeben, richten Sie zunächst Ihre Amazon SageMaker AI-Domain mit dem **Standard-Setup** ein. Gehen Sie wie folgt vor, um den **Bereich Netzwerk und Speicher** für die Domain auszufüllen.
1. Füllen Sie Ihre gewünschten Amazon VPC-Einstellungen aus.
1. Wählen Sie unter **Verschlüsselungsschlüssel** die Option **Eingabe eines KMS-Schlüssels ARN** aus.
1. Geben Sie für **KMS-ARN** den ARN für Ihren KMS-Schlüssel ein, der ein Format haben sollte, das dem folgenden ähnelt: `arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
### Verschlüsseln Sie Ihre in Amazon S3 gespeicherten SageMaker Canvas-Daten
Der zweite KMS-Schlüssel, den Sie angeben können, wird für Daten verwendet, die SageMaker Canvas in Amazon S3 speichert. Dieser KMS-Schlüssel wird im `S3KMSKeyId` Feld im `CreateDomain` API-Aufruf oder bei der Standarddomäneneinrichtung in der SageMaker AI-Konsole angegeben. SageMaker Canvas speichert Duplikate Ihrer Eingabedatensätze, Anwendungs- und Modelldaten sowie Ausgabedaten im standardmäßigen SageMaker AI S3-Bucket der Region für Ihr Konto. Das Benennungsmuster für diesen Bucket lautet`s3://sagemaker-{Region}-{your-account-id}`, und SageMaker Canvas speichert Daten im `Canvas/` Ordner.
1. Aktivieren Sie die Option **Freigabe von Notebook-Ressourcen aktivieren**.
1. Behalten Sie für den **S3-Standort für gemeinsam nutzbare Notebook-Ressourcen** den Amazon S3-Standardpfad bei. Beachten Sie, dass SageMaker Canvas diesen Amazon S3 S3-Pfad nicht verwendet. Dieser Amazon S3 S3-Pfad wird für Studio Classic-Notebooks verwendet.
1. Wählen Sie unter **Verschlüsselungsschlüssel** die Option **Eingabe eines KMS-Schlüssels ARN** aus.
1. Geben Sie für **KMS-ARN** den ARN für Ihren KMS-Schlüssel ein, der ein Format haben sollte, das dem folgenden ähnelt: `arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
## Importieren verschlüsselter Datensätze aus Amazon S3
Ihre Benutzer haben möglicherweise Datensätze, die mit einem KMS-Schlüssel verschlüsselt wurden. Im vorherigen Abschnitt wird zwar gezeigt, wie Sie Daten in SageMaker Canvas und Daten, die in Amazon S3 gespeichert sind, verschlüsseln, aber Sie müssen der IAM-Rolle Ihres Benutzers zusätzliche Berechtigungen gewähren, wenn Sie Daten aus Amazon S3 importieren möchten, die bereits mit verschlüsselt sind. AWS KMS
Um Ihren Benutzern Berechtigungen zum Importieren verschlüsselter Datensätze aus Amazon S3 in SageMaker Canvas zu gewähren, fügen Sie der IAM-Ausführungsrolle, die Sie für das Benutzerprofil verwendet haben, die folgenden Berechtigungen hinzu.
```
"kms:Decrypt",
"kms:GenerateDataKey"
```
Wie Sie die IAM-Berechtigungen für eine Rolle bearbeiten können, erfahren Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*. Weitere Informationen über KMS-Schlüssel finden Sie unter [Schlüsselrichtlinien in AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) im *AWS KMS -Entwicklerhandbuch*.
## FAQs
Antworten auf häufig gestellte Fragen zur SageMaker AWS KMS Canvas-Unterstützung finden Sie in den folgenden FAQs.
### F: Behält SageMaker Canvas meinen KMS-Schlüssel?
A: Nein. SageMaker Canvas kann Ihren Schlüssel vorübergehend zwischenspeichern oder an andere AWS Dienste (wie Autopilot) weitergeben, aber SageMaker Canvas speichert Ihren KMS-Schlüssel nicht.
### F: Ich habe bei der Einrichtung meiner Domain einen KMS-Schlüssel angegeben. Warum konnte mein Datensatz nicht in SageMaker Canvas importiert werden?
A: Die IAM-Rolle Ihres Benutzers ist möglicherweise nicht berechtigt, diesen KMS-Schlüssel zu verwenden. Informationen zum Erteilen von Benutzerberechtigungen finden Sie unter [Voraussetzungen](#canvas-kms-app-data-prereqs). Ein weiterer möglicher Fehler besteht darin, dass Sie in Ihrem Amazon-S3-Bucket eine Bucket-Richtlinie haben, die die Verwendung eines bestimmten KMS-Schlüssels erfordert, der nicht mit dem KMS-Schlüssel übereinstimmt, den Sie in Ihrer Domain angegeben haben. Stellen Sie sicher, dass Sie denselben KMS-Schlüssel für Ihren Amazon-S3-Bucket und Ihre Domain angeben.
### F: Wie finde ich den standardmäßigen SageMaker AI Amazon S3 S3-Bucket der Region für mein Konto?
A: Der standardmäßige Amazon-S3-Bucket folgt dem Benennungsmuster `s3://sagemaker-{Region}-{your-account-id}`. Der `Canvas/` Ordner in diesem Bucket speichert Ihre SageMaker Canvas-Anwendungsdaten.
### F: Kann ich den standardmäßigen SageMaker AI-Amazon S3-Bucket ändern, der zum Speichern von SageMaker Canvas-Daten verwendet wird?
A: Nein, SageMaker KI erstellt diesen Bucket für Sie.
### F: Was speichert SageMaker Canvas im standardmäßigen SageMaker AI Amazon S3 S3-Bucket?
A: SageMaker Canvas verwendet den standardmäßigen SageMaker AI-Amazon S3-Bucket, um Duplikate Ihrer Eingabedatensätze, Modellartefakte und Modellausgaben zu speichern.
### F: Welche Anwendungsfälle werden für die Verwendung von KMS-Schlüsseln mit SageMaker Canvas unterstützt?
A: Mit SageMaker Canvas können Sie Ihre eigenen Verschlüsselungsschlüssel AWS KMS für die Erstellung von Regressions-, binären und Mehrklassenklassifizierungs- und Zeitreihenprognosemodellen sowie für Batch-Inferenzen mit Ihrem Modell verwenden.
# Speichern Sie SageMaker Canvas-Anwendungsdaten in Ihrem eigenen KI-Bereich SageMaker
Ihre Amazon SageMaker Canvas-Anwendungsdaten, wie Datensätze, die Sie importieren, und Ihre Modellartefakte, werden in einem *privaten Bereich von Amazon SageMaker Studio* gespeichert. Der Bereich besteht aus einem Speichervolumen für Ihre Anwendungsdaten mit 100 GB Speicherplatz pro Benutzerprofil, der Art des Bereichs (in diesem Fall eine Canvas-Anwendung) und dem Image für den Container Ihrer Anwendung. Wenn Sie Canvas einrichten und Ihre Anwendung zum ersten Mal starten, erstellt SageMaker KI einen standardmäßigen privaten Bereich, der Ihrem Benutzerprofil zugewiesen ist und Ihre Canvas-Daten speichert. Sie müssen keine zusätzliche Konfiguration vornehmen, um den Bereich einzurichten, da SageMaker KI den Bereich automatisch in Ihrem Namen erstellt. Wenn Sie den Standardbereich jedoch nicht verwenden möchten, haben Sie die Möglichkeit, einen Bereich anzugeben, den Sie selbst erstellt haben. Dies kann nützlich sein, wenn Sie Ihre Daten isolieren möchten. Auf der folgenden Seite erfahren Sie, wie Sie Ihren eigenen Studio-Bereich zum Speichern von Canvas-Anwendungsdaten erstellen und konfigurieren.
**Anmerkung**
Sie können einen benutzerdefinierten Studio-Bereich nur für neue Canvas-Anwendungen konfigurieren. Sie können die Speicherkonfiguration für bestehende Canvas-Anwendungen nicht ändern.
## Bevor Sie beginnen
Ihre Amazon SageMaker AI-Domain oder Ihr Benutzerprofil muss über mindestens 100 GB Speicherplatz verfügen, um die SageMaker Canvas-Anwendung erstellen und verwenden zu können.
Wenn Sie Ihre Domain über die SageMaker AI-Konsole erstellt haben, wird standardmäßig ausreichend Speicherplatz bereitgestellt, sodass Sie keine zusätzlichen Maßnahmen ergreifen müssen. Wenn Sie Ihre Domain oder Ihr Benutzerprofil mit dem [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)oder erstellt haben [ CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) APIs, stellen Sie sicher, dass Sie den `MaximumEbsVolumeSizeInGb` Wert auf 100 GB oder mehr festlegen. Um einen höheren Speicherwert festzulegen, können Sie entweder eine neue Domäne oder ein neues Benutzerprofil erstellen oder eine vorhandene Domäne oder ein vorhandenes Benutzerprofil mithilfe von [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html)oder aktualisieren [ UpdateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) APIs.
## Erstellen eines neuen Bereichs
Erstellen Sie zunächst einen neuen Studio-Bereich, der für das Speichern von Canvas-Anwendungsdaten konfiguriert ist. Dies ist der Bereich, den Sie beim Erstellen einer neuen Canvas-Anwendung im nächsten Schritt angeben.
