Buat domain Amazon SageMaker AI dengan RStudio menggunakan AWS CLI - Amazon SageMaker AI
PrasyaratCREATE ROLEBuat domain Amazon SageMaker AI dengan RStudio AplikasiVerifikasi pembuatan domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat domain Amazon SageMaker AI dengan RStudio menggunakan AWS CLI

penting

Kebijakan IAM khusus yang memungkinkan Amazon SageMaker Studio atau Amazon SageMaker Studio Classic membuat SageMaker sumber daya Amazon juga harus memberikan izin untuk menambahkan tag ke sumber daya tersebut. Izin untuk menambahkan tag ke sumber daya diperlukan karena Studio dan Studio Classic secara otomatis menandai sumber daya apa pun yang mereka buat. Jika kebijakan IAM memungkinkan Studio dan Studio Classic membuat sumber daya tetapi tidak mengizinkan penandaan, kesalahan "AccessDenied" dapat terjadi saat mencoba membuat sumber daya. Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya AI SageMaker .

Kebijakan terkelola untuk Amazon S3yang memberikan izin untuk membuat SageMaker sumber daya sudah menyertakan izin untuk menambahkan tag saat membuat sumber daya tersebut.

Topik berikut menunjukkan cara onboard ke domain Amazon SageMaker AI dengan RStudio diaktifkan menggunakan file. AWS CLI Untuk onboard menggunakan AWS Management Console, lihatIkhtisar domain Amazon SageMaker AI.

Prasyarat

  • Instal dan konfigurasi versi 2.

  • Konfigurasikan AWS CLIkredensil dengan IAM

CREATE ROLE

Untuk meluncurkan RStudio Aplikasi, Anda harus memberikan DomainExecution peran. Peran ini digunakan untuk menentukan apakah RStudio perlu diluncurkan sebagai bagian dari pembuatan domain Amazon SageMaker AI. Peran ini juga digunakan oleh Amazon SageMaker AI untuk mengakses RStudio Lisensi dan push RStudio log. 

catatan

DomainExecutionPeran harus memiliki setidaknya AWS License Manager izin untuk mengakses RStudio Lisensi, dan CloudWatch izin untuk mendorong log di akun Anda.

Prosedur berikut menunjukkan cara membuat DomainExecution peran dengan AWS CLI.

  1. Buat file dengan nama assume-role-policy.json dengan konten berikut ini.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            }
        }
    ]
}

  2. Buat DomainExecution peran. <REGION>harus menjadi AWS Wilayah untuk meluncurkan domain Anda. 

    aws iam create-role --region <REGION> --role-name DomainExecution --assume-role-policy-document file://assume-role-policy.json

  3. Buat file dengan nama domain-setting-policy.json dengan konten berikut ini. Kebijakan ini memungkinkan RStudio ServerPro aplikasi mengakses sumber daya yang diperlukan dan memungkinkan Amazon SageMaker AI meluncurkan RStudio ServerPro aplikasi secara otomatis saat RStudio ServerPro aplikasi yang ada dalam Failed status Deleted atau.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

  4. Buat kebijakan pengaturan domain yang dilampirkan ke DomainExecution peran. Waspadai PolicyArn dari tanggapan, Anda harus memasukkan ARN itu dalam langkah-langkah berikut. 

    aws iam create-policy --region <REGION> --policy-name domain-setting-policy --policy-document file://domain-setting-policy.json

  5. Peran untuk dilampirkan adalah DomainExecution. Gunakan yang PolicyArn dikembalikan pada langkah sebelumnya.

    aws iam attach-role-policy --role-name DomainExecution --policy-arn <POLICY_ARN>

Buat domain Amazon SageMaker AI dengan RStudio Aplikasi

RStudioServerPro Aplikasi diluncurkan secara otomatis saat Anda membuat domain Amazon SageMaker AI menggunakan perintah create-domain CLI dengan RStudioServerProDomainSettings parameter yang ditentukan. Saat meluncurkan RStudio ServerPro Aplikasi, Amazon SageMaker AI memeriksa RStudio lisensi yang valid di akun dan gagal membuat domain jika lisensi tidak ditemukan.

Pembuatan domain Amazon SageMaker AI berbeda berdasarkan metode otentikasi dan jenis jaringan. Opsi ini harus digunakan bersama, dengan satu metode otentikasi dan satu jenis koneksi jaringan dipilih. Untuk informasi selengkapnya tentang persyaratan untuk membuat domain baru, lihat CreateDomain.

Jenis autentikasi berikut ini didukung:

  • IAM Auth

  • SSO Auth

Tipe koneksi jaringan berikut didukung:

  • PublicInternet

  • VPCOnly

Metode Autentikasi

Mode Auth IAM

Berikut ini menunjukkan cara membuat domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis IAM Auth Jaringan. Untuk informasi selengkapnya tentang , silakan lihat Apa itu ?.

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar subnet yang dipisahkan spasi. IDs Untuk informasi selengkapnya tentang subnet, lihat vpc-id dan .

  • RStudioPackageManagerUrldan RStudioConnectUrl bersifat opsional dan harus diatur ke URLs RStudio Package Manager dan RStudio Connect server Anda, masing-masing.

