Mehrere Domains und gemeinsam genutzte Bereiche - SageMaker Bewährte Methoden für die Studio-Administration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mehrere Domains und gemeinsam genutzte Bereiche

Amazon SageMaker AI unterstützt jetzt die Erstellung mehrerer SageMaker KI-Domains in einer einzigen AWS-Region für jedes Konto. Jede Domain kann ihre eigenen Domain-Einstellungen wie den Authentifizierungsmodus und Netzwerkeinstellungen wie VPC Subnetze haben. Ein Benutzerprofil kann nicht domänenübergreifend gemeinsam genutzt werden. Wenn ein menschlicher Benutzer Teil mehrerer Teams ist, die durch Domänen getrennt sind, erstellen Sie in jeder Domäne ein Benutzerprofil für den Benutzer. Weitere Informationen zum Hinterfüllen von Tags für bestehende Domänen finden Sie in der Übersicht über mehrere Domänen.

Jede im IAM Authentifizierungsmodus eingerichtete Domain kann gemeinsam genutzten Speicherplatz für die Zusammenarbeit zwischen Benutzern nahezu in Echtzeit nutzen. Mit einem gemeinsamen Bereich erhalten Benutzer Zugriff auf ein gemeinsames EFS Amazon-Verzeichnis und eine gemeinsam genutzte JupyterServerApp für die Benutzeroberfläche und können sie nahezu in Echtzeit gemeinsam bearbeiten. Die automatische Kennzeichnung von Ressourcen, die in gemeinsam genutzten Bereichen erstellt wurden, ermöglicht es den Administratoren, die Kosten auf Projektebene zu verfolgen. Die gemeinsam genutzte JupyterServer Benutzeroberfläche filtert auch Ressourcen wie Experimente und Modellregistrierungseinträge, sodass nur Elemente angezeigt werden, die für das gemeinsame ML-Projekt relevant sind. Das folgende Diagramm bietet einen Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb der einzelnen Domänen.

Ein Diagramm, das einen Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb einer einzelnen Domain darstellt.

Überblick über private Apps und gemeinsam genutzte Bereiche innerhalb einer einzigen Domain

Richten Sie gemeinsame Bereiche in Ihrer Domain ein

Gemeinsam genutzte Bereiche werden in der Regel für ein bestimmtes ML-Unterfangen oder -Projekt erstellt, bei dem Mitglieder einer einzelnen Domain nahezu in Echtzeit Zugriff auf denselben zugrunde liegenden Dateispeicher und IDE benötigen. Der Benutzer kann nahezu in Echtzeit auf seine Notizbücher zugreifen, sie lesen, bearbeiten und teilen, was ihm den schnellsten Weg bietet, mit seinen Kollegen zu iterieren.

Um einen gemeinsam genutzten Bereich zu erstellen, müssen Sie zunächst eine standardmäßige Ausführungsrolle für den Bereich festlegen, die die Berechtigungen aller Benutzer bestimmt, die den Bereich nutzen. Zum Zeitpunkt der Erstellung dieses Artikels haben alle Benutzer innerhalb einer Domäne Zugriff auf alle gemeinsam genutzten Bereiche in ihrer Domäne. Die aktuelle Dokumentation zum Hinzufügen von Shared Spaces zu einer bestehenden Domain finden Sie unter Shared Space erstellen.

Richten Sie Ihre Domain für den IAM Verbund ein

Bevor Sie den AWS Identity and Access Management (IAM) -Verbund für Ihre SageMaker AI Studio-Domain einrichten, müssen Sie eine IAM Verbundbenutzerrolle (z. B. einen Plattformadministrator) in Ihrem IdP einrichten, wie im Abschnitt Identitätsmanagement beschrieben.

Detaillierte Anweisungen zur Einrichtung von SageMaker AI Studio mit dieser IAM Option finden Sie unter Onboard to Amazon SageMaker Domain Using IAM Identity Center.

Richten Sie Ihre Domain für den Single Sign-On (SSO) -Verbund ein

Um den Single Sign-On (SSO) -Verbund zu verwenden, müssen Sie AWS IAM Identity Center ihn in Ihrem AWS OrganizationsVerwaltungskonto in derselben Region aktivieren, in der Sie SageMaker AI Studio ausführen müssen. Die Schritte zur Einrichtung der Domäne ähneln den Schritten für den IAM Verbund, mit der Ausnahme, dass Sie im Abschnitt Authentifizierung die Option AWS IAM Identity Center(iDC) auswählen.