Um einen Bereich zu erstellen, können Sie das AWS SDK für Python (Boto3) oder das verwenden AWS CLI.
------
#### [ SDK for Python (Boto3) ]
Das folgende Beispiel zeigt Ihnen, wie Sie mit der AWS SDK für Python (Boto3) `create_space` Methode einen Bereich erstellen, den Sie für Canvas-Anwendungen verwenden können. Stellen Sie sicher, dass Sie diese Parameter angeben:
+ `DomainId`: Geben Sie die ID für Ihre SageMaker AI-Domain an. Um Ihre ID zu finden, können Sie in der SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)Ihre Domain im Bereich **Domains** suchen.
+ `SpaceName`: Geben Sie einen Namen für den neuen Bereich an.
+ `EbsVolumeSizeinGb`: Geben Sie die Größe des Speichervolumes für Ihren Speicherplatz (in GB) an. Der kleinste Wert ist `5` und der größte Wert ist `16384`.
+ `SharingType`: Geben Sie dieses Feld als `Private` an. Weitere Informationen finden Sie unter [Amazon SageMaker Studio-Räume](studio-updated-spaces.md).
+ `OwnerUserProfileName`: Geben Sie den Namen des Benutzerprofils an. Um Benutzerprofilnamen zu finden, die mit einer Domain verknüpft sind, können Sie die SageMaker AI-Konsole unter aufrufen [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)und Ihre Domain im Bereich **Domains** suchen. In den Einstellungen der Domain können Sie die Benutzerprofile einsehen.
+ `AppType`: Geben Sie dieses Feld als `Canvas` an.
```
response = client.create_space(
DomainId='',
SpaceName='',
SpaceSettings={
'AppType': 'Canvas',
'SpaceStorageSettings': {
'EbsStorageSettings': {
'EbsVolumeSizeInGb':
}
},
},
OwnershipSettings={
'OwnerUserProfileName': ''
},
SpaceSharingSettings={
'SharingType': 'Private'
}
)
```
------
#### [ AWS CLI ]
Das folgende Beispiel zeigt Ihnen, wie Sie mit AWS CLI `create-space` dieser Methode einen Bereich erstellen, den Sie für Canvas-Anwendungen verwenden können. Stellen Sie sicher, dass Sie diese Parameter angeben:
+ `domain-id`: Geben Sie die ID für Ihre Domain an. Um Ihre ID zu finden, können Sie die SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)aufrufen und Ihre Domain im Bereich **Domains** suchen.
+ `space-name`: Geben Sie einen Namen für den neuen Bereich an.
+ `EbsVolumeSizeinGb`: Geben Sie die Größe des Speichervolumes für Ihren Speicherplatz (in GB) an. Der kleinste Wert ist `5` und der größte Wert ist `16384`.
+ `SharingType`: Geben Sie dieses Feld als `Private` an. Weitere Informationen finden Sie unter [Amazon SageMaker Studio-Räume](studio-updated-spaces.md).
+ `OwnerUserProfileName`: Geben Sie den Namen des Benutzerprofils an. Um Benutzerprofilnamen zu finden, die mit einer Domain verknüpft sind, können Sie die SageMaker AI-Konsole unter aufrufen [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)und Ihre Domain im Bereich **Domains** suchen. In den Einstellungen der Domain können Sie die Benutzerprofile einsehen.
+ `AppType`: Geben Sie dieses Feld als `Canvas` an.
```
create-space
--domain-id
--space-name
--space-settings '{
"AppType": "Canvas",
"SpaceStorageSettings": {
"EbsStorageSettings": {"EbsVolumeSizeInGb": }
},
}'
--ownership-settings '{"OwnerUserProfileName": ""}'
--space-sharing-settings '{"SharingType": "Private"}'
```
------
Sie sollten nun über einen Bereich verfügen. Merken Sie sich den Namen Ihres Bereichs für den nächsten Schritt.
## Erstellen einer neue Canvas-Anwendung
Nachdem Sie einen Bereich erstellt haben, erstellen Sie eine neue Canvas-Anwendung, die den Bereich als Speicherort angibt.
Um eine neue Canvas-Anwendung zu erstellen, können Sie das AWS SDK für Python (Boto3) oder das verwenden AWS CLI.
**Wichtig**
Sie müssen das AWS SDK für Python (Boto3) oder das verwenden AWS CLI , um Ihre Canvas-Anwendung zu erstellen. Die Angabe eines benutzerdefinierten Bereichs beim Erstellen von Canvas-Anwendungen über die SageMaker AI-Konsole wird nicht unterstützt.
------
#### [ SDK for Python (Boto3) ]
Das folgende Beispiel zeigt Ihnen, wie Sie die AWS SDK für Python (Boto3) `create_app` Methode verwenden, um eine neue Canvas-Anwendung zu erstellen. Stellen Sie sicher, dass Sie diese Parameter angeben:
+ `DomainId`: Geben Sie die ID für Ihre SageMaker AI-Domain an.
+ `SpaceName`: Geben Sie den Namen des Bereichs an, den Sie im vorherigen Schritt erstellt haben.
+ `AppType`: Geben Sie dieses Feld als `Canvas` an.
+ `AppName`: Geben Sie `default` als Namen der App an.
```
response = client.create_app(
DomainId='',
SpaceName='',
AppType='Canvas',
AppName='default'
)
```
------
#### [ AWS CLI ]
Das folgende Beispiel zeigt Ihnen, wie Sie die AWS CLI `create-app` Methode verwenden, um eine neue Canvas-Anwendung zu erstellen. Stellen Sie sicher, dass Sie diese Parameter angeben:
+ `DomainId`: Geben Sie die ID für Ihre SageMaker AI-Domain an.
+ `SpaceName`: Geben Sie den Namen des Bereichs an, den Sie im vorherigen Schritt erstellt haben.
+ `AppType`: Geben Sie dieses Feld als `Canvas` an.
+ `AppName`: Geben Sie `default` als Namen der App an.
```
create-app
--domain-id
--space-name
--app-type Canvas
--app-name default
```
------
Sie sollten jetzt über eine neue Canvas-Anwendung verfügen, die einen benutzerdefinierten Studio-Bereich als Speicherort für Anwendungsdaten verwendet.
**Wichtig**
Jedes Mal, wenn Sie die Canvas-Anwendung löschen (oder sich abmelden) und die Anwendung neu erstellen müssen, müssen Sie Ihren Bereich im `SpaceName`-Feld angeben, um sicherzustellen, dass Canvas Ihren Bereich verwendet.
Der Bereich ist dem Benutzerprofil zugeordnet, das Sie in der Bereichskonfiguration angegeben haben. Sie können Ihre Canvas-Anwendung löschen, ohne den Bereich zu löschen. Die im Bereich gespeicherten Daten bleiben erhalten. Die in Ihrem Bereich gespeicherten Daten werden nur gelöscht, wenn Sie Ihr Benutzerprofil oder den Bereich direkt löschen.
# Erteilen Sie Ihren Benutzern die Erlaubnis, benutzerdefinierte Bild- und Textvorhersagemodelle zu erstellen
**Wichtig**
Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, SageMaker Amazon-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können "AccessDenied" Fehler beim Versuch, Ressourcen zu erstellen, auftreten. Weitere Informationen finden Sie unter [Erteilen Sie Berechtigungen für das Taggen von SageMaker KI-Ressourcen](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS verwaltete Richtlinien für Amazon SageMaker AI](security-iam-awsmanpol.md)die Berechtigungen zum Erstellen von SageMaker Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags beim Erstellen dieser Ressourcen.
In Amazon SageMaker Canvas können Sie [benutzerdefinierte Modelle](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-build-model.html) erstellen, die Ihren spezifischen Geschäftsanforderungen entsprechen. Zwei dieser benutzerdefinierten Modelltypen sind die Bildvorhersage mit einem Etikett und die Vorhersage von Text mit mehreren Kategorien. Die Berechtigungen zum Erstellen dieser Modelltypen sind in der genannten AWS Identity and Access Management (IAM-) Richtlinie enthalten [AmazonSageMakerCanvasFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol-canvas.html#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess), die SageMaker KI standardmäßig der IAM-Ausführungsrolle Ihres Benutzers zuordnet, wenn Sie die [Canvas-Basisberechtigungen](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-getting-started.html#canvas-prerequisites) aktiviert lassen. Wenn Sie eine benutzerdefinierte IAM-Konfiguration verwenden, müssen Sie der IAM-Ausführungsrolle Ihres Benutzers explizit Berechtigungen hinzufügen, damit dieser benutzerdefinierte Modelltypen für Bild- und Textvorhersagen erstellen kann. Um die erforderlichen Berechtigungen für die Erstellung von Bild- und Textvorhersagemodellen zu gewähren, lesen Sie den folgenden Abschnitt, um zu erfahren, wie Sie Ihrer Rolle eine Richtlinie mit den geringsten Berechtigungen zuordnen können.
Fügen Sie der IAM-Rolle des Benutzers wie folgt die Berechtigungen hinzu:
1. Rufen Sie die [IAM-Konsole](https://console.aws.amazon.com/iamv2) auf
1. Wählen Sie **Roles**.
1. Suchen Sie im Suchfeld anhand des Namens nach der IAM-Rolle des Benutzers und wählen Sie sie aus.
1. Wählen Sie auf der Seite für die Benutzerrolle unter **Berechtigungen** die Option **Berechtigungen hinzufügen** aus.
1. Wählen Sie **Inline-Richtlinie erstellen** aus.
1. Wählen Sie die Registerkarte JSON aus und kopieren Sie dann die folgende JSON-Richtlinie in den Editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateAutoMLJobV2",
"sagemaker:DescribeAutoMLJobV2"
],
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Füllen Sie das Feld **Name** für die Richtlinie aus.
