View a markdown version of this page

Buat domain Amazon SageMaker AI dengan RStudio menggunakan AWS CLI - Amazon SageMaker AI
PrasyaratBuat DomainExecutionperanBuat domain Amazon SageMaker AI dengan Aplikasi RStudioVerifikasi pembuatan domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat domain Amazon SageMaker AI dengan RStudio menggunakan AWS CLI

penting

Kebijakan IAM khusus yang memungkinkan Amazon SageMaker Studio atau Amazon SageMaker Studio Classic membuat SageMaker sumber daya Amazon juga harus memberikan izin untuk menambahkan tag ke sumber daya tersebut. Izin untuk menambahkan tag ke sumber daya diperlukan karena Studio dan Studio Classic secara otomatis menandai sumber daya apa pun yang mereka buat. Jika kebijakan IAM memungkinkan Studio dan Studio Classic membuat sumber daya tetapi tidak mengizinkan penandaan, kesalahan "AccessDenied" dapat terjadi saat mencoba membuat sumber daya. Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya AI SageMaker.

AWS kebijakan terkelola untuk Amazon SageMaker AIyang memberikan izin untuk membuat SageMaker sumber daya sudah menyertakan izin untuk menambahkan tag saat membuat sumber daya tersebut.

Topik berikut menunjukkan cara onboard ke domain Amazon SageMaker AI dengan RStudio diaktifkan menggunakan file. AWS CLI Untuk onboard menggunakan Konsol Manajemen AWS, lihatIkhtisar domain Amazon SageMaker AI.

Prasyarat

Buat DomainExecutionperan

Untuk meluncurkan Aplikasi RStudio, Anda harus memberikan DomainExecution peran. Peran ini digunakan untuk menentukan apakah RStudio perlu diluncurkan sebagai bagian dari pembuatan domain Amazon SageMaker AI. Peran ini juga digunakan oleh Amazon SageMaker AI untuk mengakses Lisensi RStudio dan mendorong log RStudio. 

catatan

DomainExecutionPeran harus memiliki setidaknya AWS License Manager izin untuk mengakses Lisensi RStudio, dan CloudWatch izin untuk mendorong log di akun Anda.

Prosedur berikut menunjukkan cara membuat DomainExecution peran dengan AWS CLI.

  1. Buat file dengan nama assume-role-policy.json dengan konten berikut ini.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            }
        }
    ]
}

  2. Buat DomainExecution peran. <REGION>harus menjadi AWS Wilayah untuk meluncurkan domain Anda. 

    aws iam create-role --region <REGION> --role-name DomainExecution --assume-role-policy-document file://assume-role-policy.json

  3. Buat file dengan nama domain-setting-policy.json dengan konten berikut ini. Kebijakan ini memungkinkan RStudioServerPro aplikasi mengakses sumber daya yang diperlukan dan memungkinkan Amazon SageMaker AI meluncurkan RStudioServerPro aplikasi secara otomatis saat RStudioServerPro aplikasi yang ada dalam Failed status Deleted atau.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

  4. Buat kebijakan pengaturan domain yang dilampirkan ke DomainExecution peran. Waspadai PolicyArn dari tanggapan, Anda harus memasukkan ARN itu dalam langkah-langkah berikut. 

    aws iam create-policy --region <REGION> --policy-name domain-setting-policy --policy-document file://domain-setting-policy.json

  5. domain-setting-policyLampirkan ke DomainExecution peran. Gunakan yang PolicyArn dikembalikan pada langkah sebelumnya.

    aws iam attach-role-policy --role-name DomainExecution --policy-arn <POLICY_ARN>

Buat domain Amazon SageMaker AI dengan Aplikasi RStudio

RStudioServerPro Aplikasi diluncurkan secara otomatis saat Anda membuat domain Amazon SageMaker AI menggunakan perintah create-domain CLI dengan RStudioServerProDomainSettings parameter yang ditentukan. Saat meluncurkan RStudioServerPro Aplikasi, Amazon SageMaker AI memeriksa lisensi RStudio yang valid di akun dan gagal membuat domain jika lisensi tidak ditemukan.

Pembuatan domain Amazon SageMaker AI berbeda berdasarkan metode otentikasi dan jenis jaringan. Opsi ini harus digunakan bersama, dengan satu metode otentikasi dan satu jenis koneksi jaringan dipilih. Untuk informasi selengkapnya tentang persyaratan untuk membuat domain baru, lihat CreateDomain.

Metode otentikasi berikut didukung.

  • IAM Auth

  • SSO Auth

Jenis koneksi jaringan berikut didukung:

  • PublicInternet

  • VPCOnly

Metode autentikasi

Mode Auth IAM

Berikut ini menunjukkan cara membuat domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis IAM Auth Jaringan. Untuk informasi selengkapnya AWS Identity and Access Management, lihat Apa itu IAM? .

