Varios dominios y espacios compartidos - SageMaker Mejores prácticas de administración de Studio
Configura espacios compartidos en tu dominioConfigura tu dominio IAM (para) la federaciónConfigura tu dominio para la federación de inicio de sesión único () SSOSageMaker Perfil de usuario de AI StudioAplicación Jupyter ServerLa aplicación Jupyter Kernel GatewayEFSVolumen de AmazonEBSVolumen de AmazonAsegurar el acceso a lo prefirmado URLSageMaker Cuotas y límites de dominios de IA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Varios dominios y espacios compartidos

Amazon SageMaker AI ahora admite la creación de varios dominios de SageMaker IA en uno solo Región de AWS para cada cuenta. Cada dominio puede tener su propia configuración de dominio, como el modo de autenticación, y una configuración de red, como VPC las subredes. Un perfil de usuario no se puede compartir entre varios dominios. Si un usuario humano forma parte de varios equipos separados por dominios, cree un perfil de usuario para el usuario en cada dominio. Consulte la Información general sobre varios dominios para obtener información sobre la reposición de etiquetas de los dominios existentes.

Cada dominio configurado en modo de IAM autenticación puede utilizar un espacio compartido para una colaboración entre usuarios prácticamente en tiempo real. Con un espacio compartido, los usuarios tienen acceso a un EFS directorio compartido de Amazon y a una JupyterServeraplicación compartida para la interfaz de usuario, y pueden coeditar prácticamente en tiempo real. El etiquetado automático de los recursos creados por los espacios compartidos permite a los administradores realizar un seguimiento de los costos a nivel de proyecto. La JupyterServer interfaz de usuario compartida también filtra recursos como los experimentos y las entradas de registro de modelos para que solo se muestren los elementos relevantes para la tarea de aprendizaje automático compartida. En el diagrama siguiente, se proporciona información general sobre las aplicaciones privadas y los espacios compartidos de cada dominio.

Un diagrama donde se muestra una descripción general de las aplicaciones privadas y los espacios compartidos dentro de un único dominio.

Información general sobre las aplicaciones privadas y los espacios compartidos dentro de un único dominio

Configura espacios compartidos en tu dominio

Por lo general, los espacios compartidos se crean para un proyecto o proyecto de aprendizaje automático en particular, en el que los miembros de un solo dominio requieren acceso casi en tiempo real al mismo almacenamiento de archivos subyacente yIDE. El usuario puede acceder a sus libretas de notas, leerlas, editarlas y compartirlas prácticamente en tiempo real, lo que le proporciona la forma más rápida de empezar a iterar con sus compañeros.

Para crear un espacio compartido, primero debe designar una función de ejecución predeterminada en el espacio que regirá los permisos de cualquier usuario que utilice el espacio. En el momento de escribir este artículo, todos los usuarios de un dominio tendrán acceso a todos los espacios compartidos de su dominio. Consulta Crear un espacio compartido para obtener la documentación más reciente sobre cómo añadir espacios compartidos a un dominio existente.

Configura tu dominio para la IAM federación

Antes de configurar la federación AWS Identity and Access Management (IAM) para tu dominio de SageMaker AI Studio, debes configurar un rol de usuario de IAM federación (como un administrador de plataforma) en tu IDP, tal y como se explica en la sección Gestión de identidades.

Para obtener instrucciones detalladas sobre cómo configurar SageMaker AI Studio con IAM esta opción, consulta Cómo integrar Amazon SageMaker Domain Using IAM Identity Center.

Configura tu dominio para la federación de inicio de sesión único () SSO

Para usar la federación de inicio de sesión único (SSO), debes habilitarla AWS IAM Identity Center en tu cuenta de AWS Organizationsadministración en la misma región en la que necesitas ejecutar AI Studio. SageMaker Los pasos de configuración del dominio son similares a los de IAM la federación, excepto que seleccionas AWS IAM Identity Center(iDC) en la sección de autenticación.

Para obtener instrucciones detalladas, consulta Cómo incorporar un SageMaker dominio de Amazon mediante IAM Identity Center.

SageMaker Perfil de usuario de AI Studio

Un perfil de usuario representa a un único usuario dentro de un dominio y es la forma principal de hacer referencia a una “persona” con el propósito de compartir, generar informes y otras características orientadas al usuario. Esta entidad se crea cuando un usuario incorpora toSageMaker AI Studio. Si un administrador invita a una persona por correo electrónico o la importa desde IdC, se crea automáticamente un perfil de usuario. Un perfil de usuario es el titular principal de la configuración de un usuario individual y tiene una referencia al directorio principal privado de Amazon Elastic File System (AmazonEFS) del usuario. Recomendamos crear un perfil de usuario para cada usuario físico de la aplicación SageMaker AI Studio. Cada usuario tiene su propio directorio dedicado en Amazon EFS y los perfiles de usuario no se pueden compartir entre dominios de la misma cuenta.