1. Wählen Sie **Richtlinie erstellen** aus.
Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *IAM-Benutzerhandbuch*.
# Erteilen von Berechtigungen zur Verwendung von Amazon-Bedrock-Features und Features der generativen KI in Canvas
Generative KI-Funktionen in Amazon SageMaker Canvas basieren auf Amazon Bedrock Foundation-Modellen, bei denen es sich um umfangreiche Sprachmodelle (LLMs) handelt, die in der Lage sind, menschenähnlichen Text zu verstehen und zu generieren. Auf dieser Seite wird beschrieben, wie Sie die für die folgenden Funktionen in Canvas erforderlichen Berechtigungen gewähren: SageMaker
+ [Chatten Sie mit Amazon Bedrock-Modellen und vergleichen Sie](canvas-fm-chat.md) sie: Greifen Sie über Canvas auf Konversationschats mit Amazon Bedrock-Modellen zu und starten Sie sie. SageMaker
+ [Chat-Funktion zur Datenvorbereitung in Data Wrangler verwenden](canvas-chat-for-data-prep.md): Verwenden Sie natürliche Sprache, um Ihre Daten zu untersuchen, zu visualisieren und zu transformieren. Dieses Feature wird von Anthropic Claude 2 unterstützt.
+ [Amazon-Bedrock-Grundlagenmodelle optimieren](canvas-fm-chat-fine-tune.md): Optimieren Sie ein Amazon-Bedrock-Grundlagenmodell anhand Ihrer eigenen Daten, um maßgeschneiderte Antworten zu erhalten.
Um diese Features nutzen zu können, müssen Sie zunächst Zugriff auf das spezifische Amazon-Bedrock-Modell anfordern, das Sie verwenden möchten. Fügen Sie dann der Ausführungsrolle des Benutzers die erforderlichen AWS IAM-Berechtigungen und eine Vertrauensbeziehung mit Amazon Bedrock hinzu. Um der Rolle die Berechtigungen zu gewähren, können Sie eine der folgenden Methoden wählen:
+ Erstellen Sie eine neue Amazon SageMaker AI-Domain oder ein neues Benutzerprofil und aktivieren Sie die Amazon Bedrock-Berechtigungen. Weitere Informationen finden Sie unter [Erste Schritte mit der Verwendung von Amazon SageMaker Canvas](canvas-getting-started.md).
+ Bearbeiten Sie die Einstellungen für eine bestehende Amazon SageMaker AI-Domain oder ein vorhandenes Benutzerprofil.
+ Fügen Sie manuell Berechtigungen und eine Vertrauensbeziehung zur IAM-Rolle einer Domain oder eines Benutzers hinzu.
## Schritt 1: Amazon-Bedrock-Modellzugriff hinzufügen
Der Zugriff auf Amazon Bedrock-Modelle wird standardmäßig nicht gewährt. Sie müssen daher die Amazon Bedrock-Konsole aufrufen, um Zugriff auf Modelle für Ihr AWS Konto anzufordern.
Um zu erfahren, wie Sie Zugriff auf ein bestimmtes Amazon-Bedrock Modell beantragen können, folgen Sie dem Verfahren unter **Modellzugriff hinzufügen** auf der Seite [Zugriff auf Amazon-Bedrock-Grundlagenmodelle verwalten](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html) im *Benutzerhandbuch für Amazon Bedrock*.
## Schritt 2: Berechtigungen für Benutzer in IAM-Rolle erteilen
Bei der Einrichtung Ihrer Amazon SageMaker AI-Domain oder Ihres Benutzerprofils muss die [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)Richtlinie an die IAM-Ausführungsrolle des Benutzers angehängt sein und es muss eine Vertrauensbeziehung mit Amazon Bedrock bestehen, damit Ihr Benutzer von Canvas aus auf Amazon Bedrock-Modelle zugreifen kann. SageMaker
Sie können die Domain-Einstellungen ändern und entweder eine neue Ausführungsrolle erstellen (der SageMaker AI die erforderlichen Berechtigungen für Sie zuweist) oder eine bestehende Rolle angeben.
Alternativ können Sie die Berechtigungen für eine bestehende IAM-Rolle manuell über die IAM-Konsole ändern.
Beide Methoden werden in den folgenden Abschnitten erläutert.
### Erteilen von Berechtigungen über die Domaineinstellungen
Sie können Ihre Domain- oder Benutzerprofileinstellungen bearbeiten, um die **Konfigurationseinstellung für Ready-to-use Canvas-Modelle** zu aktivieren und eine Amazon Bedrock-Rolle anzugeben.
Gehen Sie wie folgt vor, um Ihre Domaineinstellungen zu bearbeiten und Canvas-Benutzern in der Domain Zugriff auf Amazon-Bedrock-Modelle zu gewähren:
1. Gehen Sie zur SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich die Option **Domains** aus.
1. Wählen Sie aus der Liste der Domains Ihre Domain aus.
1. Wechseln Sie zur Registerkarte **App-Konfiguration**.
1. Klicken Sie im Abschnitt **Canvas** auf **Bearbeiten**.
1. Die Seite **Canvas-Einstellungen bearbeiten** wird geöffnet. Gehen Sie für den **Konfigurationsbereich für Ready-to-use Canvas-Modelle** wie folgt vor:
1. Aktivieren Sie die **Option Ready-to-use Canvas-Modelle aktivieren**.
1. Wählen Sie für die **Amazon Bedrock-Rolle** die Option **Neue Ausführungsrolle erstellen und verwenden** aus, um eine neue IAM-Ausführungsrolle zu erstellen, der die [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)Richtlinie angehängt ist und eine Vertrauensbeziehung mit Amazon Bedrock besteht. Diese IAM-Rolle wird von Amazon Bedrock übernommen, wenn Sie auf Amazon-Bedrock-Modelle zugreifen, die Chat-Funktion zur Datenvorbereitung verwenden oder Amazon-Bedrock-Modelle in Canvas optimieren. Wenn Sie bereits eine Ausführungsrolle mit einer Vertrauensbeziehung haben, wählen Sie **Bestehende Ausführungsrolle verwenden** und wählen Sie Ihre Rolle aus der Dropdown-Liste aus.
1. Wählen Sie **Absenden** aus, um Ihre Änderungen zu speichern.
Ihre Benutzer sollten nun über die erforderlichen Berechtigungen verfügen, um auf Amazon-Bedrock-Modelle zuzugreifen, die Chat-Funktion für die Datenvorbereitung zu nutzen und Amazon-Bedrock-Modelle in Canvas zu optimieren.
Sie können das oben beschriebene Verfahren zum Bearbeiten der Einstellungen eines einzelnen Benutzers anwenden, indem Sie über die Domainseite zum Profil des einzelnen Benutzers navigieren und dort die Benutzereinstellungen bearbeiten. Einem einzelnen Benutzer gewährte Berechtigungen gelten nicht für andere Benutzer in der Domain, wohingegen Berechtigungen, die über die Domaineinstellungen gewährt wurden, für alle Benutzerprofile in der Domain gelten.
Weitere Informationen zur Bearbeitung Ihrer Domaineinstellungen finden Sie unter [Domains anzeigen und bearbeiten](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view-edit.html).
### Manuelles Erteilen von Berechtigungen über IAM
Sie können Benutzern manuell Berechtigungen für den Zugriff auf und die Feinabstimmung von Amazon-Bedrock-Modellen in Canvas erteilen, indem Sie der für die Domain oder das Benutzerprofil angegebenen IAM-Rolle Berechtigungen hinzufügen. Der IAM-Rolle muss die [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)Richtlinie beigefügt sein und es muss eine Vertrauensbeziehung mit Amazon Bedrock bestehen.
Im folgenden Abschnitt erfahren Sie, wie Sie die Richtlinie Ihrer IAM-Rolle zuordnen und die Vertrauensbeziehung mit Amazon Bedrock aufbauen.
Notieren Sie sich zunächst die IAM-Rolle Ihrer Domain oder Ihres Benutzerprofils. Beachten Sie, dass Berechtigungen, die einem einzelnen Benutzer erteilt werden, nicht für andere Benutzer in der Domain gelten, während Berechtigungen, die über die Domain erteilt werden, für alle Benutzerprofile in der Domain gelten.
Gehen Sie wie folgt vor, um die IAM-Rolle zu konfigurieren und Berechtigungen zur Feinabstimmung von Grundlagenmodellen in Canvas zu erteilen:
1. Gehen Sie zur IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Suchen Sie in der Rollenliste anhand des Namens nach der IAM-Rolle des Benutzers und wählen Sie sie aus.
1. Wählen Sie auf der Registerkarte **Permissions** die Option **Add permissions**. Wählen Sie aus dem Dropdown-Menü die Option **Richtlinien anhängen**.
1. Suchen Sie nach der `AmazonSageMakerCanvasBedrockAccess`-Richtlinie und wählen Sie sie aus.
1. Wählen Sie **Berechtigungen hinzufügen** aus.
1. Wählen Sie zurück auf der Seite mit der IAM-Rolle die Registerkarte **Vertrauensstellungen** aus.
1. Wählen Sie **Vertrauensrichtlinie bearbeiten** aus.
1. Suchen Sie im Richtlinieneditor im rechten Bereich nach der Option **Prinzipal hinzufügen** und wählen Sie **Hinzufügen** aus.
