Benutzerdefiniertes Setup für Amazon SageMaker AI verwenden - Amazon SageMaker KI
AuthentifizierungsmethodenBenutzerdefinierte EinrichtungZugriff auf die Domain nach dem Onboarding

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefiniertes Setup für Amazon SageMaker AI verwenden

Die Einrichtung für Organisationen (benutzerdefinierte Einrichtung) führt Sie durch eine erweiterte Einrichtung für Ihre Amazon SageMaker AI-Domain. Diese Option bietet Informationen und Empfehlungen, anhand derer Sie alle Aspekte der Kontokonfiguration, einschließlich Berechtigungen, Integrationen und Verschlüsselung, verstehen und kontrollieren können. Verwenden Sie diese Option, wenn Sie eine benutzerdefinierte Domain einrichten möchten. Informationen über Domains finden Sie unter Überblick über die Amazon SageMaker AI-Domain.

Authentifizierungsmethoden

Bevor Sie die Domain einrichten, sollten Sie die Authentifizierungsmethoden berücksichtigen, mit denen Ihre Benutzer auf die Domain zugreifen.

AWSIdentitätszentrum:

  • Vereinfacht die Verwaltung von Zugriffsberechtigungen für Benutzergruppen. Sie können Berechtigungen für Benutzergruppen gewähren oder verweigern, anstatt dies für jeden Einzelbenutzer individuell zu tun. Wenn ein Benutzer zu einer anderen Organisation wechselt, können Sie diesen Benutzer in eine andere AWS Identity and Access Management Identity Center-Gruppe (AWS IAM Identity Center) verschieben. Der Benutzer erhält dann automatisch die erforderlichen Berechtigungen für die neue Organisation.

    Beachten Sie, dass sich das IAM Identity Center in derselben Domäne AWS-Region befinden muss.

    Folgen Sie zur Einrichtung mit IAM Identity Center den folgenden Anweisungen aus dem Benutzerhandbuch für AWS IAM Identity Center:

  • Die Benutzer in IAM Identity Center können über eine AWS-Zugangsportal URL, die ihnen per E-Mail zugeschickt wird, auf die Domain zugreifen. Die E-Mail enthält Anweisungen zum Erstellen eines Kontos für den Zugriff auf die Domain. Weitere Informationen dazu finden Sie unter Anmelden beim AWS-Zugangsportal.

    Als Administrator können Sie die AWS-Zugangsportal URL finden, indem Sie zum IAM Identity Center navigieren und die AWS-ZugangsportalURL unter Einstellungsübersicht suchen.

  • Ihre Domain muss die AWS Identity and Access Management (IAM) -Authentifizierung verwenden, wenn Sie den Zugriff auf Ihre Domains ausschließlich auf bestimmte Amazon Virtual Private Clouds (VPCs), Schnittstellenendpunkte oder einen vordefinierten Satz von IP-Adressen beschränken möchten. Dieses Feature wird nicht für Domains unterstützt, die die Authentifizierung von IAM Identity Center verwenden. Sie können IAM Identity Center weiterhin verwenden, um die zentrale Identitätskontrolle Ihrer Mitarbeiter zu ermöglichen. Anweisungen, wie Sie diese Einschränkungen implementieren und gleichzeitig IAM Identity Center beibehalten können, um eine konsistente Benutzeranmeldung zu gewährleisten, finden Sie unter Sicherer Zugriff auf Amazon SageMaker Studio Classic mit IAM Identity Center und einer SAML-Anwendung im AWS Machine Learning-Blog. Beachten Sie in diesem Blog, dass AWS SSO für IAM Identity Center steht.

Über IAM anmelden:

  • Die Benutzerprofile können über die SageMaker AI-Konsole auf die Domain zugreifen, nachdem sie sich beim Konto angemeldet haben.

  • Sie können den Zugriff auf Ihre Domains ausschließlich auf bestimmte Amazon Virtual Private Clouds (VPCs), Schnittstellenendpunkte oder einen vordefinierten Satz von IP-Adressen beschränken, wenn Sie die AWS Identity and Access Management (IAM) -Authentifizierung verwenden. Weitere Informationen finden Sie unter Zugriff nur von Ihrer VPC aus zulassen.