Cada perfil de usuario que comparte el dominio de SageMaker AI Studio recibe recursos de cómputo dedicados (como instancias de SageMaker IA de Amazon Elastic Compute Cloud (AmazonEC2)) para ejecutar cuadernos. Las instancias informáticas asignadas al usuario uno están completamente aisladas de las asignadas al usuario dos. Del mismo modo, los recursos informáticos asignados a los usuarios de una AWS cuenta son completamente independientes de los asignados a los usuarios de otra cuenta. Cada usuario puede ejecutar hasta cuatro aplicaciones (aplicaciones) en contenedores Docker aislados o imágenes en el mismo tipo de instancia.

Aplicación Jupyter Server

Cuando lanzas un bloc de notas de Amazon SageMaker AI Studio para un usuario accediendo al prefirmado URL o iniciando sesión con AWS IAM iDC, la aplicación Jupyter Server se lanza en la instancia gestionada por el SageMaker servicio de IA. VPC Cada usuario obtiene su propia aplicación dedicada de Jupyter Server en una aplicación privada. De forma predeterminada, la aplicación Jupyter Server para ordenadores portátiles SageMaker AI Studio se ejecuta en una ml.t3.medium instancia dedicada (reservada como tipo de instancia del sistema). El procesamiento de esta instancia no se factura al cliente.

La aplicación Jupyter Kernel Gateway

La aplicación Kernel Gateway se puede crear a través de la interfaz API o de SageMaker AI Studio y se ejecuta en el tipo de instancia elegido. Esta aplicación se puede ejecutar con una de las imágenes integradas de SageMaker AI Studio que vienen preconfiguradas con los populares paquetes de ciencia de datos y aprendizaje profundo TensorFlow, como Apache MXNet y PyTorch.

Los usuarios pueden iniciar y ejecutar varios núcleos de portátiles Jupyter, sesiones de terminal y consolas interactivas en el mismo estudio. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image

Para crear aplicaciones adicionales, debes usar un tipo de instancia diferente. Un perfil de usuario solo puede tener una instancia en ejecución, de cualquier tipo de instancia. Por ejemplo, un usuario puede ejecutar tanto un bloc de notas simple con la imagen de ciencia de datos integrada de SageMaker AI Studio como otro portátil con la TensorFlow imagen integrada, en la misma instancia. A los usuarios se les factura por el tiempo que la instancia esté en ejecución. Para evitar costes cuando el usuario no ejecuta SageMaker AI Studio de forma activa, el usuario debe cerrar la instancia. Para obtener más información, consulta Cómo cerrar y actualizar las aplicaciones de Studio.

Cada vez que cierras y vuelves a abrir una aplicación de Kernel Gateway desde la interfaz de SageMaker AI Studio, esa aplicación se inicia en una nueva instancia. Esto significa que la instalación del paquete no se prolonga hasta que se reinicie la misma aplicación. Del mismo modo, si un usuario cambia el tipo de instancia en un portátil, se pierden los paquetes instalados y las variables de sesión. Sin embargo, puedes usar funciones como crear tu propia imagen y scripts de ciclo de vida para incorporar los paquetes del usuario a SageMaker AI Studio y conservarlos durante los cambios de instancia y el lanzamiento de nuevas instancias.

Volumen de Amazon Elastic File System

Cuando se crea un dominio, se crea un único volumen de Amazon Elastic File System (AmazonEFS) para que lo utilicen todos los usuarios del dominio. Cada perfil de usuario recibe un directorio principal privado dentro del EFS volumen de Amazon para almacenar las libretas, los GitHub repositorios y los archivos de datos del usuario. Cada espacio de un dominio recibe un directorio privado dentro del EFS volumen de Amazon al que pueden acceder varios perfiles de usuario. El acceso a las carpetas está segregado por usuario, mediante permisos del sistema de archivos. SageMaker AI Studio crea un identificador de usuario global único para cada perfil o espacio de usuario y lo aplica como una interfaz de sistema operativo portátil (POSIX) para acceder user/group ID for the user’s home directory on EFS, which prevents other users/spaces a sus datos.

Copia de seguridad y recuperación

Un EFS volumen existente no se puede adjuntar a un nuevo dominio de SageMaker IA. En un entorno de producción, asegúrese de que se haya realizado una copia de seguridad del EFS volumen de Amazon (en otro EFS volumen o en Amazon Simple Storage Service (Amazon S3)). Si un EFS volumen se elimina accidentalmente, el administrador tiene que desmontar el dominio de SageMaker AI Studio y volver a crearlo. El proceso es el siguiente:

Realiza una copia de seguridad de la lista de perfiles de usuario, espacios y el EFS usuario asociado IDs (UIDs) a través de las DescribeSpace API llamadas ListUserProfiles DescribeUserProfileList Spaces, y.

  1. Crea un nuevo dominio de SageMaker AI Studio.

  2. Crea los perfiles y espacios de usuario.

  3. Para cada perfil de usuario, copia los archivos de la copia de seguridad en EFS /Amazon S3.

  4. Si lo desea, elimine todas las aplicaciones y los perfiles de usuario del antiguo dominio de SageMaker AI Studio.

Para obtener instrucciones detalladas, consulta la sección del apéndice Copia de seguridad y recuperación de dominios de SageMaker AI Studio.

nota

Esto también se puede lograr haciendo una LifecycleConfigurations copia de seguridad de los datos desde y hacia S3 cada vez que un usuario inicia su aplicación.