1. Wählen Sie im Dialogfeld für **Prinzipaltyp** die Option **AWS -Services** aus.
1. Geben Sie für **ARN** **bedrock.amazonaws.com** ein.
1. Wählen Sie **Prinzipal hinzufügen** aus.
1. Wählen Sie **Richtlinie aktualisieren**.
Sie sollten jetzt über eine IAM-Rolle verfügen, an die die [ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)Richtlinie angehängt ist, und Sie sollten eine Vertrauensbeziehung mit Amazon Bedrock haben. Informationen zu AWS verwalteten Richtlinien finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *IAM-Benutzerhandbuch*.
# Aktualisieren Sie SageMaker Canvas für Ihre Benutzer
Sie können entweder als Benutzer oder als IT-Administrator auf die neueste Version von Amazon SageMaker Canvas aktualisieren. Sie können Amazon SageMaker Canvas für jeweils einen einzelnen Benutzer aktualisieren.
Um die Amazon SageMaker Canvas-Anwendung zu aktualisieren, müssen Sie die vorherige Version löschen.
**Wichtig**
Durch das Löschen der vorherigen Version von Amazon SageMaker Canvas werden die von den Benutzern erstellten Daten oder Modelle nicht gelöscht.
Gehen Sie wie folgt vor, um sich bei Amazon SageMaker AI-Domain anzumelden AWS, diese zu öffnen und Amazon SageMaker Canvas zu aktualisieren. Die Benutzer können mit der Nutzung der SageMaker Canvas-Anwendung beginnen, wenn sie sich wieder anmelden.
1. Melden Sie sich bei Amazon [ SageMaker Runtime bei der Amazon SageMaker ](https://console.aws.amazon.com/sagemaker/) AI-Konsole an.
1. Wählen Sie im linken Navigationsbereich **Admin-Konfigurationen**.
1. Wählen Sie unter **Admin-Konfigurationen** **Domains** aus.
1. Wählen Sie auf der Seite **Domains** Ihre Domain aus.
1. Wählen Sie aus der Liste der **Benutzerprofile** ein Benutzerprofil aus.
1. Suchen Sie in der Liste der **Apps** nach der Canvas-Anwendung (der **App-Typ** lautet **Canvas**) und wählen Sie **App löschen**.
1. Füllen Sie das Dialogfeld aus und wählen Sie **Aktion bestätigen**.
Die folgende Abbildung zeigt die Benutzerprofilseite und hebt die Aktion **App löschen** aus dem vorherigen Verfahren hervor.
![\[Screenshot der Benutzerprofilseite mit der hervorgehobenen Aktion App löschen.\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/studio/canvas/canvas-update-app-1.png)
# Anfordern einer Kontingenterhöhung.
Ihre Benutzer verwenden möglicherweise AWS Ressourcen in Mengen, die die in ihren Kontingenten angegebenen Mengen überschreiten. Wenn Ihre Benutzer nur über begrenzte Ressourcen verfügen und in SageMaker Canvas auf Fehler stoßen, können Sie eine Erhöhung des Kontingents für sie beantragen.
Weitere Informationen zu SageMaker KI-Kontingenten und dazu, wie Sie eine Kontingenterhöhung beantragen können, finden Sie unter [Kontingente](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html#regions-quotas-quotas).
Amazon SageMaker Canvas verwendet die folgenden Dienste, um die Anfragen Ihrer Benutzer zu bearbeiten:
+ Amazon SageMaker Autopilot
+ Amazon SageMaker Studio Classic-Domäne
Eine Liste der verfügbaren Kontingente für SageMaker Canvas-Operationen finden Sie unter [Amazon SageMaker AI-Endpunkte und Kontingente](https://docs.aws.amazon.com//general/latest/gr/sagemaker.html).
## Fordern Sie eine Erhöhung für Instances an, um benutzerdefinierte Modelle zu erstellen
Wenn Sie beim Erstellen eines benutzerdefinierten Modells während der Analyse nach der Erstellung auf einen Fehler stoßen, der Sie auffordert, Ihr Kontingent für `ml.m5.2xlarge` Instances zu erhöhen, verwenden Sie die folgenden Informationen, um das Problem zu lösen.
Sie müssen das SageMaker AI Hosting-Endpunktkontingent für den `ml.m5.2xlarge` Instance-Typ auf einen Wert ungleich Null in Ihrem AWS Konto erhöhen. Nach der Erstellung eines Modells hostet SageMaker Canvas das Modell auf einem SageMaker KI-Hosting-Endpunkt und verwendet den Endpunkt, um die Analyse nach der Erstellung zu generieren. Wenn Sie das Standardkontingent für `ml.m5.2xlarge` Instances auf 0 nicht erhöhen, kann SageMaker Canvas diesen Schritt nicht abschließen und generiert während der Analyse nach der Erstellung einen Fehler.
Informationen zur Erhöhung des Kontingents finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Benutzerhandbuch für Service Quotas*.
# Benutzern Berechtigungen zum Importieren von Amazon Redshift-Daten gewähren
Ihre Benutzer haben möglicherweise Datensätze in Amazon Redshift gespeichert. Bevor Benutzer Daten aus Amazon Redshift in SageMaker Canvas importieren können, müssen Sie die `AmazonRedshiftFullAccess` verwaltete Richtlinie der IAM-Ausführungsrolle hinzufügen, die Sie für das Benutzerprofil verwendet haben, und Amazon Redshift als Service Principal zur Vertrauensrichtlinie der Rolle hinzufügen. Sie müssen auch die IAM-Ausführungsrolle Ihrem Amazon Redshift Redshift-Cluster zuordnen. Führen Sie die Verfahren in den folgenden Abschnitten aus, um Ihren Benutzern die erforderlichen Berechtigungen für den Import von Amazon Redshift-Daten zu erteilen.
## Fügen Sie Ihrer IAM-Rolle Amazon Redshift-Berechtigungen hinzu
Sie müssen Amazon Redshift-Berechtigungen für die IAM-Rolle erteilen, die in Ihrem Benutzerprofil angegeben ist.
Gehen Sie wie folgt vor, um die `AmazonRedshiftFullAccess` Richtlinie der IAM-Rolle des Benutzers hinzuzufügen.
1. Melden Sie sich bei der IAM-Konsole an unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie **Roles**.
1. Suchen Sie im Suchfeld anhand des Namens nach der IAM-Rolle des Benutzers und wählen Sie sie aus.
1. Wählen Sie auf der Seite für die Benutzerrolle unter **Berechtigungen** die Option **Berechtigungen hinzufügen** aus.
1. Wählen Sie **Richtlinien anfügen**.
1. Suchen Sie nach der `AmazonRedshiftFullAccess` verwalteten Richtlinie und wählen Sie sie aus.
1. Wählen Sie **Richtlinien anfügen** aus, um die Richtlinie der Rolle anzufügen.
Nach dem Anhängen der Richtlinie sollte der Abschnitt **Berechtigungen** der Rolle nun `AmazonRedshiftFullAccess` enthalten.
Gehen Sie wie folgt vor, um Amazon Redshift als Service Principal zur IAM-Rolle hinzuzufügen.
1. Wählen Sie auf derselben Seite für die IAM-Rolle unter **Trust-Beziehungen** die Option **Vertrauensrichtlinie bearbeiten** aus.
1. Aktualisieren Sie im Editor **Vertrauensrichtlinie bearbeiten** die Vertrauensrichtlinie, um Amazon Redshift als Service Principal hinzuzufügen. Eine IAM-Rolle, die Amazon Redshift erlaubt, in Ihrem Namen auf andere AWS -Services zuzugreifen, hat eine Vertrauensstellung wie folgt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nachdem Sie die Vertrauensrichtlinie bearbeitet haben, wählen Sie **Richtlinie aktualisieren**.
Sie sollten jetzt über eine IAM-Rolle verfügen, der die Richtlinie `AmazonRedshiftFullAccess` zugeordnet ist, und Sie sollten über eine Vertrauensbeziehung mit Amazon Redshift verfügen, sodass Benutzer Amazon Redshift Redshift-Daten in Canvas importieren dürfen. SageMaker Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *IAM-Benutzerhandbuch*.
## Verbinden Sie die IAM-Rolle mit Ihrem Amazon Redshift-Cluster
In den Einstellungen für Ihren Amazon Redshift-Cluster müssen Sie die IAM-Rolle zuordnen, der Sie im vorherigen Abschnitt Berechtigungen erteilt haben.
Um eine IAM-Rolle mit Ihrem Cluster zu verknüpfen, gehen Sie wie folgt vor.
1. Melden Sie sich bei der Amazon Redshift Redshift-Konsole unter an [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/).
1. Wählen Sie im Navigationsmenü die Option **Cluster**, und wählen Sie dann den Namen des Clusters, den Sie aktualisieren möchten.
1. Wählen Sie im Dropdown-Menü **Aktionen** die Option **IAM-Rollen verwalten** aus. Die Seite mit den **Cluster-Berechtigungen** wird angezeigt.
1. Geben Sie für **Verfügbare IAM-Rollen** entweder den ARN oder den Namen der IAM-Rolle ein, oder wählen Sie die IAM-Rolle aus der Liste aus.
