Beberapa domain dan ruang bersama - SageMaker Praktik Terbaik Administrasi Studio
Siapkan spasi bersama di domain AndaSiapkan domain Anda untukIAM) federasiSiapkan domain Anda untuk federasi single sign-on () SSOSageMaker AI Studio profil penggunaAplikasi Jupyter ServerAplikasi Jupyter Kernel GatewayEFSVolume AmazonEBSVolume AmazonMengamankan akses ke pra-ditandatangani URLSageMaker Kuota dan batasan domain AI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Beberapa domain dan ruang bersama

Amazon SageMaker AI sekarang mendukung pembuatan beberapa domain SageMaker AI dalam satu Wilayah AWS untuk setiap akun. Setiap domain dapat memiliki pengaturan domain sendiri, seperti mode otentikasi, dan pengaturan jaringan, seperti VPC dan subnet. Profil pengguna tidak dapat dibagikan di seluruh domain. Jika pengguna manusia adalah bagian dari beberapa tim yang dipisahkan oleh domain, buat profil pengguna untuk pengguna di setiap domain. Lihat Ikhtisar Beberapa Domain untuk mempelajari tentang pengisian ulang tag untuk domain yang ada.

Setiap domain yang diatur dalam mode IAM otentikasi dapat memanfaatkan ruang bersama untuk kolaborasi mendekati waktu nyata antar pengguna. Dengan ruang bersama, pengguna mendapatkan akses ke EFS direktori Amazon bersama, dan JupyterServeraplikasi bersama untuk antarmuka pengguna, dan dapat mengedit bersama dalam waktu dekat. Penandaan otomatis sumber daya yang dibuat oleh ruang bersama memungkinkan administrator melacak biaya pada tingkat proyek. JupyterServer UI bersama juga memfilter sumber daya seperti eksperimen dan entri registri model sehingga hanya item yang relevan dengan upaya HTML bersama yang akan ditampilkan. Diagram berikut memberikan ikhtisar aplikasi pribadi dan ruang bersama dalam setiap domain.

Diagram yang menggambarkan ikhtisar aplikasi pribadi dan ruang bersama dalam satu domain.

Ikhtisar aplikasi pribadi dan ruang bersama dalam satu domain

Siapkan spasi bersama di domain Anda

Spasi bersama biasanya dibuat untuk upaya atau proyek ML tertentu di mana anggota dari satu domain memerlukan akses hampir real-time ke penyimpanan file dasar yang sama dan. IDE Pengguna dapat mengakses, membaca, mengedit, dan berbagi notebook mereka dalam waktu dekat, yang memberi mereka jalur tercepat untuk mulai mengulangi dengan rekan-rekan mereka.

Untuk membuat ruang bersama, Anda harus terlebih dahulu menetapkan peran eksekusi default spasi yang akan mengatur izin untuk setiap pengguna yang menggunakan ruang tersebut. Pada saat penulisan ini, semua pengguna dalam domain akan memiliki akses ke semua ruang bersama di domain mereka. Lihat Membuat ruang bersama untuk dokumentasi terbaru tentang menambahkan spasi bersama ke domain yang ada.

Siapkan domain Anda untuk IAM federasi

Sebelum menyiapkan federasi AWS Identity and Access Management (IAM) untuk domain SageMaker AI Studio Anda, Anda perlu menyiapkan peran pengguna IAM federasi (seperti administrator platform) di iDP Anda, seperti yang dibahas di bagian Manajemen identitas.

Untuk petunjuk mendetail tentang menyiapkan SageMaker AI Studio dengan IAM opsi, lihat Onboard to Amazon SageMaker Domain Using IAM Identity Center.

Siapkan domain Anda untuk federasi single sign-on () SSO

Untuk menggunakan federasi sistem masuk tunggal (SSO), Anda harus mengaktifkan akun AWS Organizationsmanajemen Anda AWS IAM Identity Center di Wilayah yang sama di mana Anda perlu menjalankan SageMaker AI Studio. Langkah-langkah pengaturan domain mirip dengan langkah IAM federasi, kecuali Anda memilih AWS IAM Identity Center(IDC) di bagian Autentikasi.