Einrichtung für Organisationen (benutzerdefinierte Einrichtung)

Nachdem Sie die Voraussetzungen unter erfüllt habenVollständige Amazon SageMaker AI-Voraussetzungen, öffnen Sie die Seite SageMaker KI-Domain einrichten (benutzerdefinierte Einrichtung) und erweitern Sie die folgenden Abschnitte mit Informationen zur Einrichtung.

Öffnen Sie in der SageMaker AI-Konsole die Option „ SageMaker KI-Domain einrichten

  1. Öffnen Sie die SageMaker AI-Konsole.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen aus, um die Optionen zu erweitern.

  3. Wählen Sie unter Admin-Konfigurationen Domains aus.

  4. Wählen Sie auf der Seite Domains Domain entfernen aus.

  5. Wählen Sie auf der Seite SageMaker KI-Domain einrichten die Option Für Organisationen einrichten aus.

  6. Wählen Sie Einrichten aus.

Sobald Sie die Seite „ SageMaker KI-Domain einrichten“ geöffnet haben, folgen Sie den folgenden Anweisungen:

  1. Geben Sie für Domainname den Namen Ihrer benutzerdefinierten Domain ein. Dies kann beispielsweise Ihr Projekt- oder Teamname sein.

  2. Wählen Sie Weiter aus.

In diesem Schritt richten Sie die Authentifizierungsmethode, die Benutzer und die Berechtigungen für Ihre Domain ein.

  1. Unter Wie möchten Sie auf Studio zugreifen? können Sie eine von zwei Optionen auswählen. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Authentifizierungsmethoden. Einzelheiten zu den Optionen finden Sie hier:

    • AWSIdentity Center:

      Unter Wer wird Studio verwenden? wählen Sie eine AWS IAM Identity Center Gruppe aus, die auf die Domain zugreifen soll.

      Wenn Sie Keine Identity-Center-Benutzergruppe auswählen, erstellen Sie eine Domain ohne Benutzer. Sie können Gruppen von IAM Identity Center zur Domain hinzufügen, nachdem die Domain erstellt wurde. Weitere Informationen finden Sie unter Bearbeiten von Domaineinstellungen.

    • Über IAM anmelden:

      Wählen Sie unter Wer verwendet Studio? + Benutzer hinzufügen aus, geben Sie einen neuen Benutzerprofilnamen ein und wählen Sie Hinzufügen aus, um einen Benutzerprofilnamen zu erstellen und hinzuzufügen.

      Sie können diesen Vorgang wiederholen, um mehrere Benutzerprofile zu erstellen.

  2. Wählen Sie unter Wer verwendet Studio? die Benutzer oder Gruppen von IAM Identity Center aus und klicken Sie dann auf Auswählen. Sie müssen Amazon SageMaker Studio in derselben Region einrichten, in der Ihr IAM Identity Center konfiguriert ist. Sie können die Region Ihrer Domain ändern, indem Sie die Region aus der Dropdown-Liste oben rechts in der Konsole auswählen. Sie können die Region von IAM Identity Center auch ändern, indem Sie zum AWS-Zugriffsportal navigieren.

  3. Unter Welche ML-Aktivitäten führen sie durch? können Sie eine bestehende Rolle verwenden, indem Sie Bestehende Rolle verwenden auswählen. Sie können auch eine neue Rolle erstellen, indem Sie Neue Rolle erstellen auswählen und die ML-Aktivitäten markieren, auf die die Rolle Zugriff haben soll.

  4. Bei der Auswahl von ML-Aktivitäten müssen Sie möglicherweise bestimmte Anforderungen erfüllen. Um eine Anforderung zu erfüllen, wählen Sie Hinzufügen aus und schließen Sie die Anforderung ab.

  5. Wenn alle Anforderungen erfüllt sind, wählen Sie Weiter aus.

In diesem Schritt können Sie die Anwendungen konfigurieren, die Sie im vorherigen Schritt aktiviert haben. Weitere Informationen über ML-Aktivitäten finden Sie unter Referenz zur ML-Aktivität.

Wenn die Anwendung nicht aktiviert wurde, erhalten Sie eine Warnung für diese Anwendung. Um eine Anwendung zu aktivieren, die noch deaktiviert ist, kehren Sie zum vorherigen Schritt zurück, indem Sie Zurück auswählen und den vorherigen Anweisungen folgen.

  • Studio-Konfiguration:

    Unter Studio haben Sie die Möglichkeit, zwischen der neueren und der klassischen Version von Studio als Standardkonfiguration auszuwählen. Das bedeutet, dass Sie beim Öffnen von Studio auswählen müssen, mit welcher ML-Umgebung Sie interagieren möchten.

