Domini multipli e spazi condivisi - SageMaker Best practice per l'amministrazione di Studio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Domini multipli e spazi condivisi

Amazon SageMaker AI ora supporta la creazione di più domini SageMaker AI in un unico dominio Regione AWS per ogni account. Ogni dominio può avere le proprie impostazioni di dominio, come la modalità di autenticazione e le impostazioni di rete, come VPC le sottoreti. Un profilo utente non può essere condiviso tra domini. Se un utente umano fa parte di più team separati da domini, crea un profilo utente per l'utente in ogni dominio. Consulta la panoramica sui domini multipli per ulteriori informazioni sul riempimento dei tag per i domini esistenti.

Ogni dominio configurato in modalità di IAM autenticazione può utilizzare lo spazio condiviso per una collaborazione quasi in tempo reale tra gli utenti. Con uno spazio condiviso, gli utenti hanno accesso a una EFS directory Amazon condivisa e a un'JupyterServerapp condivisa per l'interfaccia utente e possono modificare insieme quasi in tempo reale. L'etichettatura automatica delle risorse create dagli spazi condivisi consente agli amministratori di tenere traccia dei costi a livello di progetto. L' JupyterServer interfaccia utente condivisa filtra anche risorse come esperimenti e voci del registro dei modelli in modo che vengano visualizzati solo gli elementi pertinenti all'attività di machine learning condivisa. Il diagramma seguente fornisce una panoramica delle app private e degli spazi condivisi all'interno di ciascun dominio.

Un diagramma che illustra una panoramica delle app private e degli spazi condivisi all'interno di un singolo dominio.

Panoramica delle app private e degli spazi condivisi all'interno di un singolo dominio

Configura spazi condivisi nel tuo dominio

Gli spazi condivisi vengono in genere creati per una particolare attività o progetto di machine learning in cui i membri di un singolo dominio richiedono l'accesso quasi in tempo reale allo stesso archivio di file sottostante e. IDE L'utente può accedere, leggere, modificare e condividere i propri taccuini quasi in tempo reale, il che gli offre il percorso più rapido per iniziare a iterare con i colleghi.

Per creare uno spazio condiviso, è necessario innanzitutto designare un ruolo di esecuzione predefinito dello spazio che regolerà le autorizzazioni per qualsiasi utente che utilizza lo spazio. Al momento della stesura di questo documento, tutti gli utenti all'interno di un dominio avranno accesso a tutti gli spazi condivisi del proprio dominio. Fai riferimento a Creare uno spazio condiviso per la documentazione più recente sull'aggiunta di spazi condivisi a un dominio esistente.

Configura il tuo dominio per la IAM federazione

Prima di configurare AWS Identity and Access Management (IAM) la federazione per il tuo dominio SageMaker AI Studio, devi configurare un ruolo utente IAM federativo (ad esempio un amministratore di piattaforma) nel tuo IdP, come discusso nella sezione Gestione delle identità.

Per istruzioni dettagliate sulla configurazione di SageMaker AI Studio con l'IAMopzione, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.

Configura il tuo dominio per la federazione Single Sign-on () SSO

Per utilizzare la federazione Single Sign-on (SSO), devi abilitarla AWS IAM Identity Center nel tuo account di AWS Organizationsgestione nella stessa regione in cui devi eseguire AI Studio. SageMaker I passaggi di configurazione del dominio sono simili ai passaggi di IAM federazione, tranne per la selezione AWS IAM Identity Center(iDC) nella sezione Autenticazione.

Per istruzioni dettagliate, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.

SageMaker Profilo utente AI Studio

Un profilo utente rappresenta un singolo utente all'interno di un dominio ed è il modo principale per fare riferimento a una «persona» ai fini della condivisione, della creazione di report e di altre funzionalità orientate all'utente. Questa entità viene creata quando un utente entra a far parte di toSageMaker AI Studio. Se un amministratore invita una persona via e-mail o la importa da iDC, viene creato automaticamente un profilo utente. Un profilo utente è il principale detentore delle impostazioni per un singolo utente e ha un riferimento alla home directory privata Amazon Elastic File System (AmazonEFS) dell'utente. Consigliamo di creare un profilo utente per ogni utente fisico dell'applicazione SageMaker AI Studio. Ogni utente ha la propria directory dedicata su Amazon e EFS i profili utente non possono essere condivisi tra domini dello stesso account.

Ogni profilo utente che condivide il dominio SageMaker AI Studio riceve risorse di elaborazione dedicate (come istanze SageMaker AI Amazon Elastic Compute Cloud (AmazonEC2)) per eseguire i notebook. Le istanze di calcolo assegnate al primo utente sono completamente isolate da quelle assegnate al secondo utente. Analogamente, le risorse di calcolo assegnate agli utenti in un AWS account sono completamente separate da quelle assegnate agli utenti in un altro account. Ogni utente può eseguire fino a quattro applicazioni (app) all'interno di contenitori Docker isolati o immagini sullo stesso tipo di istanza.

