本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Amazon SageMaker AI 的自訂設定 使用自訂設定 **為組織設定** (自訂設定) 會引導您完成 Amazon SageMaker AI 網域的進階設定。此選項提供的資訊和建議可協助您了解和控制帳戶組態的所有層面,包括許可、整合和加密。如果您想要設定自訂網域,請使用此選項。如需網域的相關資訊,請參閱[Amazon SageMaker AI 網域概觀](gs-studio-onboard.md)。 **Topics** + [ ## 身分驗證方法 ](#onboard-custom-authentication-details) + [ ## 組織的設定 (自訂設定) ](#onboard-custom-instructions) + [ ## 在加入之後存取網域 ](#onboard-custom-users-accesss-domain) ## 身分驗證方法 在您設定網域之前,請考慮使用者存取網域的驗證方法。 **AWS Identity Center**: + **協助簡化使用者群組的存取許可管理。**您可以對使用者群組授與或拒絕許可,而不是將這些許可套用至每個個別使用者。如果使用者移至不同的組織,您可以將該使用者移至不同的 AWS Identity and Access Management 身分中心 (AWS IAM Identity Center) 群組。然後,使用者會自動接收新組織所需的許可。 請注意,IAM Identity Center 必須與網域位於相同的 AWS 區域 中。 若要使用 IAM Identity Center 設定,請使用 *AWS IAM Identity Center 使用者指南*中的下列指示: + 從[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) 開始。 + [建立許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html),遵循套用最低權限的最佳實務。 + [新增群組](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)至您的 IAM Identity Center 目錄。 + [將單一登入存取權指派給](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers)使用者和群組。 + 檢視基本工作流程,[以開始使用 IAM Identity Center 中的常見任務](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。 + IAM Identity Center 中的使用者可以使用透過電子郵件傳送給他們的 AWS 存取入口網站 URL 存取網域。電子郵件提供建立帳戶以存取網域的指示。如需詳細資訊,請參閱[登入 AWS 存取入口網站](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html)。 身為管理員,您可以透過導覽至 [IAM Identity Center](https://console.aws.amazon.com/singlesignon) AWS 存取入口網站 並在**設定摘要**下尋找 URL 來尋找 **AWS 存取入口網站 URL**。 + 如果您想要將網域的存取限制在特定 Amazon Virtual Private Cloud (VPCs)、介面端點或預先定義的一組 IP 地址,您的網域必須使用 AWS Identity and Access Management (IAM) 身分驗證。使用 IAM Identity Center 驗證的網域不支援此功能。您仍然可以使用 IAM Identity Center 來啟用集中式人力身分控制。如需如何實作這些限制,同時讓 IAM Identity Center 提供一致使用者登入體驗的指示,請參閱 *AWS 機器學習部落格*中的[使用 IAM Identity Center 和 SAML 應用程式安全存取 Amazon SageMaker Studio Classic](https://aws.amazon.com/blogs/machine-learning/secure-access-to-amazon-sagemaker-studio-with-aws-sso-and-a-saml-application/)。請注意,此部落格中的 AWS SSO 是 IAM Identity Center。 **透過 IAM 登入**: + 使用者設定檔可在登入帳戶之後,透過 SageMaker AI 主控台存取網域。 + 使用 AWS Identity and Access Management (IAM) 驗證時,您可以將網域的存取僅限制在特定 Amazon 虛擬私有雲端 (VPC)、介面端點或預先定義的一組 IP 位址。如需詳細資訊,請參閱[僅允許從您的 VPC 內部存取](studio-interface-endpoint.md#studio-private-link-restrict)。 ## 組織的設定 (自訂設定) 自訂設定 ### 使用主控台進行自訂設定 在滿足 [完成 Amazon SageMaker AI 先決條件](gs-set-up.md) 中的先決條件之後,開啟**設定 SageMaker AI 網域** (自訂設定) 頁面,並展開下列章節以取得設定的相關資訊。 **從 SageMaker AI 主控台開啟**設定 SageMaker AI 網域**** 1. 