1. Wählen Sie dann **Associate IAM role** (IAM-Rolle zuordnen) aus, um sie der Liste der **Associated IAM roles** für den Cluster hinzuzufügen.
1. Wählen Sie **Änderungen speichern**, um die IAM-Rolle mit dem Cluster zu verknüpfen.
Amazon Redshift ändert den Cluster, um die Änderung abzuschließen, und die IAM-Rolle, für die Sie zuvor Amazon Redshift-Berechtigungen erteilt haben, ist jetzt mit Ihrem Amazon Redshift-Cluster verknüpft. Ihre Benutzer verfügen jetzt über die erforderlichen Berechtigungen, um Amazon Redshift Redshift-Daten in SageMaker Canvas zu importieren.
# Erteilen Sie Ihren Benutzern die Erlaubnis, Prognosen an Quick zu senden
Sie müssen Ihren SageMaker Canvas-Benutzern die Berechtigung erteilen, Batch-Vorhersagen an Quick zu senden. In Quick können Benutzer Analysen und Berichte mit einem Datensatz erstellen und Dashboards vorbereiten, um ihre Ergebnisse zu teilen. Weitere Informationen zum Senden von Prognosen an QuickSight zur Analyse finden Sie unter[Prognosen an Quick senden](canvas-send-predictions.md).
Um die erforderlichen Berechtigungen für die gemeinsame Nutzung von Batch-Vorhersagen für Benutzer in zu gewähren QuickSight, müssen Sie der Ausführungsrolle AWS Identity and Access Management (IAM), die Sie für das Benutzerprofil verwendet haben, eine Berechtigungsrichtlinie hinzufügen. Im folgenden Abschnitt erfahren Sie, wie Sie Ihrer Rolle eine Richtlinie mit den geringsten Berechtigungen zuordnen können.
**Fügen Sie die Berechtigungsrichtlinie zu Ihrer IAM-Rolle hinzu**
**Um die Berechtigungsrichtlinie hinzuzufügen, führen Sie die folgenden Schritte aus:**
1. Melden Sie sich bei der IAM-Konsole unter an. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie **Roles**.
1. Suchen Sie im Suchfeld anhand des Namens nach der IAM-Rolle des Benutzers und wählen Sie sie aus.
1. Wählen Sie auf der Seite für die Benutzerrolle unter **Berechtigungen** die Option **Berechtigungen hinzufügen** aus.
1. Wählen Sie **Inline-Richtlinie erstellen** aus.
1. Wählen Sie die Registerkarte JSON aus und kopieren Sie dann die folgende JSON-Richtlinie in den Editor. Ersetzen Sie die Platzhalter `` durch Ihre eigene AWS Kontonummer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateDataSet",
"quicksight:ListUsers",
"quicksight:ListNamespaces",
"quicksight:CreateDataSource",
"quicksight:PassDataSet",
"quicksight:PassDataSource"
],
"Resource": [
"arn:aws:quicksight:*:111122223333:datasource/*",
"arn:aws:quicksight:*:111122223333:user/*",
"arn:aws:quicksight:*:111122223333:namespace/*",
"arn:aws:quicksight:*:111122223333:dataset/*"
]
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Füllen Sie das Feld **Name** für die Richtlinie aus.
1. Wählen Sie **Richtlinie erstellen** aus.
Ihrer Ausführungsrolle sollte nun eine vom Kunden verwaltete IAM-Richtlinie zugeordnet sein, die Ihren Canvas-Benutzern die erforderlichen Berechtigungen zum Senden von Batch-Vorhersagen an Benutzer in gewährt. QuickSight
# Anwendungsverwaltung
In den folgenden Abschnitten wird beschrieben, wie Sie Ihre SageMaker Canvas-Anwendungen verwalten können. Sie können Ihre Anwendungen im Bereich **Domains** der SageMaker AI-Konsole anzeigen, löschen oder neu starten.
**Topics**
+ [Suchen nach aktiven Anwendungen](canvas-manage-apps-active.md)
+ [Löschen einer Anwendung](canvas-manage-apps-delete.md)
+ [Neustarten einer Anwendung](canvas-manage-apps-relaunch.md)
# Suchen nach aktiven Anwendungen
Gehen Sie wie folgt vor, um zu überprüfen, ob Sie aktiv laufende SageMaker Canvas-Anwendungen haben.
1. Öffnen Sie die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich **Dashboard** aus.
1. Im Abschnitt **LCNC** gibt es eine Zeile für Canvas, die angibt, wie viele aktive Apps ausgeführt werden. Wählen Sie die Nummer, um die Liste der Apps anzuzeigen.
In der Spalte **Status** wird der Status der Anwendung angezeigt, z. B. **Bereit**, **Ausstehend** oder **Gelöscht**. Wenn die Anwendung **bereit** ist, ist Ihre SageMaker Canvas-Workspace-Instanz aktiv. Sie können die Anwendung aus der Konsole löschen oder Canvas erneut öffnen und sich abmelden.
# Löschen einer Anwendung
Wenn Sie Ihre SageMaker Canvas-Workspace-Instanz beenden möchten, können Sie sich entweder von der SageMaker Canvas-Anwendung abmelden oder Ihre Anwendung aus der SageMaker AI-Konsole löschen. Eine *Workspace-Instanz* ist für Sie von Beginn an, an dem Sie SageMaker Canvas verwenden, bis zu dem Zeitpunkt, an dem Sie sie nicht mehr verwenden, reserviert. Durch das Löschen der Anwendung wird lediglich die Workspace-Instance beendet und die Abrechnung für die Workspace-Instance eingestellt. Modelle und Datensätze sind nicht betroffen, aber Quick-Build-Aufgaben werden automatisch neu gestartet, wenn Sie die Anwendung neu starten.
Um Ihre Canvas-Anwendung über die AWS Konsole zu löschen, schließen Sie zunächst den Browser-Tab, in dem Ihre Canvas-Anwendung geöffnet war. Gehen Sie dann wie folgt vor, um Ihre SageMaker Canvas-Anwendung zu löschen.
1. Öffnen Sie die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich **Admin-Konfigurationen**.
1. Wählen Sie unter **Admin-Konfigurationen** **Domains** aus.
1. Wählen Sie auf der Seite **Domains** Ihre Domain aus.
1. Wählen Sie auf der Seite mit den **Domänendetails** die Option **Ressourcen** aus.
1. Suchen Sie unter **Anwendungen** in der Spalte **App-Typ** nach der Anwendung mit der Aufschrift **Canvas**.
1. Markieren Sie das Kontrollkästchen neben der Canvas-Anwendung und wählen Sie **Beenden**.
Sie haben die Anwendung jetzt erfolgreich gestoppt und die Workspace-Instanz beendet.
Sie können die Workspace-Instanz auch beenden, indem Sie sich von der SageMaker Canvas-Anwendung [aus abmelden](canvas-log-out.md).
# Neustarten einer Anwendung
Wenn Sie Ihre SageMaker Canvas-Anwendung löschen oder sich von ihr abmelden und die Anwendung neu starten möchten, gehen Sie wie folgt vor.
1. Navigieren Sie zur [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im Navigationsbereich die Option **Canvas**.
1. Wählen Sie auf der SageMaker Canvas-Landingpage im Feld **Erste Schritte** Ihr Benutzerprofil aus der Dropdownliste aus.
1. Wählen Sie **Open Canvas**, um die Anwendung zu öffnen.
SageMaker Canvas beginnt mit dem Starten der Anwendung.
Sie können auch das folgende sekundäre Verfahren verwenden, falls Sie Probleme mit dem vorherigen Verfahren haben.
1. Öffnen Sie die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich **Admin-Konfigurationen**.
1. Wählen Sie unter **Admin-Konfigurationen** **Domains** aus.
1. Wählen Sie auf der Seite **Domains** Ihre Domain aus.
1. Wählen Sie auf der Seite mit den **Domänendetails** unter **Benutzerprofile** den Namen des Benutzerprofils für die SageMaker Canvas-Anwendung aus, die Sie anzeigen möchten.
1. Wählen Sie **Starten** und wählen Sie **Canvas** aus der Dropdown-Liste aus.
SageMaker Canvas beginnt mit dem Starten der Anwendung.
# Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren
Die Amazon SageMaker Canvas-Anwendung wird in einem Container in einer AWS verwalteten Amazon Virtual Private Cloud (VPC) ausgeführt. Wenn Sie den Zugriff auf Ihre Ressourcen weiter kontrollieren oder SageMaker Canvas ohne öffentlichen Internetzugang ausführen möchten, können Sie Ihre Amazon SageMaker AI-Domain- und VPC-Einstellungen konfigurieren. In Ihrer eigenen VPC können Sie Einstellungen wie Sicherheitsgruppen (virtuelle Firewalls, die den ein- und ausgehenden Datenverkehr von Amazon-EC2-Instances kontrollieren) und Subnetze (Bereiche von IP-Adressen in Ihrer VPC) konfigurieren. Weitere Informationen finden Sie VPCs unter [So funktioniert Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html).