Eine ausführliche Anleitung finden Sie unter Onboarding to Amazon SageMaker Domain Using IAM Identity Center.

SageMaker AI Studio-Benutzerprofil

Ein Benutzerprofil stellt einen einzelnen Benutzer innerhalb einer Domain dar und ist die wichtigste Methode, um auf eine „Person“ Bezug zu nehmen, um sie zu teilen, Berichte zu erstellen und andere benutzerorientierte Funktionen zu nutzen. Diese Entität wird erstellt, wenn ein Benutzer toSageMaker AI Studio einloggt. Wenn ein Administrator eine Person per E-Mail einlädt oder sie aus IdC importiert, wird automatisch ein Benutzerprofil erstellt. Ein Benutzerprofil ist der primäre Inhaber der Einstellungen für einen einzelnen Benutzer und enthält einen Verweis auf das private Amazon Elastic File System (AmazonEFS) -Home-Verzeichnis des Benutzers. Wir empfehlen, für jeden physischen Benutzer der SageMaker AI Studio-Anwendung ein Benutzerprofil zu erstellen. Jeder Benutzer hat sein eigenes Verzeichnis bei AmazonEFS, und Benutzerprofile können nicht domänenübergreifend in demselben Konto gemeinsam genutzt werden.

Jedes Benutzerprofil, das die SageMaker AI Studio-Domain teilt, erhält dedizierte Rechenressource (n) (z. B. SageMaker AI Amazon Elastic Compute Cloud (AmazonEC2) -Instanz (en)) zum Ausführen von Notebooks. Die Compute-Instances, die Benutzer eins zugewiesen sind, sind vollständig von denen isoliert, die Benutzer zwei zugewiesen sind. In ähnlicher Weise sind die Rechenressourcen, die Benutzern in einem AWS Konto zugewiesen sind, vollständig von denen getrennt, die Benutzern in einem anderen Konto zugewiesen sind. Jeder Benutzer kann bis zu vier Anwendungen (Apps) in isolierten Docker-Containern oder Images auf demselben Instanztyp ausführen.

Jupyter Server-App

Wenn Sie ein Amazon SageMaker AI Studio-Notizbuch für einen Benutzer starten, indem Sie auf das vorsignierte Notizbuch zugreifen URL oder sich mit AWS IAM iDC anmelden, wird die Jupyter Server-App in der vom AI-Service verwalteten Instance gestartet. SageMaker VPC Jeder Benutzer erhält seine eigene dedizierte Jupyter Server-App in einer privaten App. Standardmäßig wird die Jupyter Server-App für SageMaker AI Studio-Notebooks auf einer dedizierten ml.t3.medium Instanz ausgeführt (die als Systeminstanztyp reserviert ist). Die Rechenleistung für diese Instanz wird dem Kunden nicht in Rechnung gestellt.

Die Jupyter Kernel Gateway-App

Die Kernel Gateway-App kann über die API oder die SageMaker AI Studio-Oberfläche erstellt werden und läuft auf dem ausgewählten Instanztyp. Diese App kann mit einem der integrierten SageMaker AI Studio-Images ausgeführt werden, die mit gängigen Datenwissenschaft- und Deep-Learning-Paketen wie TensorFlowApache MXNet und PyTorchvorkonfiguriert sind.

Benutzer können mehrere Jupyter-Notebook-Kernel, Terminalsitzungen und interaktive Konsolen im selben Studio starten und ausführen. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image

Um zusätzliche Apps zu erstellen, müssen Sie einen anderen Instanztyp verwenden. In einem Benutzerprofil kann nur eine Instanz eines beliebigen Instanztyps ausgeführt werden. Beispielsweise kann ein Benutzer sowohl ein einfaches Notebook mit dem integrierten Data-Science-Image von SageMaker AI Studio als auch ein anderes Notebook mit dem integrierten TensorFlow Image auf derselben Instanz ausführen. Benutzern wird die Zeit in Rechnung gestellt, in der die Instanz ausgeführt wird. Um Kosten zu vermeiden, wenn der Benutzer SageMaker AI Studio nicht aktiv ausführt, muss der Benutzer die Instanz herunterfahren. Weitere Informationen finden Sie unter Studio-Apps herunterfahren und aktualisieren.

