Domaines multiples et espaces partagés - SageMaker Bonnes pratiques en matière d'administration du studio
Configurez des espaces partagés dans votre domaineConfigurez votre domaine IAM (pour) la fédérationConfigurez votre domaine pour la fédération d'authentification unique (SSO)SageMaker Profil utilisateur d'AI StudioApplication Jupyter ServerL'application Jupyter Kernel GatewayEFSVolume d'AmazonEBSVolume d'AmazonSécurisation de l'accès aux documents pré-signés URLSageMaker Quotas et limites de domaines AI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Domaines multiples et espaces partagés

Amazon SageMaker AI prend désormais en charge la création de plusieurs domaines d' SageMaker IA en un seul Région AWS pour chaque compte. Chaque domaine peut avoir ses propres paramètres de domaine, tels que le mode d'authentification, et ses propres paramètres réseau, tels que VPC les sous-réseaux. Un profil utilisateur ne peut pas être partagé entre les domaines. Si un utilisateur humain fait partie de plusieurs équipes séparées par des domaines, créez un profil utilisateur pour l'utilisateur dans chaque domaine. Reportez-vous à la présentation des domaines multiples pour en savoir plus sur le remblayage des balises pour les domaines existants.

Chaque domaine configuré en mode IAM authentification peut utiliser un espace partagé pour une collaboration en temps quasi réel entre les utilisateurs. Avec un espace partagé, les utilisateurs ont accès à un EFS répertoire Amazon partagé et à une JupyterServerapplication partagée pour l'interface utilisateur, et peuvent co-modifier en temps quasi réel. Le balisage automatique des ressources créées par les espaces partagés permet aux administrateurs de suivre les coûts au niveau du projet. L' JupyterServer interface utilisateur partagée filtre également les ressources telles que les expériences et les entrées de registre des modèles afin que seuls les éléments pertinents pour le projet de machine learning partagé soient affichés. Le schéma suivant fournit une vue d'ensemble des applications privées et des espaces partagés au sein de chaque domaine.

Schéma présentant une vue d'ensemble des applications privées et des espaces partagés au sein d'un même domaine.

Vue d'ensemble des applications privées et des espaces partagés au sein d'un même domaine

Configurez des espaces partagés dans votre domaine

Les espaces partagés sont généralement créés pour une entreprise ou un projet de machine learning particulier où les membres d'un même domaine ont besoin d'un accès en temps quasi réel au même stockage de fichiers sous-jacent etIDE. L'utilisateur peut accéder à ses blocs-notes, les lire, les modifier et les partager en temps quasi réel, ce qui lui permet de commencer à itérer avec ses pairs le plus rapidement possible.

Pour créer un espace partagé, vous devez d'abord désigner un rôle d'exécution par défaut qui régira les autorisations de tout utilisateur utilisant l'espace. Au moment de la rédaction de cet article, tous les utilisateurs d'un domaine auront accès à tous les espaces partagés de leur domaine. Reportez-vous à la section Créer un espace partagé pour obtenir la dernière documentation sur l'ajout d'espaces partagés à un domaine existant.

Configurez votre domaine pour la IAM fédération

Avant de configurer la fédération AWS Identity and Access Management (IAM) pour votre domaine SageMaker AI Studio, vous devez configurer un rôle d'utilisateur de IAM fédération (tel qu'un administrateur de plateforme) dans votre IdP, comme indiqué dans la section Gestion des identités.

Pour obtenir des instructions détaillées sur la configuration d' SageMaker AI Studio avec IAM cette option, reportez-vous à la section Intégration au SageMaker domaine Amazon à l'aide IAM d'Identity Center.

Configurez votre domaine pour la fédération d'authentification unique (SSO)

Pour utiliser la fédération d'authentification unique (SSO), vous devez l'activer AWS IAM Identity Center dans votre compte de AWS Organizationsgestion dans la même région que celle dans laquelle vous devez exécuter SageMaker AI Studio. Les étapes de configuration du domaine sont similaires aux étapes de IAM fédération, sauf que vous sélectionnez AWS IAM Identity Center(iDC) dans la section Authentification.