    • Studio umfasst mehrere integrierte Entwicklungsumgebungen (IDEs) und Anwendungen, darunter Amazon SageMaker Studio Classic. Wenn diese Option ausgewählt ist, hat die IDE von Studio Classic Standardeinstellungen. Weitere Informationen zu den Standardeinstellungen finden Sie unter Standardeinstellungen.

      Weitere Informationen zu Studio finden Sie unter Amazon SageMaker Studio.

    • Studio Classic enthält die Jupyter-IDE. Falls ausgewählt, können Sie Ihre Studio-Classic-Konfiguration konfigurieren.

      Informationen zur Aktualisierung von Studio Classic finden Sie unter Amazon SageMaker Studio Classic.

  • SageMaker Canvas-Konfiguration:

    Wenn Sie Amazon SageMaker Canvas aktiviert haben, finden Sie Erste Schritte mit Amazon SageMaker Canvas die Anweisungen und Konfigurationsdetails für das Onboarding unter.

  • Studio-Classic-Konfiguration:

    Wenn Sie Studio (empfohlen) als Standardkonfiguration ausgewählt haben, hat die IDE von Studio Classic Standardeinstellungen. Weitere Informationen zu den Standardeinstellungen finden Sie unter Standardeinstellungen.

    Wenn Sie Studio Classic als Standardkonfiguration ausgewählt haben, können Sie die Freigabe von Notebook-Ressourcen aktivieren oder deaktivieren. Zu den Notebook-Ressourcen gehören Artefakte wie Zellenausgabe und Git-Repositorys. Weitere Informationen zu Notebook-Ressourcen finden Sie unter Teilen und verwenden Sie ein Amazon SageMaker Studio Classic-Notizbuch.

    Wenn Sie die Freigabe von Notebook-Ressourcen aktiviert haben:

    1. Geben Sie unter S3-Standort für freigabefähige Notebook-Ressourcen Ihren Amazon-S3-Standort ein.

    2. Lassen Sie unter Verschlüsselungsschlüssel — optional die Option Keine benutzerdefinierte Verschlüsselung stehen oder wählen Sie einen vorhandenen AWS KMS Schlüssel aus oder wählen Sie Enter a KMS key ARN und geben Sie den ARN Ihres AWS KMS Schlüssels ein.

    3. Wählen Sie unter Einstellungen für die Freigabe von Notebook-Zellenausgaben die Option Benutzern die Freigabe der Zellenausgabe erlauben oder Freigabe der Zellausgabe deaktivieren aus.

  • RStudioKonfiguration:

    Zur Aktivierung RStudio benötigen Sie eine RStudio Lizenz. Informationen zur Einrichtung finden Sie unter Besorgen Sie sich eine RStudio Lizenz.

    1. Stellen Sie unter RStudio Workbench sicher, dass Ihre RStudio Lizenz automatisch erkannt wird. Weitere Informationen zum Erwerb einer RStudio Lizenz und deren Aktivierung mit SageMaker KI finden Sie unterBesorgen Sie sich eine RStudio Lizenz.

    2. Wählen Sie einen Instanztyp aus, auf dem Ihr RStudio Server gestartet werden soll. Weitere Informationen finden Sie unter RStudioServerPro Instanztyp.

    3. Erstellen Sie unter Berechtigung Ihre Rolle oder wählen Sie eine vorhandene Rolle aus. Der Benutzer muss über die folgenden Richtlinienberechtigungen verfügen: Diese Richtlinie ermöglicht der RStudio ServerPro Anwendung den Zugriff auf die erforderlichen Ressourcen. Es ermöglicht Amazon SageMaker AI auch, automatisch eine RStudio ServerPro Anwendung zu starten, wenn sich die bestehende RStudio ServerPro Anwendung im Failed Status Deleted Oder befindet. Weitere Informationen zum Bearbeiten von Rollenberechtigungen finden Sie unter Ändern einer Rollenberechtigungsrichtlinie (Konsole).

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. Fügen RStudio Sie unter Connect die URL für Ihren RStudio Connect-Server hinzu. RStudio Connect ist eine Veröffentlichungsplattform für Shiny-Anwendungen, R Markdown-Berichte, Dashboards, Diagramme und mehr. Wenn Sie sich RStudio auf SageMaker KI einbinden, wird kein RStudio Connect-Server erstellt. Weitere Informationen finden Sie unter Fügen Sie eine RStudio Connect-URL hinzu.