Jedes Mal, wenn Sie eine Kernel Gateway-App über die SageMaker AI Studio-Oberfläche herunterfahren und erneut öffnen, wird diese App auf einer neuen Instanz gestartet. Das bedeutet, dass die Installation des Pakets nicht durch Neustarts derselben App beibehalten wird. Ebenso gehen die installierten Pakete und Sitzungsvariablen verloren, wenn ein Benutzer den Instanztyp auf einem Notebook ändert. Sie können jedoch Funktionen wie Bring Your Own Image und Lifecycle-Skripte verwenden, um die eigenen Pakete des Benutzers in SageMaker AI Studio zu übertragen und sie über Instanzwechsel und den Start neuer Instanzen beizubehalten.

Amazon Elastic File System-Volume

Wenn eine Domain erstellt wird, wird ein einzelnes Amazon Elastic File System (AmazonEFS) -Volume erstellt, das von allen Benutzern innerhalb der Domain verwendet werden kann. Jedes Benutzerprofil erhält ein privates Home-Verzeichnis innerhalb des EFS Amazon-Volumes, in dem die Notizbücher, GitHub Repositorys und Datendateien des Benutzers gespeichert werden. Jeder Bereich innerhalb einer Domain erhält ein privates Verzeichnis innerhalb des EFS Amazon-Volumes, auf das mehrere Benutzerprofile zugreifen können. Der Zugriff auf die Ordner ist durch Dateisystemberechtigungen nach Benutzern getrennt. SageMaker AI Studio erstellt für jedes Benutzerprofil oder jeden Bereich eine globale eindeutige Benutzer-ID und wendet diese als tragbare Betriebssystemschnittstelle (POSIX) für den Zugriff auf die Daten user/group ID for the user’s home directory on EFS, which prevents other users/spaces an.

Sicherung und Wiederherstellung

Ein vorhandenes EFS Volume kann nicht an eine neue SageMaker AI-Domain angehängt werden. Stellen Sie in einer Produktionsumgebung sicher, dass das EFS Amazon-Volume gesichert ist (auf einem anderen EFS Volume oder auf Amazon Simple Storage Service (Amazon S3)). Wenn ein EFS Volume versehentlich gelöscht wird, muss der Administrator die SageMaker AI Studio-Domain entfernen und neu erstellen. Der Prozess läuft folgendermaßen ab:

Erstellen Sie über die DescribeSpace API Aufrufe,, und eine Sicherungskopie der Liste der EFS Benutzerprofile ListUserProfiles DescribeUserProfileList Spaces, Bereiche und des zugehörigen Benutzers IDs (UIDs).

  1. Erstellen Sie eine neue SageMaker AI Studio-Domäne.

  2. Erstellen Sie die Benutzerprofile und Bereiche.

  3. Kopieren Sie für jedes Benutzerprofil die Dateien aus dem Backup auf EFS /Amazon S3.

  4. Löschen Sie optional alle Apps und Benutzerprofile in der alten SageMaker AI Studio-Domain.

Detaillierte Anweisungen finden Sie im Anhang, Abschnitt SageMaker AI Studio-Domain-Backup und -Wiederherstellung.

Anmerkung

Dies kann auch dadurch erreicht werdenLifecycleConfigurations, dass jedes Mal, wenn ein Benutzer seine App startet, Daten auf und von S3 gesichert werden.

EBSAmazon-Volumen

Jeder SageMaker AI Studio Notebook-Instance ist außerdem ein Amazon Elastic Block Store (AmazonEBS) -Speichervolume zugeordnet. Es wird als Root-Volume des Containers oder Images verwendet, das auf der Instance ausgeführt wird. Während der EFS Amazon-Speicher persistent ist, ist das an den Container angehängte EBS Amazon-Volume temporär. Die lokal auf Amazon EBS Volume gespeicherten Daten werden nicht dauerhaft gespeichert, wenn der Kunde die App löscht.

Sicherung des Zugriffs auf die vorab signierte Datei URL

Wenn ein SageMaker AI Studio-Benutzer den Notizbuch-Link öffnet, validiert SageMaker AI Studio die IAM Richtlinie des Verbundbenutzers zur Autorisierung des Zugriffs und generiert die vorsignierte Version für den Benutzer und löst sie auf. URL Da die SageMaker AI-Konsole auf einer Internetdomäne läuft, URL ist diese generierte, vorsignierte Datei in der Browsersitzung sichtbar. Dies stellt einen unerwünschten Bedrohungsvektor für Datendiebstahl und den Zugriff auf Kundendaten dar, wenn keine angemessenen Zugriffskontrollen durchgesetzt werden.