Wenn die SageMaker Canvas-Anwendung in der AWS verwalteten VPC ausgeführt wird, kann sie entweder über eine Internetverbindung oder über VPC-Endpunkte, die in einer vom Kunden verwalteten VPC (ohne öffentlichen Internetzugang) erstellt wurden, mit anderen AWS Diensten interagieren. SageMaker Canvas-Anwendungen können über eine von Studio Classic erstellte Netzwerkschnittstelle auf diese VPC-Endpoints zugreifen, die Konnektivität zur vom Kunden verwalteten VPC bereitstellt. Das Standardverhalten der SageMaker Canvas-Anwendung besteht darin, Internetzugang zu haben. Wenn Sie eine Internetverbindung verwenden, greifen die Container für die vorherigen Jobs über das Internet auf AWS Ressourcen zu, z. B. die Amazon-S3-Buckets, in denen Sie Trainingsdaten und Modellartefakte speichern.
Wenn Sie jedoch Sicherheitsanforderungen haben, um den Zugriff auf Ihre Daten- und Jobcontainer zu kontrollieren, empfehlen wir Ihnen, SageMaker Canvas und Ihre VPC so zu konfigurieren, dass Ihre Daten und Container nicht über das Internet zugänglich sind. SageMaker AI verwendet die VPC-Konfigurationseinstellungen, die Sie bei der Einrichtung Ihrer Domain für SageMaker Canvas angeben.
Wenn Sie Ihre SageMaker Canvas-Anwendung ohne Internetzugang konfigurieren möchten, müssen Sie Ihre VPC-Einstellungen konfigurieren, wenn Sie in die [Amazon SageMaker AI-Domain](gs-studio-onboard.md) einsteigen, VPC-Endpunkte einrichten und die erforderlichen Berechtigungen erteilen. AWS Identity and Access Management Informationen zur Konfiguration einer VPC in Amazon SageMaker AI finden Sie unter[Auswählen einer Amazon VPC](onboard-vpc.md). In den folgenden Abschnitten wird beschrieben, wie SageMaker Canvas in einer VPC ohne öffentlichen Internetzugang ausgeführt wird.
## Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren
Sie können Traffic von SageMaker Canvas über Ihre eigene VPC an andere AWS Dienste senden. Wenn Ihre eigene VPC keinen öffentlichen Internetzugang hat und Sie Ihre Domain **nur im VPC-Modus** eingerichtet haben, hat SageMaker Canvas auch keinen öffentlichen Internetzugang. Dazu gehören alle Anfragen, z. B. der Zugriff auf Datensätze in Amazon S3 oder Trainingsjobs für Standard-Builds, und die Anfragen werden über VPC-Endpunkte in Ihrer VPC statt über das öffentliche Internet abgewickelt. Wenn Sie ein Onboarding zur Domain und zu [Auswählen einer Amazon VPC](onboard-vpc.md) durchführen, können Sie Ihre eigene VPC als Standard-VPC für die Domain festlegen, zusammen mit Ihren gewünschten Sicherheitsgruppen- und Subnetzeinstellungen. Anschließend erstellt SageMaker KI eine Netzwerkschnittstelle in Ihrer VPC, die SageMaker Canvas für den Zugriff auf VPC-Endpunkte in Ihrer VPC verwendet.
Stellen Sie sicher, dass Sie eine oder mehrere Sicherheitsgruppen in Ihrer VPC mit Regeln für eingehenden und ausgehenden Datenverkehr einrichten, die [TCP-Datenverkehr innerhalb der Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances) zulassen. Dies ist für die Verbindung zwischen der Jupyter-Server-Anwendung und den Kernel-Gateway-Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich `8192-65535` zulassen. Erstellen Sie für jedes Benutzerprofil auch eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, haben alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain. Beachten Sie, dass die Sicherheitsgruppen- und Subnetzeinstellungen festgelegt werden, nachdem Sie das Onboarding in Domain abgeschlossen haben.
Wenn Sie beim Onboarding zur Domain **nur öffentliches Internet** als Netzwerkzugriffstyp wählen, wird die VPC SageMaker KI-verwaltet und ermöglicht den Internetzugang.
Sie können dieses Verhalten ändern, indem Sie **nur VPC** auswählen, sodass SageMaker KI den gesamten Datenverkehr an eine Netzwerkschnittstelle sendet, die SageMaker AI in Ihrer angegebenen VPC erstellt. Wenn Sie diese Option wählen, müssen Sie die Subnetze, Sicherheitsgruppen und VPC-Endpunkte bereitstellen, die für die Kommunikation mit der SageMaker API und SageMaker AI Runtime erforderlich sind, sowie verschiedene AWS Dienste wie Amazon S3 und Amazon CloudWatch, die von Canvas verwendet werden. SageMaker Beachten Sie, dass Sie nur Daten aus Amazon-S3-Buckets importieren können, die sich in derselben Region wie Ihre VPC befinden.
Die folgenden Verfahren zeigen, wie Sie diese Einstellungen für die Verwendung von SageMaker Canvas ohne Internet konfigurieren können.
### Schritt 1: Einstieg in die Amazon SageMaker AI-Domain
Um SageMaker Canvas-Verkehr an eine Netzwerkschnittstelle in Ihrer eigenen VPC statt über das Internet zu senden, geben Sie die VPC an, die Sie beim Onboarding in die [Amazon SageMaker ](gs-studio-onboard.md) AI-Domain verwenden möchten. Sie müssen außerdem mindestens zwei Subnetze in Ihrer VPC angeben, die SageMaker KI verwenden kann. Wählen Sie **Standardeinrichtung** aus und gehen Sie wie folgt vor, wenn Sie den **Netzwerk- und Speicherbereich** für die Domain konfigurieren.
1. Wählen Sie Ihre gewünschte **VPC** aus.
1. Wählen Sie zwei oder mehr **Subnetze** aus. Wenn Sie die Subnetze nicht angeben, verwendet SageMaker AI alle Subnetze in der VPC.
1. Wählen Sie eine oder mehrere **Sicherheitsgruppe(n)**.
1. Wählen Sie **Nur VPC**, um den direkten Internetzugang in der AWS verwalteten VPC zu deaktivieren, in der SageMaker Canvas gehostet wird.
Nachdem Sie den Internetzugang deaktiviert haben, schließen Sie den Onboarding-Prozess ab, um Ihre Domain einzurichten. Weitere Informationen zu den VPC-Einstellungen für die Amazon SageMaker AI-Domain finden Sie unter[Auswählen einer Amazon VPC](onboard-vpc.md).
### Schritt 2: Konfigurieren der VPC-Endpunkte und des Zugriffs
**Anmerkung**
Um Canvas in Ihrer eigenen VPC zu konfigurieren, müssen Sie private DNS-Hostnamen für Ihre VPC-Endpunkte aktivieren. Weitere Informationen finden Sie unter [Connect SageMaker KI über einen VPC-Schnittstellenendpunkt](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html) herstellen.
SageMaker Canvas greift nur auf andere AWS Dienste zu, um Daten für seine Funktionalität zu verwalten und zu speichern. Es stellt beispielsweise eine Verbindung zu Amazon Redshift her, wenn Ihre Benutzer auf eine Amazon Redshift-Datenbank zugreifen. Es kann über eine Internetverbindung oder einen VPC-Endpunkt eine Verbindung zu einem AWS Service wie Amazon Redshift herstellen. Verwenden Sie VPC-Endpunkte, wenn Sie Verbindungen von Ihrer VPC zu AWS Diensten einrichten möchten, die das öffentliche Internet nicht nutzen.
Ein VPC-Endpunkt stellt eine private Verbindung zu einem AWS Dienst her, der einen vom öffentlichen Internet isolierten Netzwerkpfad verwendet. Wenn Sie beispielsweise den Zugriff auf Amazon S3 mithilfe eines VPC-Endpunkts von Ihrer eigenen VPC aus einrichten, kann die SageMaker Canvas-Anwendung über die Netzwerkschnittstelle in Ihrer VPC und dann über den VPC-Endpunkt, der eine Verbindung zu Amazon S3 herstellt, auf Amazon S3 zugreifen. Die Kommunikation zwischen SageMaker Canvas und Amazon S3 ist privat.
Weitere Informationen zur Konfiguration von VPC-Endpunkten für Ihre VPC finden Sie unter [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html). Wenn Sie Amazon Bedrock-Modelle in Canvas mit einer VPC verwenden, finden Sie weitere Informationen zur Steuerung des Zugriffs auf Ihre Daten unter [Schützen von Aufträgen mithilfe einer VPC](https://docs.aws.amazon.com/bedrock/latest/userguide/usingVPC.html#configureVPC) im *Amazon Bedrock-Benutzerhandbuch*.
