Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mehrere Domains und gemeinsam genutzte Bereiche
Amazon SageMaker AI
Jede im IAM Authentifizierungsmodus eingerichtete Domain kann gemeinsam genutzten Speicherplatz für die Zusammenarbeit zwischen Benutzern nahezu in Echtzeit nutzen. Mit einem gemeinsamen Bereich erhalten Benutzer Zugriff auf ein gemeinsames EFS Amazon-Verzeichnis und eine gemeinsam genutzte JupyterServer

Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb einer einzigen Domain
Richten Sie gemeinsame Bereiche in Ihrer Domain ein
Gemeinsam genutzte Bereiche werden in der Regel für ein bestimmtes ML-Unterfangen oder -Projekt erstellt, bei dem Mitglieder einer einzelnen Domain nahezu in Echtzeit Zugriff auf denselben zugrunde liegenden Dateispeicher und IDE benötigen. Der Benutzer kann nahezu in Echtzeit auf seine Notizbücher zugreifen, sie lesen, bearbeiten und teilen, was ihm den schnellsten Weg bietet, mit seinen Kollegen zu iterieren.
Um einen gemeinsam genutzten Bereich zu erstellen, müssen Sie zunächst eine standardmäßige Ausführungsrolle für den Bereich festlegen, die die Berechtigungen aller Benutzer bestimmt, die den Bereich nutzen. Zum Zeitpunkt der Erstellung dieses Artikels haben alle Benutzer innerhalb einer Domäne Zugriff auf alle gemeinsam genutzten Bereiche in ihrer Domäne. Die aktuelle Dokumentation zum Hinzufügen von Shared Spaces zu einer bestehenden Domain finden Sie unter Shared Space erstellen.
Richten Sie Ihre Domain für den IAM Verbund ein
Bevor Sie den AWS Identity and Access Management (IAM) -Verbund für Ihre SageMaker AI Studio-Domain einrichten, müssen Sie eine IAM Verbundbenutzerrolle (z. B. einen Plattformadministrator) in Ihrem IdP einrichten, wie im Abschnitt Identitätsmanagement beschrieben.
Detaillierte Anweisungen zur Einrichtung von SageMaker AI Studio mit dieser IAM Option finden Sie unter Onboard to Amazon SageMaker Domain Using IAM Identity Center.
Richten Sie Ihre Domain für den Single Sign-On (SSO) -Verbund ein
Um den Single Sign-On (SSO) -Verbund zu verwenden, müssen Sie AWS IAM Identity Center ihn in Ihrem AWS Organizations
Eine ausführliche Anleitung finden Sie unter Onboarding to Amazon SageMaker Domain Using IAM Identity Center.
SageMaker AI Studio-Benutzerprofil
Ein Benutzerprofil stellt einen einzelnen Benutzer innerhalb einer Domain dar und ist die wichtigste Methode, um auf eine „Person“ Bezug zu nehmen, um sie zu teilen, Berichte zu erstellen und andere benutzerorientierte Funktionen zu nutzen. Diese Entität wird erstellt, wenn ein Benutzer toSageMaker AI Studio einloggt. Wenn ein Administrator eine Person per E-Mail einlädt oder sie aus IdC importiert, wird automatisch ein Benutzerprofil erstellt. Ein Benutzerprofil ist der primäre Inhaber der Einstellungen für einen einzelnen Benutzer und enthält einen Verweis auf das private Amazon Elastic File System (Amazon
Jedes Benutzerprofil, das die SageMaker AI Studio-Domain teilt, erhält dedizierte Rechenressource (n) (z. B. SageMaker AI Amazon Elastic Compute Cloud
Jupyter Server-App
Wenn Sie ein Amazon SageMaker AI Studio-Notizbuchml.t3.medium
Instanz ausgeführt (die als Systeminstanztyp reserviert ist). Die Rechenleistung für diese Instanz wird dem Kunden nicht in Rechnung gestellt.