Untuk petunjuk terperinci, lihat Onboard ke SageMaker Domain Amazon Menggunakan Pusat IAM Identitas.

SageMaker AI Studio profil pengguna

Profil pengguna mewakili satu pengguna dalam domain, dan merupakan cara utama untuk mereferensikan “orang” untuk tujuan berbagi, melaporkan, dan fitur berorientasi pengguna lainnya. Entitas ini dibuat saat pengguna menggunakan toSageMaker AI Studio. Jika administrator mengundang seseorang melalui email atau mengimpornya dari IDC, profil pengguna akan dibuat secara otomatis. Profil pengguna adalah pemegang utama pengaturan untuk pengguna individu, dan memiliki referensi ke direktori home Amazon Elastic File System (AmazonEFS) pribadi pengguna. Sebaiknya buat profil pengguna untuk setiap pengguna fisik aplikasi SageMaker AI Studio. Setiap pengguna memiliki direktori khusus mereka sendiri di AmazonEFS, dan profil pengguna tidak dapat dibagikan di seluruh domain di akun yang sama.

Setiap profil pengguna yang berbagi domain SageMaker AI Studio mendapatkan sumber daya komputasi khusus (seperti instans SageMaker AI Amazon Elastic Compute Cloud (AmazonEC2)) untuk menjalankan notebook. Instans komputasi yang dialokasikan untuk pengguna satu sepenuhnya terisolasi dari yang dialokasikan untuk pengguna dua. Demikian pula, sumber daya komputasi yang dialokasikan untuk pengguna dalam satu AWS akun benar-benar terpisah dari yang dialokasikan untuk pengguna di akun lain. Setiap pengguna dapat menjalankan hingga empat aplikasi (aplikasi) dalam wadah Docker yang terisolasi, atau gambar pada jenis instance yang sama.

Aplikasi Jupyter Server

Saat Anda meluncurkan notebook Amazon SageMaker AI Studio untuk pengguna dengan mengakses pra-tanda tangan URL atau dengan masuk menggunakan AWS IAM IDC, aplikasi Jupyter Server diluncurkan di instans yang dikelola layanan AI. SageMaker VPC Setiap pengguna mendapatkan aplikasi Jupyter Server khusus mereka sendiri di aplikasi pribadi. Secara default, aplikasi Jupyter Server untuk notebook SageMaker AI Studio dijalankan pada ml.t3.medium instance khusus (dicadangkan sebagai jenis instance sistem). Komputasi untuk contoh ini tidak ditagih kepada pelanggan.

Aplikasi Jupyter Kernel Gateway

Aplikasi Kernel Gateway dapat dibuat melalui API atau antarmuka SageMaker AI Studio, dan berjalan pada jenis instance yang dipilih. Aplikasi ini dapat dijalankan menggunakan salah satu gambar SageMaker AI Studio bawaan yang telah dikonfigurasi sebelumnya dengan ilmu data populer, dan paket pembelajaran mendalam seperti TensorFlow, Apache MXNet, dan. PyTorch

Pengguna dapat memulai dan menjalankan beberapa kernel notebook Jupyter, sesi terminal, dan konsol interaktif dalam Studio yang sama. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image

Untuk membuat aplikasi tambahan, Anda perlu menggunakan jenis instance yang berbeda. Profil pengguna hanya dapat menjalankan satu instance, dari jenis instance apa pun. Misalnya, pengguna dapat menjalankan notebook sederhana menggunakan gambar sains data bawaan SageMaker AI Studio, dan notebook lain menggunakan TensorFlow gambar bawaan, pada contoh yang sama. Pengguna ditagih untuk waktu instance berjalan. Untuk menghindari biaya saat pengguna tidak aktif menjalankan SageMaker AI Studio, pengguna perlu mematikan instance. Untuk informasi selengkapnya, lihat Matikan dan perbarui Aplikasi Studio.

