다중 도메인 및 공유 스페이스 - SageMaker Studio 관리 모범 사례
도메인에 공유 스페이스 설정IAM) 연동을 위한 도메인 설정Single Sign-On(SSO) 연동을 위한 도메인 설정SageMaker AI Studio 사용자 프로필Jupyter 서버 앱Jupyter 커널 게이트웨이 앱Amazon EFS 볼륨Amazon EBS 볼륨미리 서명된에 대한 액세스 보안 URLSageMaker AI 도메인 할당량 및 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 도메인 및 공유 스페이스

Amazon SageMaker AI는 이제 각 계정에 AWS 리전 대해 단일에 여러 SageMaker AI 도메인 생성을 지원합니다. 각 도메인에는 인증 모드와 같은 자체 도메인 설정과 및 서브넷VPC과 같은 네트워킹 설정이 있을 수 있습니다. 사용자 프로필은 도메인 간에 공유할 수 없습니다. 인간 사용자가 도메인으로 분리된 여러 팀에 속해 있는 경우 각 도메인에서 해당 사용자에 대한 사용자 프로필을 생성하십시오. 기존 도메인의 태그 채우기에 대해 알아보려면 다중 도메인 개요를 참조하세요.

IAM 인증 모드로 설정된 각 도메인은 사용자 간의 거의 실시간 협업을 위해 공유 공간을 사용할 수 있습니다. 공유 공간을 사용하면 사용자는 공유 Amazon EFS 디렉터리와 사용자 인터페이스용 공유 JupyterServer 앱에 액세스할 수 있으며 거의 실시간으로 공동 편집할 수 있습니다. 공유 스페이스에서 생성된 리소스의 자동 태그 지정을 통해 관리자는 프로젝트 수준에서 비용을 추적할 수 있습니다. 또한 공유 JupyterServer UI는 실험 및 모델 레지스트리 항목과 같은 리소스를 필터링하므로 공유 ML 노력과 관련된 항목만 표시됩니다. 다음 다이어그램은 각 도메인 내의 비공개 앱 및 공유 스페이스에 대한 개요를 제공합니다.

단일 도메인 내의 비공개 앱 및 공유 스페이스에 대한 개요를 보여주는 다이어그램입니다.

단일 도메인 내의 비공개 앱 및 공유 스페이스 개요

도메인에 공유 스페이스 설정

공유 공간은 일반적으로 단일 도메인의 멤버가 동일한 기본 파일 스토리지 및에 거의 실시간으로 액세스해야 하는 특정 ML 노력 또는 프로젝트에 대해 생성됩니다IDE. 사용자는 거의 실시간으로 노트북에 액세스하고, 읽고, 편집하고, 공유할 수 있으므로 동료와 함께 반복 작업을 아주 빠르게 시작할 수 있습니다.

공유 스페이스를 만들려면 먼저 스페이스를 사용하는 모든 사용자의 권한을 제어할 스페이스 기본 실행 역할을 지정해야 합니다. 이 글을 쓰는 시점에서 도메인 내의 모든 사용자는 해당 도메인의 모든 공유 스페이스에 액세스할 수 있습니다. 기존 도메인에 공유 스페이스를 추가하는 방법에 대한 최신 설명서를 확인하려면 공유 공간 만들기를 참조하세요.

IAM 페더레이션을 위한 도메인 설정

SageMaker AI Studio 도메인에 대한 페더레이션 AWS Identity and Access Management (IAM)을 설정하기 전에 자격 증명 관리 섹션에서 설명한 대로 IdP에서 IAM 페더레이션 사용자 역할(예: 플랫폼 관리자)을 설정해야 합니다.

IAM 옵션으로 SageMaker AI Studio를 설정하는 자세한 지침은 IAM Identity Center를 사용하여 Amazon SageMaker 도메인에 온보딩을 참조하세요.

Single Sign-On(SSO) 연동을 위한 도메인 설정

Single Sign-On(SSO) 연동을 사용하려면 SageMaker AI Studio를 실행해야 하는 리전과 동일한 리전 AWS IAM Identity Center 의 AWS Organizations 관리 계정에서를 활성화해야 합니다. 도메인 설정 단계는 인증 섹션에서 AWS IAM Identity Center (IdC)를 선택하는 것을 제외하고 IAM 페더레이션 단계와 유사합니다.