開啟 [SageMaker AI 主控台](https://console.aws.amazon.com/sagemaker/)。 1. 在左側導覽窗格中,選擇**管理員組態**以展開選項。 1. 在**管理員組態**下,選擇**網域**。 1. 從**網域**頁面中,選擇**建立網域**。 1. 在**設定 SageMaker AI 網域**頁面上,選擇**為組織設定**。 1. 選擇 **Set up (設定)**。 一旦開啟了**設定 SageMaker AI 網域**頁面,請使用下列指示: #### 步驟 1:網域詳細資訊 1. 針對**網域名稱**,為您的網域輸入唯一的名稱。例如,這可以是您的專案或團隊名稱。 1. 選擇**下一步**。 #### 步驟 2:使用者和 ML 活動 在此步驟中,您會設定網域的驗證方法、使用者和許可。 1. 在**您要如何存取 Studio?**下,您可以選擇兩個選項之一。如需驗證方法的相關資訊,請參閱[身分驗證方法](#onboard-custom-authentication-details)。選項的詳細資訊提供如下: + **AWS Identity Center**: 在**誰將使用 Studio 下?**選擇將存取網域的 AWS IAM Identity Center 群組。 如果您選擇**沒有 Identity Center 使用者群組**,則會建立沒有使用者的網域。您可以在建立網域之後,將 IAM Identity Center 群組新增至網域。如需詳細資訊,請參閱[編輯網域設定](domain-edit.md)。 + **透過 IAM 登入**: 在**誰將使用 Studio?**下,選擇 **\$1 新增使用者**、輸入新的使用者設定檔名稱,然後選擇**新增**以建立並新增使用者設定檔名稱。 您可以重複此程序來建立多個使用者設定檔。 1. 在**誰將使用 Studio?**下,選取 IAM Identity Center 使用者或群組,然後選擇**選取**。您需要在已設定 IAM Identity Center 的相同區域內設定 Amazon SageMaker Studio。您可以從主控台右上角的下拉式清單中選擇 [區域] 來變更網域的區域,也可以導覽至 [AWS 存取入口網站](https://console.aws.amazon.com/singlesignon)來變更 IAM Identity Center 區域。 1. 在**他們執行哪些 ML 活動?**下,您可以選擇**使用現有角色**來使用現有角色,也可以選擇**建立新角色**,並核取您想要角色能夠存取的 ML 活動來建立新的角色。 1. 選取 ML 活動時,您可能需要滿足需求。若要滿足需求,請選擇**新增**並完成需求。 1. 在滿足所有需求之後,選擇**下一步**。 #### 步驟 3:應用程式 在此步驟中,您可以設定您在上一個步驟中啟用的應用程式。如需 ML 活動的詳細資訊,請參閱[機器學習 (ML) 活動參考](role-manager-ml-activities.md)。 如果應用程式尚未啟用,您會收到該應用程式的警告。若要啟用尚未啟用的應用程式,請選擇**上一步**回到上一個步驟,並遵循先前的指示。 + **Studio** 組態: 在 **Studio** 下,您可以選擇較新版本還是傳統版本的 Studio 作為預設體驗。這表示選擇您在開啟 Studio 時與哪個 ML 環境互動。 + **Studio** 包含多個整合式開發環境 (IDE) 和應用程式,包括 Amazon SageMaker Studio Classic。如果選擇,則 Studio Classic IDE 具有預設設定。如需預設設定的相關資訊,請參閱[預設設定](onboard-quick-start.md#onboard-quick-start-defaults)。 如需 Studio 的相關資訊,請參閱 [Amazon SageMaker Studio](studio-updated.md)。 + **Studio Classic** 包含 Jupyter IDE。如果選擇此選項,您可以設定 Studio Classic 組態。 如需 Studio Classic 的相關資訊,請參閱 [Amazon SageMaker Studio Classic](studio.md)。 + **SageMaker Canvas** 組態: 如果您已啟用 Amazon SageMaker Canvas,請參閱 [Amazon Sagemaker Canvas 使用入門](canvas-getting-started.md) 以取得加入的指示和組態詳細資訊。 + **Studio Classic** 組態: 如果您選擇 **Studio** (建議) 作為預設體驗,則 Studio Classic IDE 具有預設設定。如需預設設定的相關資訊,請參閱[預設設定](onboard-quick-start.md#onboard-quick-start-defaults)。 如果選擇 Studio Classic 作為預設體驗,您可以選擇啟用或停用筆記本資源共用。筆記本資源包含成品,例如儲存格輸出和 Git 儲存庫。如需筆記本資源的詳細資訊,請參閱[共用和使用 Amazon SageMaker Studio Classic 筆記本](notebooks-sharing.md)。 如果己啟用筆記本資源共用: 1. 在**可共用筆記本資源的 S3 位置**下,輸入您的 Amazon S3 位置。 1. 在**加密金鑰 - *選用***下,將 保留為**無自訂加密**,或選擇現有 AWS KMS 金鑰,或選擇**輸入 KMS 金鑰 ARN** 並輸入 AWS KMS 金鑰的 ARN。 1. 