Die Jupyter Kernel Gateway-App
Die Kernel Gateway-App
Benutzer können mehrere Jupyter-Notebook-Kernel, Terminalsitzungen und interaktive Konsolen im selben Studio starten und ausführen. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image
Um zusätzliche Apps zu erstellen, müssen Sie einen anderen Instanztyp verwenden. In einem Benutzerprofil kann nur eine Instanz eines beliebigen Instanztyps ausgeführt werden. Beispielsweise kann ein Benutzer sowohl ein einfaches Notebook mit dem integrierten Data-Science-Image von SageMaker AI Studio als auch ein anderes Notebook mit dem integrierten TensorFlow Image auf derselben Instanz ausführen. Benutzern wird die Zeit in Rechnung gestellt, in der die Instanz ausgeführt wird. Um Kosten zu vermeiden, wenn der Benutzer SageMaker AI Studio nicht aktiv ausführt, muss der Benutzer die Instanz herunterfahren. Weitere Informationen finden Sie unter Studio-Apps herunterfahren und aktualisieren.
Jedes Mal, wenn Sie eine Kernel Gateway-App über die SageMaker AI Studio-Oberfläche herunterfahren und erneut öffnen, wird diese App auf einer neuen Instanz gestartet. Das bedeutet, dass die Installation des Pakets nicht durch Neustarts derselben App beibehalten wird. Ebenso gehen die installierten Pakete und Sitzungsvariablen verloren, wenn ein Benutzer den Instanztyp auf einem Notebook ändert. Sie können jedoch Funktionen wie Bring Your Own Image und Lifecycle-Skripte verwenden, um die eigenen Pakete des Benutzers in SageMaker AI Studio zu übertragen und sie über Instanzwechsel und den Start neuer Instanzen beizubehalten.
Amazon Elastic File System-Volume
Wenn eine Domain erstellt wird, wird ein einzelnes Amazon Elastic File System
Sicherung und Wiederherstellung
Ein vorhandenes EFS Volume kann nicht an eine neue SageMaker AI-Domain angehängt werden. Stellen Sie in einer Produktionsumgebung sicher, dass das EFS Amazon-Volume gesichert ist (auf einem anderen EFS Volume oder auf Amazon Simple Storage Service
Erstellen Sie über die DescribeSpace
API Aufrufe,, und eine Sicherungskopie der Liste der EFS Benutzerprofile ListUserProfiles
DescribeUserProfile
List
Spaces
, Bereiche und des zugehörigen Benutzers IDs (UIDs).
-
Erstellen Sie eine neue SageMaker AI Studio-Domäne.
-
Erstellen Sie die Benutzerprofile und Bereiche.
-
Kopieren Sie für jedes Benutzerprofil die Dateien aus dem Backup auf EFS /Amazon S3.
-
Löschen Sie optional alle Apps und Benutzerprofile in der alten SageMaker AI Studio-Domain.
Detaillierte Anweisungen finden Sie im Anhang, Abschnitt SageMaker AI Studio-Domain-Backup und -Wiederherstellung.
Anmerkung
Dies kann auch dadurch erreicht werdenLifecycleConfigurations
, dass jedes Mal, wenn ein Benutzer seine App startet, Daten auf und von S3 gesichert werden.
EBSAmazon-Volumen
Jeder SageMaker AI Studio Notebook-Instance ist außerdem ein Amazon Elastic Block Store
Sicherung des Zugriffs auf die vorab signierte Datei URL
Wenn ein SageMaker AI Studio-Benutzer den Notizbuch-Link öffnet, validiert SageMaker AI Studio die IAM Richtlinie des Verbundbenutzers zur Autorisierung des Zugriffs und generiert die vorsignierte Version für den Benutzer und löst sie auf. URL Da die SageMaker AI-Konsole auf einer Internetdomäne läuft, URL ist diese generierte, vorsignierte Datei in der Browsersitzung sichtbar. Dies stellt einen unerwünschten Bedrohungsvektor für Datendiebstahl und den Zugriff auf Kundendaten dar, wenn keine angemessenen Zugriffskontrollen durchgesetzt werden.