자세한 지침은 IAM Identity Center를 사용하여 Amazon SageMaker 도메인에 온보딩을 참조하세요.

SageMaker AI Studio 사용자 프로필

사용자 프로필은 도메인 내의 단일 사용자를 나타내며 공유, 보고 및 기타 사용자 중심 기능을 목적으로 “사람”을 참조하는 주된 방법입니다. 이 엔터티는 사용자가 toSageMaker AI Studio를 온보딩할 때 생성됩니다. 관리자가 이메일로 사용자를 초대하거나 IdC에서 가져오는 경우 사용자 프로파일이 자동으로 생성됩니다. 사용자 프로필은 개별 사용자의 기본 설정 소유자이며 사용자의 프라이빗 Amazon Elastic File System(AmazonEFS) 홈 디렉터리에 대한 참조가 있습니다. SageMaker AI Studio 애플리케이션의 각 물리적 사용자에 대한 사용자 프로필을 생성하는 것이 좋습니다. 각 사용자는 Amazon에 전용 디렉터리를 가지고 있으며EFS, 사용자 프로필은 동일한 계정의 도메인 간에 공유할 수 없습니다.

SageMaker AI Studio 도메인을 공유하는 각 사용자 프로필은 노트북을 실행하기 위한 전용 컴퓨팅 리소스(들)(예: SageMaker AI Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스(들))를 가져옵니다. 사용자 1에 할당된 컴퓨팅 인스턴스는 사용자 2에게 할당된 컴퓨팅 인스턴스와 완전히 분리되어 있습니다. 마찬가지로, 한 AWS 계정의 사용자들에게 할당된 컴퓨팅 리소스는 다른 계정의 사용자들에게 할당된 컴퓨팅 리소스와 완전히 분리됩니다. 각 사용자는 격리된 Docker 컨테이너 내에서 최대 4개의 애플리케이션() 을 실행하거나 동일한 인스턴스 유형의 이미지를 실행할 수 있습니다.

Jupyter 서버 앱

미리 서명된에 액세스URL하거나 AWS IAM IdC를 사용하여 로그인하여 사용자를 위한 Amazon SageMaker AI Studio 노트북을 시작하면 SageMaker AI 서비스 관리형 VPC 인스턴스에서 Jupyter Server 앱이 시작됩니다. 각 사용자는 전용 Jupyter 서버 앱을 프라이빗 앱으로 받습니다. 기본적으로 SageMaker AI Studio 노트북용 Jupyter Server 앱은 전용 ml.t3.medium 인스턴스(시스템 인스턴스 유형으로 예약됨)에서 실행됩니다. 이 인스턴스의 컴퓨팅 요금은 고객에게 청구되지 않습니다.

Jupyter 커널 게이트웨이 앱

커널 게이트웨이 앱은 API 또는 SageMaker AI Studio 인터페이스를 통해 생성할 수 있으며 선택한 인스턴스 유형에서 실행됩니다. 이 앱은 널리 사용되는 데이터 과학으로 사전 구성된 기본 제공 SageMaker AI Studio 이미지 중 하나와 , TensorFlow Apache MXNet및와 같은 딥 러닝 패키지를 사용하여 실행할 수 있습니다PyTorch.

사용자는 동일한 SageMaker Studio 내에서 여러 Jupyter 노트북 커널, 터미널 세션 및 대화형 콘솔을 시작하고 실행할 수 있습니다image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image.

추가 앱을 만들려면 다른 인스턴스 유형을 사용해야 합니다. 사용자 프로필에서는 인스턴스 유형에 관계없이 하나의 인스턴스만 실행할 수 있습니다. 예를 들어, 사용자는 동일한 인스턴스에서 SageMaker AI Studio 내장 데이터 과학 이미지를 사용하여 간단한 노트북과 내장 TensorFlow 이미지를 사용하여 다른 노트북을 모두 실행할 수 있습니다. 인스턴스가 실행되는 시간만큼 사용자에게 요금이 청구됩니다. 사용자가 SageMaker AI Studio를 적극적으로 실행하지 않을 때 발생하는 비용을 방지하려면 인스턴스를 종료해야 합니다. 자세한 내용은 Studio 앱 종료 및 업데이트를 참조하세요.