在**筆記本儲存格輸出共用偏好設定**下,選擇**允許使用者共用儲存格輸出**或**停用儲存格輸出共用**。 + **RStudio** 組態: 若要啟用 RStudio,您需要 RStudio 授權。若要設定,請參閱[取得 RStudio 授權](rstudio-license.md)。 1. 在 **RStudio Workbench** 下,驗證已自動偵測到您的 RStudio 授權。如需取得 RStudio 授權並使用 SageMaker AI 啟用該授權的詳細資訊,請參閱[取得 RStudio 授權](rstudio-license.md)。 1. 選取要在其上啟動 RStudio 伺服器的執行個體類型。如需更多詳細資訊,請參閱[RStudioServerPro 執行個體類型](rstudio-select-instance.md)。 1. 在**許可**下,建立您的角色或選取現有角色。此角色也須具有下列許可政策。此政策允許 RStudioServerPro 應用程式存取必要的資源。它還允許 Amazon SageMaker AI 在現有的 RStudioServerPro 應用程式處於 `Deleted` 或 `Failed` 狀態時,自動啟動 RStudioServerPro 應用程式。有關向角色新增權限的資訊,請參閱[修改角色許可政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:ExtendLicenseConsumption", "license-manager:ListReceivedLicenses", "license-manager:GetLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "sagemaker:CreateApp" ], "Resource": "*" } ] } ``` ------ 1. 在 **RStudio Connect** 下,新增您的 RStudio Connect 伺服器的 URL。RStudio Connect 是發佈的應用程式,R 降價報告,儀表板,繪圖等的發布平台。當您加入 RStudio on SageMaker AI 時,不會建立 RStudio Connect 伺服器。如需詳細資訊,請參閱[新增 RStudio Connect URL](rstudio-configure-connect.md)。 1. 在 **RStudio 套件管理員**下,新增 URL 到您的 RStudio 套件管理員。當您加入 RStudio 時,SageMaker AI 會為套件管理員建立預設套件儲存庫。有關 RStudio 套件管理員的更多相關資訊,請參閱[更新 RStudio 套件管理員 URL](rstudio-configure-pm.md)。 1. 選取**下一步**。 + **程式碼編輯器**組態: 如果您已啟用程式碼編輯器,請參閱 [Amazon SageMaker Studio 中的程式碼編輯器](code-editor.md)以取得概觀和組態詳細資訊。 #### 步驟 4:自訂 Studio UI 在本節中,您可以自訂 Studio 中顯示的可檢視應用程式和機器學習 (ML) 工具。此自訂只會隱藏 Studio 左側導覽窗格中的應用程式和 ML 工具。如需 Studio UI 的相關資訊,請參閱[Amazon SageMaker Studio UI 概觀](studio-updated-ui.md)。 如需應用程式的相關資訊,請參閱[Amazon SageMaker Studio 中支援的應用程式](studio-updated-apps.md)。 Studio Classic 不提供自訂 Studio UI 功能。如果您想要將 Studio 設定為預設體驗,請選擇**上一個**並返回上一個步驟。 1. 在**自訂 Studio UI** 頁面上,您可以將應用程式和 ML 工具切換為關閉,以隱藏 Studio 中顯示的應用程式和 ML 工具。 1. 一旦檢閱了您的變更,請選擇**下一步**。 #### 步驟 5:設定網路設定 選擇您希望 Studio 連線到其他 AWS 服務的方式。 您可以選擇使用**僅限虛擬私有雲端 (VPC)** 網路存取類型來指定,以停用 Studio 的網際網路存取。如果您選擇此選項,除非您的 VPC 具有 SageMaker API 和執行時期的介面端點,或具有可以存取網際網路的網路位址轉譯 (NAT) 閘道,且您的安全群組允許對外連線,否則您無法執行 Studio 筆記本。如需 Amazon VPC 的詳細資訊,請參閱[選擇一個 Amazon VPC](onboard-vpc.md)。 如果您選擇虛擬私有雲端 (VPC),只需要以下步驟。如果您選擇**公有網際網路存取**,則需要下列前兩個步驟。 1. 在 **VPC** 下,選擇 Amazon VPC ID。 1. 在**子網路**下,選擇一或多個子網路。如果您不選擇任何子網路,SageMaker AI 會使用 Amazon VPC 中的所有子網路。建議您使用不在限制可用區域中建立的多個子網路。在這些受限的可用區域中使用子網路可能會導致容量不足錯誤,並延長應用程式建立時間。如需可用區域的資訊,請參閱[可用區域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones)。 1. 在**安全群組**下,選擇一或多個子網路。 如果選取了**僅限 VPC**,SageMaker AI 會將針對網域定義的安全群組設定自動套用至網域中建立的所有共用空間。如果選取了**僅限公有網際網路**,SageMaker AI 不會將安全群組設定套用至網域中建立的共用空間。 #### 步驟 6:設定儲存體 您有加密資料的選項。