Pour obtenir des instructions détaillées, reportez-vous à la section Intégration au SageMaker domaine Amazon à l'aide IAM d'Identity Center.

SageMaker Profil utilisateur d'AI Studio

Un profil utilisateur représente un utilisateur unique au sein d'un domaine et constitue le principal moyen de référencer une « personne » à des fins de partage, de reporting et d'autres fonctionnalités orientées vers l'utilisateur. Cette entité est créée lorsqu'un utilisateur intègre toSageMaker AI Studio. Si un administrateur invite une personne par e-mail ou l'importe depuis iDC, un profil utilisateur est automatiquement créé. Un profil utilisateur est le principal détenteur des paramètres d'un utilisateur individuel et contient une référence au répertoire personnel privé Amazon Elastic File System (AmazonEFS) de l'utilisateur. Nous vous recommandons de créer un profil utilisateur pour chaque utilisateur physique de l'application SageMaker AI Studio. Chaque utilisateur possède son propre répertoire dédié sur AmazonEFS, et les profils utilisateur ne peuvent pas être partagés entre les domaines d'un même compte.

Chaque profil utilisateur partageant le domaine SageMaker AI Studio reçoit des ressources de calcul dédiées (telles que des instances SageMaker AI Amazon Elastic Compute Cloud (AmazonEC2)) pour exécuter des blocs-notes. Les instances de calcul allouées à l'utilisateur 1 sont complètement isolées de celles allouées à l'utilisateur 2. De même, les ressources informatiques allouées aux utilisateurs d'un AWS compte sont complètement distinctes de celles allouées aux utilisateurs d'un autre compte. Chaque utilisateur peut exécuter jusqu'à quatre applications (applications) dans des conteneurs Docker isolés ou des images sur le même type d'instance.

Application Jupyter Server

Lorsque vous lancez un bloc-notes Amazon SageMaker AI Studio pour un utilisateur en accédant au pré-signé URL ou en vous connectant à l'aide d'AWSIAMiDC, l'application Jupyter Server est lancée dans l'instance gérée par le SageMaker service AI. VPC Chaque utilisateur dispose de sa propre application Jupyter Server dédiée dans une application privée. Par défaut, l'application Jupyter Server pour ordinateurs portables SageMaker AI Studio est exécutée sur une ml.t3.medium instance dédiée (réservée en tant que type d'instance système). Le calcul pour cette instance n'est pas facturé au client.

L'application Jupyter Kernel Gateway

L'application Kernel Gateway peut être créée via l'interface API ou l'interface SageMaker AI Studio, et elle s'exécute sur le type d'instance choisi. Cette application peut être exécutée à l'aide de l'une des images intégrées d' SageMaker AI Studio préconfigurées avec les logiciels de science des données les plus courants et de deep learning tels qu'TensorFlowApache MXNet et PyTorch.

Les utilisateurs peuvent démarrer et exécuter plusieurs noyaux de bloc-notes Jupyter, des sessions de terminal et des consoles interactives dans le même studio. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image

Pour créer des applications supplémentaires, vous devez utiliser un autre type d'instance. Un profil utilisateur ne peut avoir qu'une seule instance en cours d'exécution, quel que soit le type d'instance. Par exemple, un utilisateur peut exécuter à la fois un simple bloc-notes utilisant l'image de science des données intégrée à SageMaker AI Studio et un autre bloc-notes utilisant l' TensorFlow image intégrée, sur la même instance. Les utilisateurs sont facturés en fonction de la durée d'exécution de l'instance. Pour éviter des coûts lorsque l'utilisateur n'exécute pas activement SageMaker AI Studio, il doit arrêter l'instance. Pour plus d'informations, reportez-vous à la section Arrêter et mettre à jour les applications Studio.