    5. Fügen Sie unter RStudio Package Manager die URL für Ihren RStudio Package Manager hinzu. SageMaker AI erstellt beim Einsteigen ein Standard-Paket-Repository für den Package Manager RStudio. Weitere Informationen zum RStudio Package Manager finden Sie unterAktualisieren Sie die URL des RStudio Paketmanagers.

    6. Klicken Sie auf Weiter.

  • Code-Editor-Konfiguration

    Wenn Sie Code Editor aktiviert haben, finden Sie unter Code-Editor in Amazon SageMaker Studio eine Übersicht und die Konfigurationsdetails.

In diesem Abschnitt können Sie die sichtbaren Anwendungen und Tools für Machine Learning (ML) anpassen, die in Studio angezeigt werden. Durch diese Anpassung werden nur die Anwendungen und ML-Tools im linken Navigationsbereich in Studio ausgeblendet. Informationen zur Studio-Benutzeroberfläche finden Sie unter Überblick über die Amazon SageMaker Studio-Benutzeroberfläche.

Informationen über die Anwendungen finden Sie unter In Amazon SageMaker Studio unterstützte Anwendungen.

Das Feature zum Anpassen der Studio-Benutzeroberfläche ist in Studio Classic nicht verfügbar. Wenn Sie Studio als Standardkonfiguration festlegen möchten, wählen Sie Zurück aus und kehren Sie zum vorherigen Schritt zurück.

  1. Auf der Seite Studio-Benutzeroberfläche anpassen können Sie die in Studio angezeigten Anwendungen und ML-Tools ausblenden, indem Sie sie ausschalten.

  2. Nachdem Sie Ihre Änderungen überprüft haben, wählen Sie Weiter aus.

Wählen Sie aus, wie Studio eine Verbindung zu anderen AWS Diensten herstellen soll.

Sie können den Internetzugang zu Ihrem Studio deaktivieren, indem Sie den Netzwerkzugriffstyp Nur Virtual Private Cloud (VPC) angeben. Wenn Sie diese Option wählen, können Sie ein Studio-Notebook nur ausführen, wenn Ihre VPC über einen Schnittstellenendpunkt zur SageMaker API und Runtime oder über ein Network Address Translation (NAT) -Gateway mit Internetzugang verfügt und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen. Weitere Informationen zu Amazon finden VPCs Sie unterAuswählen einer Amazon VPC.

Wenn Sie Virtual Private Cloud (VPC) auswählen, sind nur die folgenden Schritte erforderlich. Wenn Sie sich für den öffentlichen Internetzugang entscheiden, sind die ersten beiden der folgenden Schritte erforderlich.

  1. Wählen Sie unter VPC die Amazon-VPC-ID aus.

  2. Wählen Sie unter Subnetz mindestens ein Subnetz aus. Wenn Sie keine Subnetze auswählen, verwendet SageMaker AI alle Subnetze in der Amazon VPC. Wir empfehlen, dass Sie mehrere Subnetze verwenden, die nicht in eingeschränkten Availability Zones erstellt wurden. Die Verwendung von Subnetzen in diesen eingeschränkten Availability Zones kann zu Fehlern bei unzureichender Kapazität und längeren Anwendungserstellungszeiten führen. Weitere Informationen über eingeschränkte Availability Zones finden Sie unter Availability Zones.

  3. Wählen Sie unter Sicherheitsgruppe(n) mindestens ein Subnetz aus.

Wenn nur VPC ausgewählt ist, wendet SageMaker AI die für die Domain definierten Sicherheitsgruppeneinstellungen automatisch auf alle in der Domain erstellten Shared Spaces an. Wenn Nur öffentliches Internet ausgewählt ist, wendet SageMaker AI die Sicherheitsgruppeneinstellungen nicht auf gemeinsam genutzte Bereiche an, die in der Domain erstellt wurden.

Sie haben die Möglichkeit, Ihre Daten zu verschlüsseln. Die Dateisysteme Amazon Elastic File System (Amazon EFS) und Amazon Elastic Block Store (Amazon EBS), die für Sie erstellt werden, wenn Sie eine Domain erstellen. Amazon EBS-Größen werden sowohl vom Code-Editor als auch von JupyterLab Leerzeichen verwendet.