建立網域時為您建立的 [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) 和 [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) 檔案系統。程式碼編輯器和 JupyterLab 空間都會使用 Amazon EBS 大小。 在加密 Amazon EFS 和 Amazon EBS 檔案系統之後,您無法變更加密金鑰。若要加密 Amazon EFS 和 Amazon EBS 檔案系統,您可以使用下列組態。 + 在**加密金鑰 - *選用***下,保留為**無自訂加密**,或選擇現有的 KMS 金鑰,或選擇**輸入 KMS 金鑰 ARN** 並輸入 KMS 金鑰的 ARN。 + 在**預設空間大小 - *選用***下,輸入預設空間大小。 + 在**最大空間大小 - *選用***下,輸入最大空間大小。 #### 步驟 7:檢閱和建立 檢閱您的網域設定。如果您需要變更設定,請選擇相關步驟旁的**編輯**。一旦確認您的網域設定正確無誤,請選擇**提交**,然後就會為您建立網域。此程序可能需要幾分鐘的時間。 ### 使用 自訂設定 AWS CLI 以下各節提供使用 IAM Identity Center 或 IAM 身分驗證方法自訂設定網域 AWS CLI 的說明。 在滿足先決條件之後,包括在 中設定您的 AWS CLI 登入資料[完成 Amazon SageMaker AI 先決條件](gs-set-up.md),請使用下列步驟。 1. 建立一個執行角色,用來建立網域並附加 [AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess) 政策。您也可以使用現有的角色,該角色至少具有附加的信任政策,該政策會授與 SageMaker AI 擔任該角色的權限。如需詳細資訊,請參閱[如何使用 SageMaker AI 執行角色](sagemaker-roles.md)。 ``` aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess ``` 1. 取得您帳戶的預設 Amazon Virtual Private Cloud (Amazon VPC)。 ``` aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text ``` 1. 取得預設 Amazon VPC 中的子網路清單。 ``` aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json ``` 1. 透過傳遞預設的 Amazon VPC ID、子網路和執行角色 ARN 來建立網域。您也必須傳遞一個 SageMaker 影像 ARN。如需有關 JupyterLab 可用版本 ARN 的詳細資訊,請參閱[設定預設 JupyterLab 版本](studio-jl.md#studio-jl-set)。 對於 `authentication-mode`,使用 `SSO` 進行 IAM Identity Center 驗證或使用 `IAM` 進行 IAM 驗證。 ``` aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text ``` 您可以使用 AWS CLI ,使用 [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) 自訂在 Studio 中為網域顯示的應用程式和 ML 工具。使用 `HiddenAppTypes` 隱藏應用程式和使用 `HiddenMlTools` 隱藏 ML 工具。如需自訂 Studio UI 左側導覽的詳細資訊,請參閱[在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps.md)。此功能不適用於 Studio Classic。 1. 驗證是否已建立網域。 ``` aws --region region sagemaker list-domains ``` ### 使用 自訂設定 AWS CloudFormation 如需有關使用 建立網域的資訊 AWS CloudFormation,請參閱《 使用者指南》中的 [AWS::SageMaker::Domain](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sagemaker-domain.html)。 *CloudFormation * 如需可用來設定網域的 CloudFormation 範本範例,請參閱 `aws-samples` GitHub 儲存庫中的[使用 建立 Amazon SageMaker AI 網域 CloudFormation](https://github.com/aws-samples/cloudformation-studio-domain)。 在設定網域之後,管理使用者可以檢視和編輯網域。如需詳細資訊,請參閱 [檢視網域](domain-view.md) 及 [編輯網域設定](domain-edit.md)。 ## 在加入之後存取網域 使用者可以使用下列方式存取 SageMaker AI: + 如果網域是使用 IAM Identity Center 驗證進行設定,則為登入 URL。如需相關資訊,請參閱[如何登入使用者入口網站](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html)。 + [SageMaker AI 主控台](https://console.aws.amazon.com/sagemaker)。