App Jupyter Server

Quando avvii un notebook Amazon SageMaker AI Studio per un utente accedendo al file prefirmato URL o effettuando l'accesso tramite AWS IAM iDC, l'app Jupyter Server viene avviata nell'istanza gestita dal servizio AI. SageMaker VPC Ogni utente ottiene la propria app Jupyter Server dedicata in un'app privata. Per impostazione predefinita, l'app Jupyter Server per notebook SageMaker AI Studio viene eseguita su un'ml.t3.mediumistanza dedicata (riservata come tipo di istanza di sistema). Il calcolo per questa istanza non viene fatturato al cliente.

L'app Jupyter Kernel Gateway

L'app Kernel Gateway può essere creata tramite l'interfaccia API o l'interfaccia SageMaker AI Studio e viene eseguita sul tipo di istanza scelto. Questa app può essere eseguita utilizzando una delle immagini integrate di SageMaker AI Studio preconfigurate con i più diffusi pacchetti di data science e deep learning come TensorFlowApache MXNet e. PyTorch

Gli utenti possono avviare ed eseguire più kernel di notebook Jupyter, sessioni terminali e console interattive all'interno dello stesso Studio. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image

Per creare app aggiuntive, è necessario utilizzare un tipo di istanza diverso. Un profilo utente può avere una sola istanza in esecuzione, di qualsiasi tipo di istanza. Ad esempio, un utente può eseguire sulla stessa istanza sia un semplice notebook utilizzando l'immagine di data science integrata in SageMaker AI Studio, sia un altro notebook utilizzando l' TensorFlow immagine integrata. Agli utenti viene fatturato il tempo in cui l'istanza è in esecuzione. Per evitare costi quando l'utente non esegue attivamente SageMaker AI Studio, deve chiudere l'istanza. Per ulteriori informazioni, consulta Chiudi e aggiorna le app di Studio.

Ogni volta che chiudi e riapri un'app Kernel Gateway dall'interfaccia di SageMaker AI Studio, quell'app viene avviata su una nuova istanza. Ciò significa che l'installazione del pacchetto non viene mantenuta dopo il riavvio della stessa app. Analogamente, se un utente modifica il tipo di istanza su un notebook, i pacchetti installati e le variabili di sessione andranno persi. Tuttavia, puoi utilizzare funzionalità come Bring Your Own Image e Lifecycle Script per portare i pacchetti dell'utente in SageMaker AI Studio e renderli permanenti durante i cambi di istanza e il lancio di nuove istanze.

Volume Amazon Elastic File System

Quando viene creato un dominio, viene creato un singolo volume Amazon Elastic File System (AmazonEFS) che può essere utilizzato da tutti gli utenti all'interno del dominio. Ogni profilo utente riceve una home directory privata all'interno del EFS volume Amazon per archiviare i notebook, gli GitHub archivi e i file di dati dell'utente. Ogni spazio all'interno di un dominio riceve una directory privata all'interno del EFS volume Amazon a cui è possibile accedere da più profili utente. L'accesso alle cartelle è separato per utente, tramite le autorizzazioni del filesystem. SageMaker AI Studio crea un ID utente unico globale per ogni profilo utente o spazio e lo applica come interfaccia del sistema operativo portatile () POSIX dall'accesso ai suoi dati. user/group ID for the user’s home directory on EFS, which prevents other users/spaces

Backup e ripristino

Un EFS volume esistente non può essere collegato a un nuovo dominio SageMaker AI. In un'impostazione di produzione, assicurati di aver eseguito il backup EFS del volume Amazon (su un altro EFS volume o su Amazon Simple Storage Service (Amazon S3)). Se un EFS volume viene eliminato accidentalmente, l'amministratore deve smontare e ricreare il dominio AI Studio. SageMaker Di seguito è riportato il procedimento:

Esegui il backup dell'elenco dei profili utente, degli spazi e dell'EFSutente associato IDs (UIDs) tramite ListUserProfiles DescribeUserProfileList Spaces, e chiamate. DescribeSpace API

  1. Crea un nuovo dominio SageMaker AI Studio.

  2. Crea i profili e gli spazi utente.

  3. Per ogni profilo utente, copia i file dal backup su EFS /Amazon S3.

  4. Facoltativamente, elimina tutte le app e i profili utente nel vecchio dominio SageMaker AI Studio.

Per istruzioni dettagliate, consulta la sezione dell'appendice Backup e ripristino del dominio SageMaker AI Studio.

Nota

Ciò può essere ottenuto anche eseguendo LifecycleConfigurations il backup dei dati da e verso S3 ogni volta che un utente avvia l'app.