EBSVolumen de Amazon

También se adjunta un volumen de almacenamiento de Amazon Elastic Block Store (AmazonEBS) a cada instancia de SageMaker AI Studio Notebook. Se utiliza como volumen raíz del contenedor o la imagen que se ejecuta en la instancia. Si bien el EFS almacenamiento de Amazon es persistente, el EBS volumen de Amazon adjunto al contenedor es temporal. Los datos almacenados localmente en el EBS volumen de Amazon no se conservarán si el cliente elimina la aplicación.

Asegurar el acceso a los datos prefirmados URL

Cuando un usuario de SageMaker AI Studio abre el enlace del bloc de notas, SageMaker AI Studio valida la IAM política del usuario federado para autorizar el acceso y genera y resuelve la prefirmada URL para el usuario. Como la consola de SageMaker IA se ejecuta en un dominio de Internet, el dominio generado y prefirmado URL se puede ver en la sesión del navegador. Esto representa un vector de amenaza no deseado para el robo de datos y el acceso a los datos de los clientes cuando no se aplican los controles de acceso adecuados.

Studio admite algunos métodos para reforzar los controles de acceso contra el robo de datos prefirmadosURL:

  • Validación de la IP del cliente mediante la condición de política IAM aws:sourceIp

  • VPCValidación del cliente mediante la IAM condición aws:sourceVpc

  • Validación del VPC punto final del cliente mediante la condición IAM de política aws:sourceVpce

Al acceder a los cuadernos de SageMaker AI Studio desde la consola de SageMaker AI, la única opción disponible es utilizar la validación de la IP del cliente con la condición aws:sourceIp de la IAM política. Sin embargo, puedes usar productos de enrutamiento de tráfico a través del navegador, como Zscaler, para garantizar la escalabilidad y el cumplimiento del acceso a Internet de tus empleados. Estos productos de enrutamiento de tráfico generan su propia IP de origen, cuyo rango de IP no está controlado por el cliente empresarial. Esto hace que sea imposible para estos clientes empresariales utilizar la aws:sourceIp condición.

Para utilizar la validación del VPC punto final del cliente mediante la condición de la IAM políticaaws:sourceVpce, la creación de un dispositivo prefirmado URL debe originarse en el mismo cliente en el VPC que se implementa SageMaker AI Studio, y la resolución del punto final prefirmado URL debe realizarse a través de un VPC terminal de SageMaker AI Studio instalado en el cliente. VPC Esta resolución de lo prefirmado URL durante el tiempo de acceso para los usuarios de la red corporativa se puede lograr mediante reglas de DNS reenvío (tanto en Zscaler como en la empresaDNS) y, luego, al punto final del cliente VPC mediante un solucionador de entradas Amazon Route 53, como se muestra en la siguiente arquitectura:

Un diagrama que muestra el acceso a Studio prefirmado URL con el terminal a través de la red corporativa. VPC

Acceso a Studio prefirmado URL con un VPC terminal a través de la red corporativa

Para obtener step-by-step instrucciones sobre la configuración de la arquitectura anterior, consulte Secure Amazon SageMaker AI Studio presigned URLs Part 1: Infraestructura fundamental.

SageMaker Cuotas y límites de dominios de IA

  • SageMaker La SSO federación de dominios de AI Studio solo se admite en la región, en todas las cuentas de los miembros de la AWS organización en la que se aprovisiona AWS Identity Center.

  • Actualmente, los espacios compartidos no son compatibles con los dominios configurados con AWS Identity Center.

  • VPCy la configuración de la subred no se puede cambiar después de crear el dominio. Sin embargo, puede crear un dominio nuevo con una configuración de subred diferenteVPC.

  • El acceso al dominio no se puede cambiar de un IAM SSO modo a otro después de crear el dominio. Puede crear un dominio nuevo con un modo de autenticación diferente.

  • Hay un límite de cuatro aplicaciones de puerta de enlace del núcleo por tipo de instancia lanzadas para cada usuario.

  • Cada usuario puede lanzar solo una instancia de cada tipo de instancia.

  • Hay límites en cuanto a los recursos que se consumen en un dominio, como el número de instancias lanzadas por tipo de instancia y el número de perfiles de usuario que se pueden crear. Consulta la página de cuotas de servicio para obtener una lista completa de los límites de servicio.

  • Los clientes pueden presentar un caso de soporte empresarial con una justificación empresarial para aumentar los límites de recursos predeterminados, como el número de dominios o perfiles de usuario, sujetos a restricciones a nivel de cuenta.

  • El límite máximo de aplicaciones simultáneas por cuenta es de 2500 aplicaciones. Los límites de dominios y perfiles de usuario dependen de este límite estricto. Por ejemplo, una cuenta puede tener un único dominio con 1000 perfiles de usuario o 20 dominios con 50 perfiles de usuario cada uno.