Studio unterstützt einige Methoden zur Durchsetzung von Zugriffskontrollen gegen URL vorsignierten Datendiebstahl:

  • IP-Validierung des Clients anhand der Richtlinienbedingung IAM aws:sourceIp

  • VPCClient-Validierung anhand der IAM Bedingung aws:sourceVpc

  • Validierung des VPC Client-Endpunkts mithilfe der IAM Richtlinienbedingung aws:sourceVpce

Wenn Sie von der AI-Konsole aus auf SageMaker SageMaker AI Studio-Notebooks zugreifen, besteht die einzige verfügbare Option darin, die Client-IP-Validierung mit der IAM Richtlinienbedingung zu verwendenaws:sourceIp. Sie können jedoch Produkte zum Routing von Browser-Traffic wie Zscaler verwenden, um sicherzustellen, dass der Internetzugang Ihrer Belegschaft skalierbar und gesetzeskonform ist. Diese Traffic-Routing-Produkte generieren ihre eigene Quell-IP, deren IP-Bereich nicht vom Unternehmenskunden kontrolliert wird. Dies macht es diesen Unternehmenskunden unmöglich, die aws:sourceIp Bedingung zu nutzen.

Um die VPC Client-Endpunktvalidierung anhand der IAM Richtlinienbedingung zu verwendenaws:sourceVpce, URL muss die Erstellung einer vorab signierten Anforderung von demselben Kunden stammen, auf VPC dem SageMaker AI Studio bereitgestellt wird, und die Lösung der vorab signierten URL Anforderungen muss über einen SageMaker AI VPC Studio-Endpunkt auf dem Kunden erfolgen. VPC Diese Auflösung der vorsignierten Daten URL während des Zugriffs für Benutzer des Unternehmensnetzwerks kann mithilfe von DNS Weiterleitungsregeln (sowohl in Zscaler als auch in CorporateDNS) und dann mithilfe eines Amazon Route 53-Inbound-Resolvers zum VPC Kundenendpunkt erfolgen, wie in der folgenden Architektur dargestellt:

Ein Diagramm, das den Zugriff auf Studio mit URL vorsigniertem Endpunkt über das Unternehmensnetzwerk zeigt. VPC

Zugriff auf Studio URL mit vorsigniertem VPC Endpunkt über das Unternehmensnetzwerk

step-by-stepAnleitungen zur Einrichtung der vorherigen Architektur finden Sie unter Secure Amazon SageMaker AI Studio Presigned URLs Part 1: Fundamentale Infrastruktur.

SageMaker Kontingente und Limits für KI-Domains

  • SageMaker Der AI SSO Studio-Domänenverbund wird nur in der Region unterstützt, und zwar für alle Mitgliedskonten der AWS Organisation, in der AWS Identity Center bereitgestellt wird.

  • Gemeinsam genutzte Bereiche werden derzeit nicht für Domains unterstützt, die mit AWS Identity Center eingerichtet wurden.

  • VPCund die Subnetzkonfiguration kann nach der Erstellung der Domain nicht geändert werden. Sie können jedoch eine neue Domäne mit einer anderen VPC Subnetzkonfiguration erstellen.

  • Der Domänenzugriff kann nach dem Erstellen der Domäne nicht zwischen den SSO Modi IAM und geändert werden. Sie können eine neue Domain mit einem anderen Authentifizierungsmodus erstellen.

  • Es gibt ein Limit von vier Kernel-Gateway-Apps pro Instance-Typ, die für jeden Benutzer gestartet werden.

  • Jeder Benutzer kann nur eine Instanz jedes Instanztyps starten.

  • Es gibt Beschränkungen für den Ressourcenverbrauch innerhalb einer Domain, z. B. die Anzahl der nach Instance-Typen gestarteten Instanzen und die Anzahl der Benutzerprofile, die erstellt werden können. Eine vollständige Liste der Servicebeschränkungen finden Sie auf der Seite mit den Servicekontingenten.

  • Kunden können eine Support-Anfrage mit geschäftlicher Begründung einreichen, um die standardmäßigen Ressourcenlimits, wie z. B. die Anzahl der Domänen oder Benutzerprofile, zu erhöhen, für die Einschränkungen auf Kontoebene gelten.

  • Das feste Limit für die Anzahl gleichzeitiger Apps pro Konto liegt bei 2.500 Apps. Die Beschränkungen für Domänen und Benutzerprofile hängen von diesem festen Limit ab. Ein Konto kann beispielsweise eine einzelne Domäne mit 1.000 Benutzerprofilen oder 20 Domänen mit jeweils 50 Benutzerprofilen haben.