EBSVolume Amazon

Un volume di storage Amazon Elastic Block Store (AmazonEBS) è inoltre collegato a ciascuna istanza di SageMaker AI Studio Notebook. Viene utilizzato come volume principale del contenitore o dell'immagine in esecuzione sull'istanza. Sebbene EFS lo storage Amazon sia persistente, il EBS volume Amazon collegato al container è temporaneo. I dati archiviati localmente sul EBS volume Amazon non verranno conservati se il cliente elimina l'app.

Garantire l'accesso ai file prefirmati URL

Quando un utente di SageMaker AI Studio apre il collegamento al notebook, SageMaker AI Studio convalida la IAM politica dell'utente federato per autorizzare l'accesso e genera e risolve la politica prefirmata per l'utente. URL Poiché la console SageMaker AI funziona su un dominio Internet, questo dominio generato e prefirmato URL è visibile nella sessione del browser. Ciò rappresenta un vettore di minaccia indesiderato per il furto di dati e l'accesso ai dati dei clienti quando non vengono applicati i controlli di accesso adeguati.

Studio supporta alcuni metodi per applicare i controlli di accesso contro il furto di dati prefirmati: URL

  • Convalida dell'IP del client utilizzando la condizione della policy IAM aws:sourceIp

  • VPCConvalida del client utilizzando la condizione IAM aws:sourceVpc

  • Convalida VPC degli endpoint del client utilizzando la condizione della policy IAM aws:sourceVpce

Quando accedi SageMaker ai notebook AI Studio dalla console SageMaker AI, l'unica opzione disponibile consiste nell'utilizzare la convalida dell'IP del client con la condizione della policy. IAM aws:sourceIp Tuttavia, puoi utilizzare prodotti di routing del traffico via browser come Zscaler per garantire scalabilità e conformità per l'accesso a Internet della tua forza lavoro. Questi prodotti di routing del traffico generano il proprio IP di origine, il cui intervallo IP non è controllato dal cliente aziendale. Ciò rende impossibile per questi clienti aziendali utilizzare aws:sourceIp questa condizione.

Per utilizzare la convalida degli VPC endpoint del client utilizzando la condizione della IAM policyaws:sourceVpce, la creazione di un dispositivo prefirmato URL deve provenire dallo stesso cliente in VPC cui viene implementato SageMaker AI Studio e la risoluzione delle URL esigenze prefirmate deve avvenire tramite un endpoint SageMaker AI Studio VPC sul cliente. VPC Questa risoluzione dei dati prefirmati URL durante il periodo di accesso per gli utenti della rete aziendale può essere eseguita utilizzando regole di DNS inoltro (sia in Zscaler che aziendaliDNS) e quindi nell'endpoint del cliente VPC utilizzando un resolver in ingresso Amazon Route 53, come mostrato nella seguente architettura:

Un diagramma che mostra l'accesso a Studio prefirmato con endpoint sulla rete aziendale. URL VPC

Accesso a Studio prefirmato URL con VPC endpoint tramite rete aziendale

Per step-by-step indicazioni sulla configurazione dell'architettura precedente, consulta Secure Amazon SageMaker AI Studio presigned URLs Part 1: Foundational infrastructure.

SageMaker Quote e limiti dei domini AI

  • SageMaker La SSO federazione dei domini di AI Studio è supportata solo nella regione, tra gli account dei membri dell' AWS organizzazione in cui viene fornito AWS Identity Center.

  • Gli spazi condivisi non sono attualmente supportati con i domini configurati con AWS Identity Center.

  • VPCe la configurazione della sottorete non può essere modificata dopo la creazione del dominio. È tuttavia possibile creare un nuovo dominio con una configurazione di sottorete diversaVPC.

  • L'accesso al dominio non può essere cambiato da una SSO modalità all'altra dopo la creazione del dominio. IAM È possibile creare un nuovo dominio con una modalità di autenticazione diversa.

  • È previsto un limite di quattro app kernel gateway per tipo di istanza lanciate per ogni utente.

  • Ogni utente può avviare solo un'istanza per ogni tipo di istanza.

  • Esistono limiti alle risorse consumate all'interno di un dominio, ad esempio il numero di istanze avviate per tipo di istanza e il numero di profili utente che è possibile creare. Consulta la pagina relativa alle quote di servizio per un elenco completo dei limiti del servizio.

  • I clienti possono presentare una richiesta di assistenza aziendale motivando la propria attività ad aumentare i limiti predefiniti relativi alle risorse, ad esempio il numero di domini o i profili utente, entro limiti a livello di account.

  • Il limite rigido al numero di app simultanee per account è di 2.500 app. I domini e i limiti dei profili utente dipendono da questo limite rigido. Ad esempio, un account può avere un singolo dominio con 1.000 profili utente o 20 domini con 50 profili utente ciascuno.