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar ID subnet yang dipisahkan spasi. Untuk informasi tentang vpc-id dansubnet-ids, lihat VPC dan subnet.

  • RStudioPackageManagerUrldan RStudioConnectUrl bersifat opsional dan harus disetel ke URL server RStudio Package Manager dan RStudio Connect Anda.

  • app-network-access-typeharus salah satu PublicInternetOnly atauVPCOnly.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode IAM \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type <NETWORK_ACCESS_TYPE>

Otentikasi menggunakan IAM Identity Center

Berikut ini menunjukkan cara membuat domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis SSO Auth Jaringan. AWS IAM Identity Center harus diaktifkan untuk wilayah tempat domain diluncurkan. Untuk informasi selengkapnya tentang IAM Identity Center, lihat Apa itu? AWS IAM Identity Center .

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar ID subnet yang dipisahkan spasi. Untuk informasi tentang vpc-id dansubnet-ids, lihat VPC dan subnet.

  • RStudioPackageManagerUrldan RStudioConnectUrl bersifat opsional dan harus disetel ke URL server RStudio Package Manager dan RStudio Connect Anda.

  • app-network-access-typeharus salah satu PublicInternetOnly atauVPCOnly.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode SSO \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type <NETWORK_ACCESS_TYPE>

Tipe koneksi

PublicInternet/Direct Jenis jaringan internet

Berikut ini menunjukkan cara membuat domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis PublicInternet Jaringan.

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar ID subnet yang dipisahkan spasi. Untuk informasi tentang vpc-id dansubnet-ids, lihat VPC dan subnet.

  • RStudioPackageManagerUrldan RStudioConnectUrl bersifat opsional dan harus disetel ke URL server RStudio Package Manager dan RStudio Connect Anda.

  • auth-modeharus salah satu SSO atauIAM.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode <AUTH_MODE> \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type PublicInternetOnly

Mode VPConly

Berikut ini menunjukkan cara meluncurkan domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis VPCOnly Jaringan. Untuk informasi selengkapnya tentang menggunakan jenis akses VPCOnly jaringan, lihatHubungkan notebook Studio di VPC ke sumber daya eksternal.

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar ID subnet yang dipisahkan spasi. Subnet pribadi Anda harus dapat mengakses internet untuk melakukan panggilan ke Amazon SageMaker AI, dan AWS License Manager atau memiliki titik akhir Amazon VPC untuk Amazon SageMaker AI dan. AWS License ManagerUntuk informasi tentang titik akhir VPC Amazon, lihat Antarmuka Titik akhir VPC Amazon Untuk informasi tentang vpc-id dan, lihat VPC dan subnet-ids subnet.

  • SecurityGroupsharus mengizinkan akses keluar ke SageMaker AI Amazon dan titik AWS License Manager akhir.

  • auth-modeharus salah satu SSO atauIAM.

catatan

Saat menggunakan titik akhir Amazon Virtual Private Cloud, grup keamanan yang dilampirkan ke titik akhir Amazon Virtual Private Cloud Anda harus mengizinkan lalu lintas masuk dari grup keamanan yang Anda lewati sebagai bagian dari domain-setting parameter panggilan CLIcreate-domain.

Dengan RStudio, Amazon SageMaker AI mengelola grup keamanan untuk Anda. Ini berarti Amazon SageMaker AI mengelola aturan grup keamanan untuk memastikan RSessions dapat mengakses RStudioServerPro Aplikasi. Amazon SageMaker AI membuat satu aturan grup keamanan per profil pengguna.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode <AUTH_MODE> \
    --default-user-settings SecurityGroups=<USER_SECURITY_GROUP>,ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings SecurityGroupIds=<DOMAIN_SECURITY_GROUP>,RStudioServerProDomainSettings={DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids "<SUBNET_IDS>" \
    --app-network-access-type VPCOnly --app-security-group-management Service

Catatan: RStudioServerPro Aplikasi ini diluncurkan oleh profil pengguna khusus bernamadomain-shared. Akibatnya, aplikasi ini tidak dikembalikan sebagai bagian dari panggilan list-app API oleh profil pengguna lain.

Anda mungkin harus menambah kuota VPC Amazon di akun Anda untuk menambah jumlah pengguna. Untuk informasi selengkapnya, lihat kuota Amazon VPC.

Verifikasi pembuatan domain

Gunakan perintah berikut untuk memverifikasi bahwa domain Anda telah dibuat dengan Status fileInService. Anda domain-id ditambahkan ke domain ARN. Misalnya, arn:aws:sagemaker:<REGION>:<ACCOUNT_ID>:domain/<DOMAIN_ID>.

aws sagemaker describe-domain --domain-id <DOMAIN_ID> --region <REGION>