Im Folgenden sind die VPC-Endpunkte für jeden Service aufgeführt, den Sie mit SageMaker Canvas verwenden können:
| Service | Endpoint | Endpunkttyp |
| --- | --- | --- |
| AWS Application Auto Scaling | com.amazonaws. *Region*.automatische Skalierung von Anwendungen | Schnittstelle |
| Amazon Athena | com.amazonaws. *Region*.Athena | Schnittstelle |
| Amazon SageMaker KI | com.amazonaws. *Region*.sagemaker.api com.amazonaws. *Region*.sagemaker.runtime com.amazonaws. *Region*. Notizbuch | Schnittstelle |
| Amazon SageMaker AI-Assistent für Datenwissenschaft | com.amazonaws. *Region*. sagemaker-data-science-assistant | Schnittstelle |
| AWS -Security-Token-Service | com.amazonaws. *Region*.sts | Schnittstelle |
| Amazon Elastic Container Registry (Amazon ECR) | com.amazonaws. *Region*.ecr.api com.amazonaws. *Region*.ecr.dkr | Schnittstelle |
| Amazon Elastic Compute Cloud (Amazon EC2) | com.amazonaws. *Region*.ec2 | Schnittstelle |
| Amazon Simple Storage Service (Amazon-S3) | com.amazonaws. *Region*. 3 | Gateway |
| Amazon Redshift | com.amazonaws. *Region*.redshift-Daten | Schnittstelle |
| AWS Secrets Manager | com.amazonaws. *Region*. Geheimnismanager | Schnittstelle |
| AWS Systems Manager | com.amazonaws. *Region*.ssm | Schnittstelle |
| Amazon CloudWatch | com.amazonaws. *Region*. Überwachung | Schnittstelle |
| CloudWatch Amazon-Protokolle | com.amazonaws. *Region*.protokolle | Schnittstelle |
| Amazon Forecast | com.amazonaws. *Region*. Prognose com.amazonaws. *Region*. Prognoseabfrage | Schnittstelle |
| Amazon Textract | com.amazonaws. *Region*.textrahieren | Schnittstelle |
| Amazon Comprehend | com.amazonaws. *Region*.com verstehen | Schnittstelle |
| Amazon Rekognition | com.amazonaws. *Region*.rekognition | Schnittstelle |
| AWS Glue | com.amazonaws. *Region*. kleben | Schnittstelle |
| AWS Application Auto Scaling | com.amazonaws. *Region*.automatische Skalierung von Anwendungen | Schnittstelle |
| Amazon Relational Database Service (Amazon RDS) | com.amazonaws. *Region*.rds | Schnittstelle |
| Amazon Bedrock (siehe Hinweis nach der Tabelle) | com.amazonaws. *Region*.bedrock-Laufzeit | Schnittstelle |
| Amazon Kendra | com.amazonaws. *Region*.kendra | Schnittstelle |
| Amazon EMR Serverless | com.amazonaws. *Region*.emr-serverlos | Schnittstelle |
| Amazon Q Developer (siehe Hinweis nach der Tabelle) | com.amazonaws. *Region*q | Schnittstelle |
**Anmerkung**
Der VPC-Endpunkt Amazon Q Developer ist derzeit nur in der Region USA Ost (Nord-Virginia) verfügbar. Um von anderen Regionen aus eine Verbindung herzustellen, können Sie je nach Ihren Sicherheits- und Infrastruktureinstellungen eine der folgenden Optionen wählen:
**Richten Sie ein NAT-Gateway ein.** Konfigurieren Sie ein NAT-Gateway im privaten Subnetz Ihrer VPC, um die Internetverbindung für den Q-Developer-Endpunkt zu aktivieren. Weitere Informationen finden Sie unter [Einrichten eines NAT-Gateways in einem privaten VPC-Subnetz](https://repost.aws/knowledge-center/nat-gateway-vpc-private-subnet).
**Aktivieren Sie den regionsübergreifenden VPC-Endpunktzugriff.** Richten Sie den regionsübergreifenden VPC-Endpunktzugriff für Q Developer ein. Verwenden Sie diese Option, um eine sichere Verbindung herzustellen, ohne dass ein Internetzugang erforderlich ist. Weitere Informationen finden Sie unter [Konfigurieren des regionsübergreifenden VPC-Endpunktzugriffs](https://repost.aws/knowledge-center/vpc-endpoints-cross-region-aws-services).
**Anmerkung**
Für Amazon Bedrock ist der Name `com.amazonaws.Region.bedrock` des Schnittstellenendpunkts Service veraltet. Erstellen Sie einen neuen VPC-Endpunkt mit dem in der vorherigen Tabelle aufgeführten Service-Namen.
Darüber hinaus können Sie Foundation-Modelle von Canvas VPCs aus ohne Internetzugang nicht feinabstimmen. Dies liegt daran, dass Amazon Bedrock keine VPC-Endpunkte für die Modellanpassung unterstützt. APIs Weitere Informationen zur Feinabstimmung eines Grundlagenmodells in Canvas finden Sie unter [Optimieren von Grundlagenmodellen](canvas-fm-chat-fine-tune.md).
Sie müssen auch eine Endpunktrichtlinie für Amazon S3 hinzufügen, um den AWS Prinzipalzugriff auf Ihren VPC-Endpunkt zu kontrollieren. Informationen zur Aktualisierung Ihrer VPC-Endpunktrichtlinie finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Im Folgenden sind zwei VPC-Endpunktrichtlinien aufgeführt, die Sie verwenden können. Verwenden Sie die erste Richtlinie, wenn Sie nur Zugriff auf die Grundfunktionen von Canvas gewähren möchten, wie beispielsweise das Importieren von Daten und das Erstellen von Modellen. Verwenden Sie die zweite Richtlinie, wenn Sie Zugriff auf die zusätzlichen [Features der generativen KI](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-fm-chat.html) in Canvas gewähren möchten.
------
#### [ Basic VPC endpoint policy ]
Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Vorgänge in Canvas.
```
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
```
------
#### [ Generative AI VPC endpoint policy ]
Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Vorgänge in Canvas sowie für die Verwendung von Grundlagenmodellen der generativen KI.
```
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*fmeval/datasets*",
"arn:aws:s3:::*jumpstart-cache-prod*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
```
------
### Schritt 3: Erteilen von IAM-Berechtigungen
Der SageMaker Canvas-Benutzer muss über die erforderlichen AWS Identity and Access Management Berechtigungen verfügen, um eine Verbindung zu den VPC-Endpunkten herzustellen. Die IAM-Rolle, der Sie Berechtigungen erteilen, muss dieselbe sein, die Sie beim Onboarding in die Amazon SageMaker AI-Domain verwendet haben. Sie können die von SageMaker KI verwaltete `AmazonSageMakerFullAccess` Richtlinie an die IAM-Rolle anhängen, damit der Benutzer dem Benutzer die erforderlichen Berechtigungen erteilt. Wenn Sie restriktivere IAM-Berechtigungen benötigen und stattdessen benutzerdefinierte Richtlinien verwenden, geben Sie der Rolle des Benutzers die entsprechende Berechtigung. `ec2:DescribeVpcEndpointServices` SageMaker Canvas benötigt diese Berechtigungen, um das Vorhandensein der erforderlichen VPC-Endpunkte für Standard-Build-Jobs zu überprüfen. Wenn es diese VPC-Endpunkte erkennt, werden Standard-Build-Jobs standardmäßig in Ihrer VPC ausgeführt. Andernfalls werden sie in der standardmäßigen AWS verwalteten VPC ausgeführt.
Anweisungen zum Anhängen der `AmazonSageMakerFullAccess` IAM-Richtlinie an die IAM-Rolle Ihres Benutzers finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Gehen Sie wie folgt vor, um der IAM-Rolle Ihres Benutzers das granulare `ec2:DescribeVpcEndpointServices` Zugriffsrecht zu erteilen.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie in der Liste den Namen der Rolle, der Sie Berechtigungen erteilen möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie **Add permissions** (Berechtigungen hinzufügen) und dann **Create inline policy** (Inline-Richtlinie erstellen) aus.
1. Wählen Sie die Registerkarte **JSON** und geben Sie die folgende Richtlinie ein, die die `ec2:DescribeVpcEndpointServices` Berechtigung erteilt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:DescribeVpcEndpointServices",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Überprüfungsrichtlinie**, und geben Sie einen **Namen** für die Richtlinie ein (z. B. `VPCEndpointPermissions`).
1. Wählen Sie **Richtlinie erstellen** aus.
Die IAM-Rolle des Benutzers sollte jetzt über Berechtigungen für den Zugriff auf die in Ihrer VPC konfigurierten VPC-Endpoints verfügen.
### (Optional) Schritt 4: Überschreiben der Sicherheitsgruppeneinstellungen für bestimmte Benutzer
Wenn Sie ein Administrator sind, möchten Sie möglicherweise, dass verschiedene Benutzer unterschiedliche VPC-Einstellungen oder benutzerspezifische VPC-Einstellungen haben. Wenn Sie die Standard-Sicherheitsgruppeneinstellungen der VPC für einen bestimmten Benutzer überschreiben, werden diese Einstellungen an die SageMaker Canvas-Anwendung für diesen Benutzer weitergegeben.
Sie können die Sicherheitsgruppen überschreiben, auf die ein bestimmter Benutzer in Ihrer VPC Zugriff hat, wenn Sie ein neues Benutzerprofil in Studio Classic einrichten. Sie können den [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) SageMaker API-Aufruf (oder [create\$1user\$1profile](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_user_profile) mit [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)) verwenden und dann in der den `UserSettings` für den Benutzer angeben. `SecurityGroups`
# Richten Sie Verbindungen zu Datenquellen ein mit OAuth
Im folgenden Abschnitt werden die Schritte beschrieben, die Sie ausführen müssen, um OAuth Verbindungen zu Datenquellen von Canvas aus SageMaker einzurichten. [OAuth](https://oauth.net/2/)ist eine gängige Authentifizierungsplattform, um Zugriff auf Ressourcen zu gewähren, ohne Passwörter weiterzugeben. Mit OAuth können Sie schnell eine Verbindung zu Ihren Daten aus Canvas herstellen und sie für Gebäudemodelle importieren. Canvas unterstützt OAuth derzeit Snowflake und Salesforce Data Cloud.
**Anmerkung**
Sie können für jede Datenquelle nur eine OAuth Verbindung herstellen.