Chaque fois que vous arrêtez et rouvrez une application Kernel Gateway depuis l'interface SageMaker AI Studio, cette application est démarrée sur une nouvelle instance. Cela signifie que l'installation du package n'est pas maintenue lors des redémarrages de la même application. De même, si un utilisateur change le type d'instance sur un bloc-notes, les packages installés et les variables de session sont perdus. Cependant, vous pouvez utiliser des fonctionnalités telles que l'ajout de votre propre image et des scripts de cycle de vie pour transférer les packages de l'utilisateur dans SageMaker AI Studio et les conserver via des changements d'instance et le lancement de nouvelles instances.

Volume Amazon Elastic File System

Lorsqu'un domaine est créé, un seul volume Amazon Elastic File System (AmazonEFS) est créé pour être utilisé par tous les utilisateurs du domaine. Chaque profil utilisateur reçoit un répertoire personnel privé dans le EFS volume Amazon pour stocker les blocs-notes, les GitHub référentiels et les fichiers de données de l'utilisateur. Chaque espace d'un domaine reçoit un répertoire privé au sein du EFS volume Amazon auquel plusieurs profils d'utilisateurs peuvent accéder. L'accès aux dossiers est séparé par utilisateur, par le biais des autorisations du système de fichiers. SageMaker AI Studio crée un identifiant utilisateur unique global pour chaque profil ou espace utilisateur, et l'applique en tant qu'interface de système d'exploitation portable (POSIX) pour accéder user/group ID for the user’s home directory on EFS, which prevents other users/spaces à ses données.

Sauvegarde et restauration

Un EFS volume existant ne peut pas être rattaché à un nouveau domaine SageMaker AI. Dans un environnement de production, assurez-vous que le EFS volume Amazon est sauvegardé (sur un autre EFS volume ou sur Amazon Simple Storage Service (Amazon S3)). Si un EFS volume est supprimé accidentellement, l'administrateur doit démonter et recréer le domaine SageMaker AI Studio. Procédez comme suit :

Sauvegardez la liste des profils utilisateur, des espaces et de EFS l'utilisateur associé IDs (UIDs) via les DescribeSpace API appels ListUserProfiles DescribeUserProfileList Spaces,, et.

  1. Créez un nouveau domaine SageMaker AI Studio.

  2. Créez les profils utilisateur et les espaces.

  3. Pour chaque profil utilisateur, copiez les fichiers de la sauvegarde sur EFS /Amazon S3.

  4. Supprimez éventuellement toutes les applications et tous les profils utilisateur de l'ancien domaine SageMaker AI Studio.

Pour des instructions détaillées, reportez-vous à la section annexe relative à la sauvegarde et à la restauration du domaine SageMaker AI Studio.

Note

Cela peut également être réalisé en LifecycleConfigurations sauvegardant les données depuis et vers S3 chaque fois qu'un utilisateur démarre son application.

EBSVolume d'Amazon

Un volume de stockage Amazon Elastic Block Store (AmazonEBS) est également associé à chaque instance d' SageMaker AI Studio Notebook. Il est utilisé comme volume racine du conteneur ou de l'image exécutée sur l'instance. Tant que le EFS stockage Amazon est persistant, le EBS volume Amazon attaché au conteneur est temporaire. Les données stockées localement sur Amazon EBS Volume ne seront pas conservées si le client supprime l'application.

Sécurisation de l'accès aux documents pré-signés URL

Lorsqu'un utilisateur d' SageMaker AI Studio ouvre le lien du bloc-notes, SageMaker AI Studio valide la IAM politique de l'utilisateur fédéré pour autoriser l'accès, puis génère et résout le lien pré-signé URL pour l'utilisateur. Comme la console SageMaker AI s'exécute sur un domaine Internet, celui-ci généré et pré-signé URL est visible dans la session du navigateur. Cela constitue un vecteur de menace indésirable pour le vol de données et l'accès aux données des clients lorsque les contrôles d'accès appropriés ne sont pas appliqués.