SageMaker AI Studio 인터페이스에서 커널 게이트웨이 앱을 종료했다가 다시 열 때마다 해당 앱은 새 인스턴스에서 시작됩니다. 즉, 동일한 앱을 다시 시작해도 패키지 설치가 지속되지 않습니다. 마찬가지로 사용자가 노트북에서 인스턴스 유형을 변경하면 설치된 패키지와 세션 변수가 손실됩니다. 그러나 자체 이미지수명 주기 스크립트 가져오기와 같은 기능을 사용하여 사용자 자체 패키지를 SageMaker AI Studio로 가져와 인스턴스 스위치 및 새 인스턴스 시작을 통해 유지할 수 있습니다.

Amazon Elastic File System 볼륨

도메인이 생성되면 도메인 내의 모든 사용자가 사용할 단일 Amazon Elastic File System(Amazon EFS) 볼륨이 생성됩니다. 각 사용자 프로필은 사용자의 노트북, GitHub 리포지토리 및 데이터 파일을 저장하기 위해 Amazon EFS 볼륨 내에서 프라이빗 홈 디렉터리를 수신합니다. 도메인 내 각 공간은 Amazon EFS 볼륨 내에서 여러 사용자 프로필로 액세스할 수 있는 프라이빗 디렉터리를 수신합니다. 폴더에 대한 액세스는 파일 시스템 권한을 통해 사용자에 의해 분리됩니다. SageMaker AI Studio는 각 사용자 프로필 또는 공간에 대한 글로벌 고유 사용자 ID를 생성하고, 이를 휴대용 운영 체제 인터페이스(POSIX)로 적용하여 데이터에 액세스user/group ID for the user’s home directory on EFS, which prevents other users/spaces하지 못하도록 합니다.

백업 및 복구

기존 EFS 볼륨은 새 SageMaker AI 도메인에 연결할 수 없습니다. 프로덕션 설정에서 Amazon EFS 볼륨이 백업되어 있는지 확인합니다(다른 EFS 볼륨 또는 Amazon Simple Storage Service(Amazon S3)). 실수로 EFS 볼륨이 삭제된 경우 관리자는 SageMaker AI Studio 도메인을 해체하고 다시 생성해야 합니다. 프로세스는 다음과 같습니다.

, , 및 DescribeSpace API 호출을 통해 사용자 프로필ListUserProfiles, 공백 DescribeUserProfile List Spaces및 연결된 EFS 사용자IDs(UIDs) 목록을 백업합니다.

  1. 새 SageMaker AI Studio 도메인을 생성합니다.

  2. 사용자 프로필 및 스페이스를 생성합니다.

  3. 각 사용자 프로필에 대해 EFS/Amazon S3의 백업에서 파일을 복사합니다.

  4. 필요에 따라 이전 SageMaker AI Studio 도메인에서 모든 앱 및 사용자 프로필을 삭제합니다.

자세한 지침은 부록 섹션 SageMaker AI Studio 도메인 백업 및 복구를 참조하세요.

참고

이는 사용자가 앱을 시작할 때마다 LifecycleConfigurations를 통해 S3와 데이터를 주고 받아서도 달성할 수 있습니다.

Amazon EBS 볼륨

Amazon Elastic Block Store(Amazon EBS) 스토리지 볼륨도 각 SageMaker AI Studio 노트북 인스턴스에 연결됩니다. 이것은 인스턴스에서 실행되는 컨테이너 또는 이미지의 루트 볼륨으로 사용됩니다. Amazon EFS 스토리지는 영구적이지만 컨테이너에 연결된 Amazon EBS 볼륨은 일시적입니다. 고객이 앱을 삭제하면 Amazon EBS 볼륨에 로컬로 저장된 데이터는 유지되지 않습니다.

미리 서명된에 대한 액세스 보안 URL

SageMaker AI Studio 사용자가 노트북 링크를 열면 SageMaker AI Studio는 페더레이션 사용자의 IAM 정책을 검증하여 액세스를 승인하고 해당 사용자에 URL 대해 미리 서명된를 생성하고 해결합니다. SageMaker AI 콘솔은 인터넷 도메인에서 실행되므로 미리 생성된이 URL는 브라우저 세션에 표시됩니다. 이로 인해 적절한 액세스 제어가 시행되지 않을 경우 데이터 도용 및 고객 데이터에 대한 액세스 권한을 획득할 수 있는 원치 않는 위협 요소가 발생할 수 있습니다.