Sie können den Verschlüsselungsschlüssel nicht mehr ändern, nachdem Sie Ihre Amazon-EFS- und Amazon-EBS-Dateisysteme verschlüsselt haben. Um Ihre Amazon-EFS- und Amazon-EBS-Dateisysteme zu verschlüsseln, können Sie die folgenden Konfigurationen verwenden.

  • Lassen Sie unter Verschlüsselungsschlüssel – optional die Option Keine benutzerdefinierte Verschlüsselung stehen oder wählen Sie einen vorhandenen KMS-Schlüssel aus. Sie können auch KMS-Schlüssel-ARN eingeben auswählen und den ARN Ihres KMS-Schlüssels eingeben.

  • Geben Sie unter Standardspeichergröße – optional die Standardspeichergröße ein.

  • Geben Sie unter Maximale Speichergröße – optional die maximale Speichergröße ein.

Überprüfen Sie die Domaineinstellungen. Wenn Sie die Einstellungen ändern müssen, wählen Sie neben dem entsprechenden Schritt Bearbeiten aus. Sobald Sie bestätigt haben, dass Ihre Domaineinstellungen korrekt sind, wählen Sie Senden aus und die Domain wird für Sie erstellt. Dieser Vorgang kann einige Minuten dauern.

Die folgenden Abschnitte enthalten AWS CLI Anweisungen für die benutzerdefinierte Einrichtung Ihrer Domain mithilfe der IAM Identity Center- oder IAM-Authentifizierungsmethoden.

Gehen Sie wie folgt vor, nachdem Sie die Voraussetzungen erfüllt haben, einschließlich der Einrichtung Ihrer AWS CLI Anmeldeinformationen. Vollständige Amazon SageMaker AI-Voraussetzungen

  1. Erstellen Sie eine Ausführungsrolle, die zum Erstellen einer Domäne verwendet wird, und fügen Sie die AmazonSageMakerFullAccessRichtlinie hinzu. Sie können auch eine bestehende Rolle verwenden, der mindestens eine Vertrauensrichtlinie angehängt ist, die SageMaker KI die Erlaubnis erteilt, die Rolle zu übernehmen. Weitere Informationen finden Sie unter Wie verwendet man SageMaker AI-Ausführungsrollen.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Holen Sie sich die Amazon Virtual Private Cloud (Amazon VPC) Ihres Kontos.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Rufen Sie die Liste der Subnetze in der Standard-Amazon-VPC.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Erstellen Sie eine Domain, indem Sie die standardmäßige Amazon-VPC-ID, die Subnetze und den ARN für die Ausführungsrolle übergeben. Sie müssen auch einen SageMaker Bild-ARN übergeben. Informationen zur verfügbaren JupyterLab Version finden Sie ARNs unterEine JupyterLab Standardversion festlegen.

    Verwenden Sie bei authentication-mode SSO für die Authentifizierung von IAM Identity Center oder IAM für die IAM-Authentifizierung.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    Mithilfe von können Sie die in Studio angezeigten Anwendungen und ML-Tools für die Domäne anpassen StudioWebPortalSettings. AWS CLI Verwenden Sie HiddenAppTypes, um Anwendungen auszublenden, und HiddenMlTools, um ML-Tools auszublenden. Weitere Informationen zum Anpassen der linken Navigationsleiste der Studio-Benutzeroberfläche finden Sie unter Tools und Anwendungen für maschinelles Lernen in der Amazon SageMaker Studio-Benutzeroberfläche ausblenden. Dieses Feature ist nicht für Studio Classic verfügbar.

  5. Stellen Sie sicher, dass die Domain erstellt wurde.

    aws --region region sagemaker list-domains

Informationen zum Erstellen einer Domäne mit AWS CloudFormation finden Sie AWS::SageMaker::Domainim CloudFormationBenutzerhandbuch.

Ein Beispiel für eine CloudFormation Vorlage, mit der Sie Ihre Domain einrichten können, finden Sie unter Amazon SageMaker AI-Domains mithilfe CloudFormation des aws-samples GitHub Repositorys erstellen.

Nachdem die Domain eingerichtet wurde, kann der Administratorbenutzer sie anzeigen und bearbeiten. Weitere Informationen finden Sie unter Anzeigen von Domains und Bearbeiten von Domaineinstellungen.

Zugriff auf die Domain nach dem Onboarding

Die Benutzer können auf SageMaker KI zugreifen, indem sie: