As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Vários domínios e espaços compartilhados

O Amazon SageMaker AI agora suporta a criação de vários domínios de SageMaker IA em um único Região da AWS para cada conta. Cada domínio pode ter suas próprias configurações de domínio, como modo de autenticação, e configurações de rede, como VPC sub-redes. Um perfil de usuário não pode ser compartilhado entre domínios. Se um usuário humano fizer parte de várias equipes separadas por domínios, crie um perfil de usuário para o usuário em cada domínio. Consulte a Visão geral de vários domínios para saber mais sobre o preenchimento de tags para domínios existentes.

Cada domínio configurado no modo de IAM autenticação pode usar o espaço compartilhado para colaboração quase em tempo real entre os usuários. Com um espaço compartilhado, os usuários têm acesso a um EFS diretório compartilhado da Amazon e a um JupyterServeraplicativo compartilhado para a interface do usuário e podem coeditar quase em tempo real. A marcação automática de recursos criados por espaços compartilhados permite que os administradores acompanhem os custos em um nível de projeto. A JupyterServer interface compartilhada também filtra recursos, como experimentos e entradas de registro de modelos, para que somente itens relevantes para o esforço compartilhado de ML sejam exibidos. O diagrama a seguir fornece uma visão geral dos aplicativos privados e espaços compartilhados em cada domínio.

Configure espaços compartilhados em seu domínio

Os espaços compartilhados geralmente são criados para um determinado empreendimento ou projeto de ML em que os membros de um único domínio precisam de acesso quase em tempo real ao mesmo armazenamento de arquivos subjacente e. IDE O usuário pode acessar, ler, editar e compartilhar seus cadernos quase em tempo real, o que lhe dá o caminho mais rápido para começar a iterar com seus colegas.

Para criar um espaço compartilhado, você deve primeiro designar um perfil de execução padrão do espaço que governará as permissões de qualquer usuário que utilize o espaço. No momento da redação deste artigo, todos os usuários em um domínio terão acesso a todos os espaços compartilhados em seu domínio. Consulte Criar um espaço compartilhado para obter a documentação mais recente sobre como adicionar espaços compartilhados a um domínio existente.

Configure seu domínio para IAM federação

Antes de configurar a federação AWS Identity and Access Management (IAM) para seu domínio do SageMaker AI Studio, você precisa configurar uma função de usuário IAM da federação (como administrador da plataforma) no seu IdP, conforme discutido na seção Gerenciamento de identidade.

Para obter instruções detalhadas sobre como configurar o SageMaker AI Studio com a IAM opção, consulte Integração ao SageMaker domínio da Amazon usando o IAM Identity Center.

Configure seu domínio para federação de login único () SSO

Para usar a federação de login único (SSO), você precisa habilitar AWS IAM Identity Center sua conta AWS Organizationsde gerenciamento na mesma região em que precisa executar o SageMaker AI Studio. As etapas de configuração do domínio são semelhantes às etapas de IAM federação, exceto que você seleciona AWS IAM Identity Center(iDC) na seção Autenticação.

Para obter instruções detalhadas, consulte Integrar o SageMaker domínio da Amazon usando o IAM Identity Center.

SageMaker Perfil de usuário do AI Studio

Um perfil de usuário representa um único usuário dentro de um domínio e é a principal maneira de referenciar uma “pessoa” para fins de compartilhamento, relatórios e outros recursos orientados para o usuário. Essa entidade é criada quando um usuário integra o toSageMaker AI Studio. Se um administrador convidar uma pessoa por e-mail ou importá-la do IdC, um perfil de usuário será criado automaticamente. Um perfil de usuário é o principal detentor das configurações de um usuário individual e tem uma referência ao diretório inicial privado do Amazon Elastic File System (AmazonEFS) do usuário. Recomendamos criar um perfil de usuário para cada usuário físico do aplicativo SageMaker AI Studio. Cada usuário tem seu próprio diretório dedicado na AmazonEFS, e os perfis de usuário não podem ser compartilhados entre domínios na mesma conta.

Cada perfil de usuário que compartilha o domínio do SageMaker AI Studio recebe recursos computacionais dedicados (como instâncias de SageMaker AI Amazon Elastic Compute Cloud (AmazonEC2)) para executar notebooks. As instâncias de computação alocadas para o usuário um são completamente isoladas daquelas alocadas para o usuário dois. Da mesma forma, os recursos computacionais alocados aos usuários em uma conta da AWS são completamente separados daqueles alocados aos usuários em outra conta. Cada usuário pode executar até quatro aplicativos (aplicativos) em contêineres isolados do Docker ou imagens no mesmo tipo de instância.

Aplicativo Jupyter Server

Quando você inicia um notebook Amazon SageMaker AI Studio para um usuário acessando o pré-assinado URL ou fazendo login usando o AWS IAM iDC, o aplicativo Jupyter Server é lançado na instância gerenciada pelo SageMaker serviço de IA. VPC Cada usuário obtém seu próprio aplicativo Jupyter Server dedicado em um aplicativo privado. Por padrão, o aplicativo Jupyter Server para notebooks SageMaker AI Studio é executado em uma ml.t3.medium instância dedicada (reservada como um tipo de instância do sistema). A computação dessa instância não é cobrada do cliente.

O aplicativo Jupyter Kernel Gateway

O aplicativo Kernel Gateway pode ser criado por meio da interface API ou do SageMaker AI Studio e é executado no tipo de instância escolhido. Esse aplicativo pode ser executado usando uma das imagens integradas do SageMaker AI Studio que são pré-configuradas com pacotes populares de ciência de dados e aprendizado profundo TensorFlow, como Apache MXNet e. PyTorch

Os usuários podem iniciar e executar vários kernels do notebook Jupyter, sessões de terminal e consoles interativos no mesmo Studio. SageMaker image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image

Para criar aplicativos adicionais, você precisa usar um tipo de instância diferente. Um perfil de usuário pode ter somente uma instância em execução, de qualquer tipo de instância. Por exemplo, um usuário pode executar um notebook simples usando a imagem de ciência de dados integrada do SageMaker AI Studio e outro notebook usando a TensorFlow imagem integrada, na mesma instância. Os usuários são cobrados pelo tempo em que a instância está em execução. Para evitar custos quando o usuário não está executando ativamente o SageMaker AI Studio, o usuário precisa desligar a instância. Para obter mais informações, consulte Desligar e atualizar os aplicativos do Studio.

Toda vez que você desliga e reabre um aplicativo Kernel Gateway a partir da interface do SageMaker AI Studio, esse aplicativo é iniciado em uma nova instância. Isso significa que a instalação do pacote não persiste por meio de reinicializações do mesmo aplicativo. Da mesma forma, se um usuário alterar o tipo de instância em um notebook, os pacotes instalados e as variáveis de sessão serão perdidos. No entanto, você pode usar recursos como trazer sua própria imagem e scripts de ciclo de vida para trazer os pacotes do próprio usuário para o SageMaker AI Studio e mantê-los por meio de trocas de instância e lançamentos de novas instâncias.

Volume do Amazon Elastic File System

Quando um domínio é criado, um único volume do Amazon Elastic File System (AmazonEFS) é criado para ser usado por todos os usuários dentro do domínio. Cada perfil de usuário recebe um diretório pessoal privado dentro do EFS volume da Amazon para armazenar os notebooks, GitHub repositórios e arquivos de dados do usuário. Cada espaço dentro de um domínio recebe um diretório privado dentro do EFS volume da Amazon que pode ser acessado por vários perfis de usuário. O acesso às pastas é segregado por usuário, por meio de permissões do sistema de arquivos. SageMaker O AI Studio cria uma ID de usuário global exclusiva para cada perfil ou espaço de usuário e a aplica como uma interface de sistema operacional portátil (POSIX) a user/group ID for the user’s home directory on EFS, which prevents other users/spaces partir do acesso aos dados.

Backup e recuperação

Um EFS volume existente não pode ser anexado a um novo domínio de SageMaker IA. Em uma configuração de produção, certifique-se de que o EFS volume da Amazon tenha sido copiado (para outro EFS volume ou para o Amazon Simple Storage Service (Amazon S3)). Se um EFS volume for excluído acidentalmente, o administrador precisará remover e recriar o domínio do SageMaker AI Studio. O processo é o seguinte:

Faça backup da lista de perfis de usuário, espaços e do EFS usuário associado IDs (UIDs) por meio das DescribeSpace API chamadas ListUserProfiles DescribeUserProfileList Spaces,, e.

Para obter instruções detalhadas, consulte a seção do apêndice Backup e recuperação de domínios do SageMaker AI Studio.

EBSVolume da Amazon

Um volume de armazenamento do Amazon Elastic Block Store (AmazonEBS) também é anexado a cada instância do SageMaker AI Studio Notebook. Ele é usado como o volume raiz do contêiner ou da imagem em execução na instância. Embora o EFS armazenamento da Amazon seja persistente, o EBS volume da Amazon anexado ao contêiner é temporário. Os dados armazenados localmente no EBS volume da Amazon não serão mantidos se o cliente excluir o aplicativo.

Protegendo o acesso ao pré-assinado URL

Quando um usuário do SageMaker AI Studio abre o link do notebook, o SageMaker AI Studio valida a IAM política do usuário federado para autorizar o acesso e gera e resolve o URL pré-assinado para o usuário. Como o console de SageMaker IA é executado em um domínio da Internet, esse conteúdo gerado e pré-assinado URL fica visível na sessão do navegador. Isso representa um vetor de ameaça indesejado para roubo de dados e para a obtenção de acesso aos dados do cliente quando os controles de acesso adequados não são aplicados.

O Studio oferece suporte a alguns métodos para aplicar controles de acesso contra roubo de URL dados pré-assinados:

Quando você acessa os notebooks do SageMaker AI Studio a partir do console do SageMaker AI, a única opção disponível é usar a validação de IP do cliente com a condição aws:sourceIp da IAM política. No entanto, você pode usar produtos de roteamento de tráfego do navegador, como o Zscaler, para garantir a escala e a conformidade do acesso à Internet da sua força de trabalho. Esses produtos de roteamento de tráfego geram seu próprio IP de origem, cujo intervalo de IP não é controlado pelo cliente corporativo. Isso impossibilita que esses clientes corporativos usem a condição aws:sourceIp.

Para usar a validação do VPC endpoint do cliente usando a condição da IAM políticaaws:sourceVpce, a criação de um terminal pré-assinado URL precisa se originar no mesmo cliente VPC em que o SageMaker AI Studio está implantado, e a resolução do pré-assinado URL precisa ocorrer por meio de um endpoint do SageMaker AI Studio VPC no cliente. VPC Essa resolução do pré-assinado URL durante o tempo de acesso para usuários da rede corporativa pode ser realizada usando regras de DNS encaminhamento (tanto no Zscaler quanto no corporativoDNS) e, em seguida, no endpoint do cliente VPC usando um resolvedor de entrada do Amazon Route 53, conforme mostrado na arquitetura a seguir:

Para step-by-step obter orientação sobre a configuração da arquitetura anterior, consulte Secure Amazon SageMaker AI Studio presigned URLs Part 1: Foundational infrastructure.

SageMaker Cotas e limites de domínio de IA