Setiap kali Anda mematikan dan membuka kembali aplikasi Kernel Gateway dari antarmuka SageMaker AI Studio, aplikasi tersebut dimulai pada instance baru. Ini berarti bahwa instalasi paket tidak bertahan melalui restart aplikasi yang sama. Demikian pula, jika pengguna mengubah jenis instance pada notebook, paket yang diinstal dan variabel sesi mereka hilang. Namun, Anda dapat menggunakan fitur seperti membawa gambar dan skrip siklus hidup Anda sendiri untuk membawa paket pengguna sendiri ke SageMaker AI Studio dan mempertahankannya melalui sakelar instans dan peluncuran instance baru.

Volume Amazon Elastic File System

Ketika domain dibuat, satu volume Amazon Elastic File System (AmazonEFS) dibuat untuk digunakan oleh semua pengguna dalam domain. Setiap profil pengguna menerima direktori home pribadi dalam EFS volume Amazon untuk menyimpan notebook, GitHub repositori, dan file data pengguna. Setiap ruang dalam domain menerima direktori pribadi dalam EFS volume Amazon yang dapat diakses oleh beberapa profil pengguna. Akses ke folder dipisahkan oleh pengguna, melalui izin sistem file. SageMaker AI Studio membuat ID pengguna unik global untuk setiap profil atau ruang pengguna, dan menerapkannya sebagai Antarmuka Sistem Operasi Portabel (POSIX) user/group ID for the user’s home directory on EFS, which prevents other users/spaces dari mengakses datanya.

Pencadangan dan pemulihan

EFSVolume yang ada tidak dapat dilampirkan ke domain SageMaker AI baru. Dalam pengaturan produksi, pastikan EFS volume Amazon dicadangkan (ke EFS volume lain, atau ke Amazon Simple Storage Service (Amazon S3)). Jika EFS volume dihapus secara tidak sengaja, administrator harus merobohkan dan membuat ulang domain SageMaker AI Studio. Prosesnya adalah sebagai berikut:

Cadangkan daftar profil pengguna, spasi, dan EFS pengguna terkait IDs (UIDs) melaluiListUserProfiles, DescribeUserProfileList Spaces, dan DescribeSpace API panggilan.

  1. Buat domain SageMaker AI Studio baru.

  2. Buat profil dan spasi pengguna.

  3. Untuk setiap profil pengguna, salin file dari cadangan di EFS /Amazon S3.

  4. Secara opsional, hapus semua aplikasi dan profil pengguna, di domain SageMaker AI Studio lama.

Untuk petunjuk terperinci, lihat bagian lampiran Pencadangan dan pemulihan domain SageMaker AI Studio.

catatan

Ini juga dapat dicapai melalui LifecycleConfigurations pencadangan data ke dan dari S3 setiap kali pengguna memulai aplikasi mereka.

EBSVolume Amazon

Volume penyimpanan Amazon Elastic Block Store (AmazonEBS) juga dilampirkan ke setiap instans Notebook SageMaker AI Studio. Ini digunakan sebagai volume root wadah atau gambar yang berjalan pada instance. Sementara EFS penyimpanan Amazon persisten, EBS volume Amazon yang melekat pada wadah bersifat sementara. Data yang disimpan secara lokal di EBS volume Amazon tidak akan bertahan jika pelanggan menghapus aplikasi.

Mengamankan akses ke pra-ditandatangani URL

Saat pengguna SageMaker AI Studio membuka tautan notebook, SageMaker AI Studio memvalidasi IAM kebijakan pengguna federasi untuk mengotorisasi akses, dan menghasilkan serta menyelesaikan pra-tanda tangan untuk pengguna. URL Karena konsol SageMaker AI berjalan pada domain internet, yang dihasilkan dan ditandatangani sebelumnya URL ini terlihat di sesi browser. Ini menyajikan vektor ancaman yang tidak diinginkan untuk pencurian data dan mendapatkan akses ke data pelanggan ketika kontrol akses yang tepat tidak diberlakukan.