## OAuth Für Salesforce Data Cloud einrichten
Gehen Sie OAuth zur Einrichtung für Salesforce Data Cloud wie folgt vor:
1. Melden Sie sich bei Salesforce Data Cloud an.
1. Erstellen Sie in Salesforce Data Cloud eine neue Anwendungsverbindung und gehen Sie wie folgt vor:
1. OAuth Einstellungen aktivieren.
1. Wenn Sie nach einer Rückruf-URL (oder der URL der Ressource, die auf Ihre Daten zugreift) gefragt werden, geben Sie die URL für Ihre Canvas-Anwendung an. Die URL der Canvas-Anwendung folgt diesem Format: `https://.studio..sagemaker.aws/canvas/default`
1. Kopieren Sie den Verbraucherschlüssel und das Geheimnis.
1. Kopieren Sie Ihre Autorisierungs-URL und Token-URL.
Detailliertere Anweisungen zur Durchführung der vorangegangenen Aufgaben in Salesforce Data Cloud finden Sie unter [Daten aus Salesforce Data Cloud importieren](data-wrangler-import.md#data-wrangler-import-salesforce-data-cloud) in der Data Wrangler-Dokumentation zum Importieren von Daten aus Salesforce Data Cloud.
Nachdem Sie den Zugriff über Salesforce Data Cloud aktiviert und Ihre Verbindungsinformationen abgerufen haben, müssen Sie einen [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)geheimen Schlüssel zum Speichern der Informationen erstellen und sie zu Ihrer Amazon SageMaker AI-Domäne oder Ihrem Benutzerprofil hinzufügen. Beachten Sie, dass Sie sowohl einer Domain als auch einem Benutzerprofil ein Secret hinzufügen können, Canvas sucht jedoch zuerst im Benutzerprofil nach Geheimnissen.Secrets.
Fügen Sie Ihrer Domain oder Ihrem Benutzerprofil wie folgt ein Secret hinzu:
1. Gehen Sie zur [Amazon SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im Navigationsbereich **Domains** aus.
1. Wählen Sie aus der Liste der **Domains** Ihre Domain aus.
1. Wenn Sie Ihr Secret zu Ihrer Domain hinzufügen, führen Sie die folgenden Schritte aus:
1. Wählen Sie die Domain aus.
1. Wählen Sie auf der Seite mit den **Domaineinstellungen** die Registerkarte **Domaineinstellungen** aus.
1. Wählen Sie **Bearbeiten** aus.
1. Wenn Sie das Geheimnis zu Ihrem Benutzerprofil hinzufügen, gehen Sie wie folgt vor:
1. Wählen Sie die Domain des Benutzers aus.
1. Wählen Sie auf der Seite mit den **Domaineinstellungen** das Benutzerprofil aus.
1. Wählen Sie auf der Seite **Benutzerdetails** die Option **Bearbeiten**.
1. Wählen Sie im Navigationsbereich **Canvas-Einstellungen**.
1. Wählen Sie für **OAuth Einstellungen** die Option ** OAuth Konfiguration hinzufügen**.
1. Wählen Sie als **Datenquelle** **Salesforce Data Cloud** aus.
1. Wählen Sie für **Secret-Einstellungen** die Option **Neues Secret erstellen** aus. Wenn Sie bereits ein AWS Secrets Manager Geheimnis mit Ihren Anmeldeinformationen erstellt haben, geben Sie alternativ den ARN für das Geheimnis ein. Wenn Sie einen neuen Secret erstellen, gehen Sie wie folgt vor:
1. Wählen Sie für **Identitätsanbieter** **SALESFORCE** aus.
1. Geben Sie für **Client ID**, **Client Secret**, **Autorisierungs-URL** und **Token-URL** alle Informationen ein, die Sie im vorherigen Verfahren von Salesforce Data Cloud gesammelt haben.
1. Speichern Sie Ihre Domain- oder Benutzerprofileinstellungen.
Sie sollten jetzt in der Lage sein, von Canvas aus eine Verbindung zu Ihren Daten in Salesforce Data Cloud herzustellen.
## OAuth Für Snowflake einrichten
Um die Authentifizierung für Snowflake einzurichten, unterstützt Canvas Identitätsanbieter, die Sie verwenden können, anstatt dass Benutzer ihre Anmeldeinformationen direkt in Canvas eingeben müssen.
Im Folgenden finden Sie Links zur Snowflake-Dokumentation für die von Canvas unterstützten Identitätsanbieter:
+ [Azure AD](https://docs.snowflake.com/en/user-guide/oauth-azure.html)
+ [Okta](https://docs.snowflake.com/en/user-guide/oauth-okta.html)
+ [Ping Federate](https://docs.snowflake.com/en/user-guide/oauth-pingfed.html)
Der folgende Prozess beschreibt die allgemeinen Schritte, die Sie unternehmen müssen. Ausführlichere Anweisungen zur Durchführung dieser Schritte finden Sie im [Snowflake Access einrichten OAuth](data-wrangler-import.md#data-wrangler-snowflake-oauth-setup) Abschnitt der Data Wrangler-Dokumentation zum Importieren von Daten aus Snowflake.
Gehen Sie wie folgt vor, OAuth um Snowflake einzurichten:
1. Registrieren Sie Canvas als Anwendung beim Identitätsanbieter. Dazu muss eine Weiterleitungs-URL zu Canvas angegeben werden, die diesem Format folgen sollte: `https://.studio..sagemaker.aws/canvas/default`
1. Erstellen Sie innerhalb des Identitätsanbieters einen Server oder eine API, die OAuth Token an Canvas sendet, damit Canvas auf Snowflake zugreifen kann. Verwenden Sie bei der Einrichtung des Servers die Gewährungstypen Autorisierungscode und Aktualisierungstoken, geben Sie die Gültigkeitsdauer des Zugriffstokens an und legen Sie eine Aktualisierungstoken-Richtlinie fest. Aktivieren Sie zusätzlich in der externen OAuth Sicherheitsintegration für Snowflake die Option. `external_oauth_any_role_mode`
1. Rufen Sie die folgenden Informationen vom Identitätsanbieter ab: Token-URL, Autorisierungs-URL, Client-ID, Client-Geheimnis. Rufen Sie für Azure AD auch die OAuth Bereichsanmeldedaten ab.
1. Speichern Sie die im vorherigen Schritt abgerufenen Informationen AWS Secrets Manager geheim.
1. Für Okta und Ping Federate sollte das Geheimnis wie folgt aussehen:
```
{"token_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/token",
"client_id":"example-client-id", "client_secret":"example-client-secret", "identity_provider":"OKTA"|"PING_FEDERATE",
"authorization_url":"https://identityprovider.com/oauth2/example-portion-of-URL-path/v2/authorize"}
```
1. Für Azure AD sollte das Geheimnis auch die OAuth Bereichsanmeldedaten als `datasource_oauth_scope` Feld enthalten.
Nachdem Sie den Identitätsanbieter und das Geheimnis konfiguriert haben, müssen Sie ein [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)Geheimnis zum Speichern der Informationen erstellen und es zu Ihrer Amazon SageMaker AI-Domain oder Ihrem Benutzerprofil hinzufügen. Beachten Sie, dass Sie sowohl einer Domain als auch einem Benutzerprofil ein Secret hinzufügen können, Canvas sucht jedoch zuerst im Benutzerprofil nach Geheimnissen.Secrets.
Fügen Sie Ihrer Domain oder Ihrem Benutzerprofil wie folgt ein Secret hinzu:
1. Gehen Sie zur [Amazon SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im Navigationsbereich **Domains** aus.
1. Wählen Sie aus der Liste der **Domains** Ihre Domain aus.
1. Wenn Sie Ihr Secret zu Ihrer Domain hinzufügen, führen Sie die folgenden Schritte aus:
1. Wählen Sie die Domain aus.
1. Wählen Sie auf der Seite mit den **Domaineinstellungen** die Registerkarte **Domaineinstellungen** aus.
1. Wählen Sie **Bearbeiten** aus.
1. Wenn Sie das Geheimnis zu Ihrem Benutzerprofil hinzufügen, gehen Sie wie folgt vor:
1. Wählen Sie die Domain des Benutzers aus.
1. Wählen Sie auf der Seite mit den **Domaineinstellungen** das Benutzerprofil aus.
1. Wählen Sie auf der Seite **Benutzerdetails** die Option **Bearbeiten**.
1. Wählen Sie im Navigationsbereich **Canvas-Einstellungen**.
1. Wählen Sie für **OAuth Einstellungen** die Option ** OAuth Konfiguration hinzufügen**.
1. Wählen Sie als **Datenquelle** **Snowflake** aus.
1. Wählen Sie für **Einrichtung des Geheimnisses** die Option **Neues Geheimnis erstellen** aus. Wenn Sie bereits ein AWS Secrets Manager Geheimnis mit Ihren Anmeldeinformationen erstellt haben, geben Sie alternativ den ARN für das Geheimnis ein. Wenn Sie einen neuen Secret erstellen, gehen Sie wie folgt vor:
1. Wählen Sie für **Identitätsanbieter** **SNOWFLAKE** aus.
1. Geben Sie für **Client ID**, **Client Secret**, **Autorisierungs-URL** **und Token-URL** alle Informationen ein, die Sie im vorherigen Verfahren vom Identitätsanbieter gesammelt haben.
1. Speichern Sie Ihre Domain- oder Benutzerprofileinstellungen.
Sie sollten jetzt in der Lage sein, von Canvas aus eine Verbindung zu Ihren Daten in Snowflake herzustellen.