Studio prend en charge plusieurs méthodes pour renforcer les contrôles d'accès contre le vol de URL données pré-signées :

  • Validation de l'adresse IP du client en utilisant la condition IAM de politique aws:sourceIp

  • VPCValidation du client à l'aide de la IAM condition aws:sourceVpc

  • Validation du VPC terminal client à l'aide de la condition IAM de politique aws:sourceVpce

Lorsque vous accédez aux blocs-notes SageMaker AI Studio depuis la console SageMaker AI, la seule option disponible consiste à utiliser la validation de l'adresse IP du client avec la condition IAM aws:sourceIp de politique. Cependant, vous pouvez utiliser des produits de routage du trafic par navigateur tels que Zscaler pour garantir l'évolutivité et la conformité de l'accès Internet de votre personnel. Ces produits de routage du trafic génèrent leur propre adresse IP source, dont la plage d'adresses IP n'est pas contrôlée par l'entreprise cliente. Il est donc impossible pour ces entreprises clientes d'utiliser aws:sourceIp cette condition.

Pour utiliser la validation du point de VPC terminaison client à l'aide de la condition de IAM politiqueaws:sourceVpce, la création d'un point de terminaison pré-signé URL doit provenir du même client VPC où SageMaker AI Studio est déployé, et la résolution des URL besoins pré-signés doit se faire via un point de VPC terminaison SageMaker AI Studio sur le client. VPC Cette résolution du pré-signé URL pendant le temps d'accès pour les utilisateurs du réseau d'entreprise peut être réalisée à l'aide de règles de DNS transfert (à la fois dans Zscaler et dans l'entrepriseDNS), puis sur le point de VPC terminaison du client à l'aide d'un résolveur entrant Amazon Route 53, comme illustré dans l'architecture suivante :

Schéma illustrant l'accès à Studio pré-signé URL avec VPC Endpoint via le réseau d'entreprise.

Accès à Studio pré-signé URL avec VPC Endpoint via le réseau d'entreprise

Pour step-by-step obtenir des conseils sur la configuration de l'architecture précédente, reportez-vous à la section Secure Amazon SageMaker AI Studio présignée, URLs partie 1 : infrastructure de base.

SageMaker Quotas et limites de domaines AI

  • SageMaker La SSO fédération de domaines AI Studio n'est prise en charge que dans la région, sur tous les comptes membres de l' AWS organisation où AWS Identity Center est approvisionné.

  • Les espaces partagés ne sont actuellement pas pris en charge avec les domaines configurés avec AWS Identity Center.

  • VPCet la configuration du sous-réseau ne peut pas être modifiée après la création du domaine. Vous pouvez toutefois créer un nouveau domaine avec une configuration VPC de sous-réseau différente.

  • L'accès au domaine ne peut pas être commuté entre les SSO modes IAM et une fois le domaine créé. Vous pouvez créer un nouveau domaine avec un mode d'authentification différent.

  • Il existe une limite de quatre applications de passerelle de noyau par type d'instance lancées pour chaque utilisateur.

  • Chaque utilisateur ne peut lancer qu'une seule instance de chaque type d'instance.

  • Les ressources consommées au sein d'un domaine sont limitées, telles que le nombre d'instances lancées par type d'instance et le nombre de profils utilisateur pouvant être créés. Reportez-vous à la page des quotas de service pour obtenir la liste complète des limites de service.

  • Les clients peuvent soumettre un dossier de support d'entreprise avec une justification commerciale pour augmenter les limites de ressources par défaut, telles que le nombre de domaines ou les profils d'utilisateurs, sous réserve de garanties au niveau du compte.

  • La limite stricte du nombre d'applications simultanées par compte est de 2 500 applications. Les limites des domaines et des profils utilisateurs dépendent de cette limite stricte. Par exemple, un compte peut avoir un seul domaine avec 1 000 profils d'utilisateurs, ou 20 domaines avec 50 profils d'utilisateur chacun.