Studio mendukung beberapa metode untuk menegakkan kontrol akses terhadap pencurian URL data yang telah ditandatangani sebelumnya:

  • Validasi IP klien menggunakan kondisi IAM kebijakan aws:sourceIp

  • VPCValidasi klien menggunakan kondisi IAM aws:sourceVpc

  • Validasi VPC titik akhir klien menggunakan kondisi kebijakan IAM aws:sourceVpce

Saat Anda mengakses notebook SageMaker AI Studio dari konsol SageMaker AI, satu-satunya opsi yang tersedia adalah menggunakan validasi IP klien dengan kondisi IAM kebijakan. aws:sourceIp Namun, Anda dapat menggunakan produk perutean lalu lintas browser seperti Zscaler untuk memastikan skala dan kepatuhan untuk akses internet tenaga kerja Anda. Produk perutean lalu lintas ini menghasilkan IP sumber mereka sendiri, yang rentang IP-nya tidak dikendalikan oleh pelanggan perusahaan. Hal ini membuat tidak mungkin bagi pelanggan perusahaan ini untuk menggunakan aws:sourceIp kondisi tersebut.

Untuk menggunakan validasi VPC titik akhir klien menggunakan kondisi IAM kebijakanaws:sourceVpce, pembuatan pra-tanda tangan URL harus berasal dari pelanggan yang sama di VPC mana SageMaker AI Studio digunakan, dan resolusi pra-ditandatangani URL perlu dilakukan melalui titik akhir SageMaker AI Studio pada pelanggan. VPC VPC Resolusi pra-ditandatangani URL selama waktu akses untuk pengguna jaringan perusahaan dapat diselesaikan dengan menggunakan aturan DNS penerusan (baik di Zscaler maupun perusahaanDNS), dan kemudian ke titik akhir pelanggan VPC menggunakan resolver masuk Amazon Route 53 seperti yang ditunjukkan dalam arsitektur berikut:

Diagram yang menunjukkan akses Studio yang telah ditandatangani sebelumnya URL dengan VPC titik akhir melalui jaringan perusahaan.

Mengakses Studio yang telah ditandatangani sebelumnya URL dengan VPC titik akhir melalui jaringan perusahaan

Untuk step-by-step panduan menyiapkan arsitektur sebelumnya, lihat Secure Amazon SageMaker AI Studio presigned URLs Bagian 1: Infrastruktur dasar.

SageMaker Kuota dan batasan domain AI

  • SageMaker SSOFederasi domain AI Studio hanya didukung di Wilayah, di seluruh akun anggota AWS organisasi tempat Pusat AWS Identitas disediakan.

  • Spasi bersama saat ini tidak didukung dengan domain yang disiapkan dengan Pusat AWS Identitas.

  • VPCdan konfigurasi subnet tidak dapat diubah setelah membuat domain. Anda dapat, bagaimanapun, membuat domain baru dengan konfigurasi yang berbeda VPC dan subnet.

  • Akses domain tidak dapat dialihkan antara IAM dan SSO mode setelah membuat domain. Anda dapat membuat domain baru dengan mode otentikasi yang berbeda.

  • Ada batas empat aplikasi gateway kernel per jenis instans yang diluncurkan untuk setiap pengguna.

  • Setiap pengguna hanya dapat meluncurkan satu instance dari setiap jenis instance.

  • Ada batasan sumber daya yang dikonsumsi dalam domain, seperti jumlah instance yang diluncurkan oleh jenis instans, dan jumlah profil pengguna yang dapat dibuat. Lihat halaman kuota layanan untuk daftar lengkap batas layanan.

  • Pelanggan dapat mengirimkan kasus dukungan perusahaan dengan justifikasi bisnis untuk meningkatkan batas sumber daya default seperti jumlah domain atau profil pengguna, yang dikenakan pagar pembatas tingkat akun.

  • Batas keras pada jumlah aplikasi bersamaan per akun adalah 2.500 aplikasi. Domain dan batas profil pengguna bergantung pada batas keras ini. Misalnya, akun dapat memiliki satu domain dengan 1.000 profil pengguna, atau 20 domain dengan 50 profil pengguna masing-masing.