Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Domini multipli e spazi condivisi
Amazon SageMaker AI
Ogni dominio configurato in modalità di IAM autenticazione può utilizzare lo spazio condiviso per una collaborazione quasi in tempo reale tra gli utenti. Con uno spazio condiviso, gli utenti hanno accesso a una EFS directory Amazon condivisa e a un'JupyterServer

Panoramica delle app private e degli spazi condivisi all'interno di un singolo dominio
Configura spazi condivisi nel tuo dominio
Gli spazi condivisi vengono in genere creati per una particolare attività o progetto di machine learning in cui i membri di un singolo dominio richiedono l'accesso quasi in tempo reale allo stesso archivio di file sottostante e. IDE L'utente può accedere, leggere, modificare e condividere i propri taccuini quasi in tempo reale, il che gli offre il percorso più rapido per iniziare a iterare con i colleghi.
Per creare uno spazio condiviso, è necessario innanzitutto designare un ruolo di esecuzione predefinito dello spazio che regolerà le autorizzazioni per qualsiasi utente che utilizza lo spazio. Al momento della stesura di questo documento, tutti gli utenti all'interno di un dominio avranno accesso a tutti gli spazi condivisi del proprio dominio. Fai riferimento a Creare uno spazio condiviso per la documentazione più recente sull'aggiunta di spazi condivisi a un dominio esistente.
Configura il tuo dominio per la IAM federazione
Prima di configurare AWS Identity and Access Management (IAM) la federazione per il tuo dominio SageMaker AI Studio, devi configurare un ruolo utente IAM federativo (ad esempio un amministratore di piattaforma) nel tuo IdP, come discusso nella sezione Gestione delle identità.
Per istruzioni dettagliate sulla configurazione di SageMaker AI Studio con l'IAMopzione, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.
Configura il tuo dominio per la federazione Single Sign-on () SSO
Per utilizzare la federazione Single Sign-on (SSO), devi abilitarla AWS IAM Identity Center nel tuo account di AWS Organizations
Per istruzioni dettagliate, consulta Onboard to Amazon SageMaker Domain Using IAM Identity Center.
SageMaker Profilo utente AI Studio
Un profilo utente rappresenta un singolo utente all'interno di un dominio ed è il modo principale per fare riferimento a una «persona» ai fini della condivisione, della creazione di report e di altre funzionalità orientate all'utente. Questa entità viene creata quando un utente entra a far parte di toSageMaker AI Studio. Se un amministratore invita una persona via e-mail o la importa da iDC, viene creato automaticamente un profilo utente. Un profilo utente è il principale detentore delle impostazioni per un singolo utente e ha un riferimento alla home directory privata Amazon Elastic File System
Ogni profilo utente che condivide il dominio SageMaker AI Studio riceve risorse di elaborazione dedicate (come istanze SageMaker AI Amazon Elastic Compute Cloud
App Jupyter Server
Quando avvii un notebook Amazon SageMaker AI Studioml.t3.medium
istanza dedicata (riservata come tipo di istanza di sistema). Il calcolo per questa istanza non viene fatturato al cliente.
L'app Jupyter Kernel Gateway
L'app Kernel Gateway
Gli utenti possono avviare ed eseguire più kernel di notebook Jupyter, sessioni terminali e console interattive all'interno dello stesso Studio. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image
Per creare app aggiuntive, è necessario utilizzare un tipo di istanza diverso. Un profilo utente può avere una sola istanza in esecuzione, di qualsiasi tipo di istanza. Ad esempio, un utente può eseguire sulla stessa istanza sia un semplice notebook utilizzando l'immagine di data science integrata in SageMaker AI Studio, sia un altro notebook utilizzando l' TensorFlow immagine integrata. Agli utenti viene fatturato il tempo in cui l'istanza è in esecuzione. Per evitare costi quando l'utente non esegue attivamente SageMaker AI Studio, deve chiudere l'istanza. Per ulteriori informazioni, consulta Chiudi e aggiorna le app di Studio.
Ogni volta che chiudi e riapri un'app Kernel Gateway dall'interfaccia di SageMaker AI Studio, quell'app viene avviata su una nuova istanza. Ciò significa che l'installazione del pacchetto non viene mantenuta dopo il riavvio della stessa app. Analogamente, se un utente modifica il tipo di istanza su un notebook, i pacchetti installati e le variabili di sessione andranno persi. Tuttavia, puoi utilizzare funzionalità come Bring Your Own Image e Lifecycle Script per portare i pacchetti dell'utente in SageMaker AI Studio e renderli permanenti durante i cambi di istanza e il lancio di nuove istanze.