  • app-network-access-typeharus salah satu PublicInternetOnly atauVPCOnly.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode IAM \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type <NETWORK_ACCESS_TYPE>

Otentikasi menggunakan IAM Identity Center

Berikut ini menunjukkan cara membuat domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis SSO Auth Jaringan. AWS IAM Identity Center harus diaktifkan untuk wilayah tempat domain diluncurkan. Untuk informasi selengkapnya tentang IAM, lihat Apa itu IAM?.

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar subnet yang dipisahkan spasi. IDs Untuk informasi selengkapnya tentang subnet, lihat vpc-id dan .

  • RStudioPackageManagerUrldan RStudioConnectUrl bersifat opsional dan harus diatur ke URLs RStudio Package Manager dan RStudio Connect server Anda, masing-masing.

  • app-network-access-typeharus salah satu PublicInternetOnly atauVPCOnly.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode SSO \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type <NETWORK_ACCESS_TYPE>

Tipe koneksi

PublicInternet/Jenis jaringan Internet langsung

Berikut ini menunjukkan cara membuat domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis PublicInternet Jaringan.

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar subnet yang dipisahkan spasi. IDs Untuk informasi selengkapnya tentang subnet, lihat vpc-id dan .

  • RStudioPackageManagerUrldan RStudioConnectUrl bersifat opsional dan harus diatur ke URLs RStudio Package Manager dan RStudio Connect server Anda, masing-masing.

  • auth-modeharus salah satu SSO atauIAM.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode <AUTH_MODE> \
    --default-user-settings ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<<PACKAGE_MANAGER_URL>,RStudioConnectUrl=<<CONNECT_URL>,DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids <SUBNET_IDS> \
    --app-network-access-type PublicInternetOnly

Mode

Berikut ini menunjukkan cara meluncurkan domain Amazon SageMaker AI dengan RStudio diaktifkan dan Jenis VPCOnly Jaringan. Untuk informasi selengkapnya tentang menggunakan jenis akses VPCOnly jaringan, lihatHubungkan notebook Studio di VPC ke sumber daya eksternal.

  • DomainExecutionRoleArnharus menjadi ARN untuk peran yang dibuat pada langkah sebelumnya.

  • ExecutionRoleadalah ARN dari peran yang diberikan kepada pengguna di domain Amazon SageMaker AI.

  • vpc-idharus menjadi ID Amazon Virtual Private Cloud Anda. subnet-idsharus berupa daftar subnet yang dipisahkan spasi. IDs Subnet pribadi Anda harus dapat mengakses internet untuk melakukan panggilan ke Amazon SageMaker AI, dan AWS License Manager atau memiliki titik akhir Amazon VPC untuk Amazon SageMaker AI dan. AWS License ManagerUntuk informasi tentang titik akhir VPC Amazon, lihat Antarmuka Titik akhir VPC Amazon Untuk informasi tentang vpc-id dan, lihat dan subnet. subnet-ids VPCs

  • SecurityGroupsharus mengizinkan akses keluar ke SageMaker AI Amazon dan titik AWS License Manager akhir.

  • auth-modeharus salah satu SSO atauIAM.

catatan

Saat menggunakan titik akhir Amazon Virtual Private Cloud, grup keamanan yang dilampirkan ke titik akhir Amazon Virtual Private Cloud Anda harus mengizinkan lalu lintas masuk dari grup keamanan yang Anda lewati sebagai bagian dari domain-setting parameter panggilan CLIcreate-domain.

Dengan RStudio, Amazon SageMaker AI mengelola grup keamanan untuk Anda. Ini berarti Amazon SageMaker AI mengelola aturan grup keamanan untuk memastikan RSessions dapat mengakses RStudio ServerPro Aplikasi. Amazon SageMaker AI membuat satu aturan grup keamanan per profil pengguna.

aws sagemaker create-domain --region <REGION> --domain-name <DOMAIN_NAME> \
    --auth-mode <AUTH_MODE> \
    --default-user-settings SecurityGroups=<USER_SECURITY_GROUP>,ExecutionRole=<DEFAULT_USER_EXECUTIONROLE> \
    --domain-settings SecurityGroupIds=<DOMAIN_SECURITY_GROUP>,RStudioServerProDomainSettings={DomainExecutionRoleArn=<DOMAINEXECUTION_ROLE_ARN>} \
    --vpc-id <VPC_ID> \
    --subnet-ids "<SUBNET_IDS>" \
    --app-network-access-type VPCOnly --app-security-group-management Service

Catatan: RStudio ServerPro Aplikasi ini diluncurkan oleh profil pengguna khusus bernamadomain-shared. Akibatnya, aplikasi ini tidak dikembalikan sebagai bagian dari panggilan list-app API oleh profil pengguna lain.

Anda mungkin harus menambah kuota VPC Amazon di akun Anda untuk menambah jumlah pengguna. Untuk informasi selengkapnya, lihat kuota Amazon VPC.

Verifikasi pembuatan domain

Gunakan perintah berikut untuk memastikan bahwa domain Anda telah dibuat dengan Status dariInService. Anda domain-id ditambahkan ke domain ARN. Misalnya, arn:aws:sagemaker:<REGION>:<ACCOUNT_ID>:domain/<DOMAIN_ID>.

aws sagemaker describe-domain --domain-id <DOMAIN_ID> --region <REGION>