Studio unterstützt einige Methoden zur Durchsetzung von Zugriffskontrollen gegen URL vorsignierten Datendiebstahl:
-
IP-Validierung des Clients anhand der Richtlinienbedingung IAM
aws:sourceIp
-
VPCClient-Validierung anhand der IAM Bedingung
aws:sourceVpc
-
Validierung des VPC Client-Endpunkts mithilfe der IAM Richtlinienbedingung
aws:sourceVpce
Wenn Sie von der AI-Konsole aus auf SageMaker SageMaker AI Studio-Notebooks zugreifen, besteht die einzige verfügbare Option darin, die Client-IP-Validierung mit der IAM Richtlinienbedingung zu verwendenaws:sourceIp
. Sie können jedoch Produkte zum Routing von Browser-Traffic wie Zscaleraws:sourceIp
Bedingung zu nutzen.
Um die VPC Client-Endpunktvalidierung anhand der IAM Richtlinienbedingung zu verwendenaws:sourceVpce
, URL muss die Erstellung einer vorab signierten Anforderung von demselben Kunden stammen, auf VPC dem SageMaker AI Studio bereitgestellt wird, und die Lösung der vorab signierten URL Anforderungen muss über einen SageMaker AI VPC Studio-Endpunkt auf dem Kunden erfolgen. VPC Diese Auflösung der vorsignierten Daten URL während des Zugriffs für Benutzer des Unternehmensnetzwerks kann mithilfe von DNS Weiterleitungsregeln (sowohl in Zscaler als auch in CorporateDNS) und dann mithilfe eines Amazon Route 53-Inbound-Resolvers

Zugriff auf Studio URL mit vorsigniertem VPC Endpunkt über das Unternehmensnetzwerk
step-by-stepAnleitungen zur Einrichtung der vorherigen Architektur finden Sie unter Secure Amazon SageMaker AI Studio Presigned URLs Part 1: Fundamentale Infrastruktur.
SageMaker Kontingente und Limits für KI-Domains
-
SageMaker Der AI SSO Studio-Domänenverbund wird nur in der Region unterstützt, und zwar für alle Mitgliedskonten der AWS Organisation, in der AWS Identity Center bereitgestellt wird.
-
Gemeinsam genutzte Bereiche werden derzeit nicht für Domains unterstützt, die mit AWS Identity Center eingerichtet wurden.
-
VPCund die Subnetzkonfiguration kann nach der Erstellung der Domain nicht geändert werden. Sie können jedoch eine neue Domäne mit einer anderen VPC Subnetzkonfiguration erstellen.
-
Der Domänenzugriff kann nach dem Erstellen der Domäne nicht zwischen den SSO Modi IAM und geändert werden. Sie können eine neue Domain mit einem anderen Authentifizierungsmodus erstellen.
-
Es gibt ein Limit von vier Kernel-Gateway-Apps pro Instance-Typ, die für jeden Benutzer gestartet werden.
-
Jeder Benutzer kann nur eine Instanz jedes Instanztyps starten.
-
Es gibt Beschränkungen für den Ressourcenverbrauch innerhalb einer Domain, z. B. die Anzahl der nach Instance-Typen gestarteten Instanzen und die Anzahl der Benutzerprofile, die erstellt werden können. Eine vollständige Liste der Servicebeschränkungen finden Sie auf der Seite mit den Servicekontingenten.
-
Kunden können eine Support-Anfrage mit geschäftlicher Begründung einreichen, um die standardmäßigen Ressourcenlimits, wie z. B. die Anzahl der Domänen oder Benutzerprofile, zu erhöhen, für die Einschränkungen auf Kontoebene gelten.
-
Das feste Limit für die Anzahl gleichzeitiger Apps pro Konto liegt bei 2.500 Apps. Die Beschränkungen für Domänen und Benutzerprofile hängen von diesem festen Limit ab. Ein Konto kann beispielsweise eine einzelne Domäne mit 1.000 Benutzerprofilen oder 20 Domänen mit jeweils 50 Benutzerprofilen haben.