Studio는 미리 서명된 URL 데이터 도난에 대한 액세스 제어를 적용하는 몇 가지 방법을 지원합니다.

  • IAM 정책 조건을 사용한 클라이언트 IP 검증aws:sourceIp

  • IAM 조건을 사용한 클라이언트 VPC 검증aws:sourceVpc

  • IAM 정책 조건을 사용한 클라이언트 VPC 엔드포인트 검증aws:sourceVpce

SageMaker AI 콘솔에서 SageMaker AI Studio 노트북에 액세스할 때 사용 가능한 유일한 옵션은 IAM 정책 조건과 함께 클라이언트 IP 검증을 사용하는 것입니다aws:sourceIp. 하지만 Zscaler와 같은 브라우저 트래픽 라우팅 제품을 사용하여 작업 인력 인터넷 액세스의 규모와 규정 준수를 보장할 수 있습니다. 이러한 트래픽 라우팅 제품은 자체 소스 IP를 생성하며, 이 IP 범위는 기업 고객이 제어하지 않습니다. 따라서 이러한 기업 고객은 aws:sourceIp 조건을 사용할 수 없습니다.

IAM 정책 조건을 사용하여 클라이언트 VPC 엔드포인트 검증을 사용하려면 SageMaker AI Studio가 배포VPC된 동일한 고객URL에서 미리 서명된를 aws:sourceVpce생성하고 고객의 SageMaker AI Studio VPC 엔드포인트를 통해 미리 서명된를 해결URL해야 합니다VPC. 기업 네트워크 사용자의 액세스 시간 URL 동안 미리 서명된의 이러한 해결은 다음 아키텍처와 같이 DNS 전달 규칙(Zscaler 및 기업 모두DNS)을 사용하여 수행한 다음 Amazon Route 53인바운드 해석기를 사용하여 고객 VPC 엔드포인트로 수행할 수 있습니다.

기업 네트워크를 통해 VPC 엔드포인트URL로 미리 서명된 Studio에 액세스하는 방법을 보여주는 다이어그램입니다.

기업 네트워크를 통해 VPC 엔드포인트URL로 사전 서명된 Studio에 액세스

이전 아키텍처를 설정하는 지침은 step-by-step 1URLs부: 기본 인프라에 미리 서명된 Amazon SageMaker AI Studio 보안을 참조하세요.

SageMaker AI 도메인 할당량 및 제한

  • SageMaker AI Studio 도메인 SSO 페더레이션은 AWS Identity Center가 프로비저닝된 AWS 조직의 멤버 계정에서 리전에서만 지원됩니다.

  • 공유 공간은 현재 AWS Identity Center로 설정된 도메인에서 지원되지 않습니다.

  • VPC 도메인을 생성한 후에는 및 서브넷 구성을 변경할 수 없습니다. 하지만 다른 VPC 서브넷 구성으로 새 도메인을 생성할 수 있습니다.

  • 도메인을 생성한 후에는 도메인 액세스를 IAM 및 SSO 모드 간에 전환할 수 없습니다. 다른 인증 모드로 새 도메인을 생성할 수 있습니다.

  • 모든 사용자에 대해 인스턴스 유형당 실행되는 커널 게이트웨이 앱은 4개로 제한됩니다.

  • 각 사용자는 각 인스턴스 유형에서 하나의 인스턴스만 시작할 수 있습니다.

  • 도메인 내에서 소비되는 리소스에는 제한이 있습니다(예: 인스턴스 유형별로 시작하는 인스턴스 수, 생성할 수 있는 사용자 프로필 수). 서비스 한도의 전체 목록은 서비스 할당량 페이지를 참조하십시오.

  • 고객은 도메인 또는 사용자 프로필 수와 같은 기본 리소스 제한을 상향 조정하는 데 필요한 비즈니스 근거가 있는 기업 지원 사례를 제출할 수 있으며, 여기에는 계정 수준의 가드레일이 적용됩니다.

  • 계정당 동시 앱 수는 앱 2,500개로 엄격히 제한됩니다. 도메인 및 사용자 프로필 한도는 이 엄격한 한도에 따라 달라집니다. 예를 들어 계정에는 1,000개의 사용자 프로필이 있는 단일 도메인 또는 각각 50개의 사용자 프로필이 있는 20개의 도메인이 있을 수 있습니다.