Volume Amazon Elastic File System
Quando viene creato un dominio, viene creato un singolo volume Amazon Elastic File System
Backup e ripristino
Un EFS volume esistente non può essere collegato a un nuovo dominio SageMaker AI. In un'impostazione di produzione, assicurati di aver eseguito il backup EFS del volume Amazon (su un altro EFS volume o su Amazon Simple Storage Service
Esegui il backup dell'elenco dei profili utente, degli spazi e dell'EFSutente associato IDs (UIDs) tramite ListUserProfiles
DescribeUserProfile
List
Spaces
, e chiamate. DescribeSpace
API
-
Crea un nuovo dominio SageMaker AI Studio.
-
Crea i profili e gli spazi utente.
-
Per ogni profilo utente, copia i file dal backup su EFS /Amazon S3.
-
Facoltativamente, elimina tutte le app e i profili utente nel vecchio dominio SageMaker AI Studio.
Per istruzioni dettagliate, consulta la sezione dell'appendice Backup e ripristino del dominio SageMaker AI Studio.
Nota
Ciò può essere ottenuto anche eseguendo LifecycleConfigurations
il backup dei dati da e verso S3 ogni volta che un utente avvia l'app.
EBSVolume Amazon
Un volume di storage Amazon Elastic Block Store
Garantire l'accesso ai file prefirmati URL
Quando un utente di SageMaker AI Studio apre il collegamento al notebook, SageMaker AI Studio convalida la IAM politica dell'utente federato per autorizzare l'accesso e genera e risolve la politica prefirmata per l'utente. URL Poiché la console SageMaker AI funziona su un dominio Internet, questo dominio generato e prefirmato URL è visibile nella sessione del browser. Ciò rappresenta un vettore di minaccia indesiderato per il furto di dati e l'accesso ai dati dei clienti quando non vengono applicati i controlli di accesso adeguati.
Studio supporta alcuni metodi per applicare i controlli di accesso contro il furto di dati prefirmati: URL
-
Convalida dell'IP del client utilizzando la condizione della policy IAM
aws:sourceIp
-
VPCConvalida del client utilizzando la condizione IAM
aws:sourceVpc
-
Convalida VPC degli endpoint del client utilizzando la condizione della policy IAM
aws:sourceVpce
Quando accedi SageMaker ai notebook AI Studio dalla console SageMaker AI, l'unica opzione disponibile consiste nell'utilizzare la convalida dell'IP del client con la condizione della policy. IAM aws:sourceIp
Tuttavia, puoi utilizzare prodotti di routing del traffico via browser come Zscaler per garantire scalabilità e conformità per l'accessoaws:sourceIp
questa condizione.
Per utilizzare la convalida degli VPC endpoint del client utilizzando la condizione della IAM policyaws:sourceVpce
, la creazione di un dispositivo prefirmato URL deve provenire dallo stesso cliente in VPC cui viene implementato SageMaker AI Studio e la risoluzione delle URL esigenze prefirmate deve avvenire tramite un endpoint SageMaker AI Studio VPC sul cliente. VPC Questa risoluzione dei dati prefirmati URL durante il periodo di accesso per gli utenti della rete aziendale può essere eseguita utilizzando regole di DNS inoltro (sia in Zscaler che aziendaliDNS) e quindi nell'endpoint del cliente VPC utilizzando un resolver in ingresso Amazon Route 53

Accesso a Studio prefirmato URL con VPC endpoint tramite rete aziendale
Per step-by-step indicazioni sulla configurazione dell'architettura precedente, consulta Secure Amazon SageMaker AI Studio presigned URLs Part 1: Foundational
SageMaker Quote e limiti dei domini AI
-
SageMaker La SSO federazione dei domini di AI Studio è supportata solo nella regione, tra gli account dei membri dell' AWS organizzazione in cui viene fornito AWS Identity Center.
-
Gli spazi condivisi non sono attualmente supportati con i domini configurati con AWS Identity Center.
-
VPCe la configurazione della sottorete non può essere modificata dopo la creazione del dominio. È tuttavia possibile creare un nuovo dominio con una configurazione di sottorete diversaVPC.
-
L'accesso al dominio non può essere cambiato da una SSO modalità all'altra dopo la creazione del dominio. IAM È possibile creare un nuovo dominio con una modalità di autenticazione diversa.
-
È previsto un limite di quattro app kernel gateway per tipo di istanza lanciate per ogni utente.
-
Ogni utente può avviare solo un'istanza per ogni tipo di istanza.
-
Esistono limiti alle risorse consumate all'interno di un dominio, ad esempio il numero di istanze avviate per tipo di istanza e il numero di profili utente che è possibile creare. Consulta la pagina relativa alle quote di servizio per un elenco completo dei limiti del servizio.
-
I clienti possono presentare una richiesta di assistenza aziendale motivando la propria attività ad aumentare i limiti predefiniti relativi alle risorse, ad esempio il numero di domini o i profili utente, entro limiti a livello di account.
-
Il limite rigido al numero di app simultanee per account è di 2.500 app. I domini e i limiti dei profili utente dipendono da questo limite rigido. Ad esempio, un account può avere un singolo dominio con 1.000 profili utente o 20 domini con 50 profili utente ciascuno.