本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
多個網域和共用空間
Amazon SageMaker AI
在IAM身分驗證模式中設定的每個網域都可以利用共用空間,在使用者之間進行近乎即時的協同合作。透過共用空間,使用者可以存取共用的 Amazon EFS目錄,以及使用者介面的共用JupyterServer

單一網域中的私有應用程式和共用空間概觀
在網域中設定共用空間
共用空間通常為特定 ML 工作或專案建立,其中單一網域的成員需要近乎即時地存取相同的基礎檔案儲存體和 IDE。使用者可以近乎即時地存取、讀取、編輯和共用筆記本,這為他們提供最快的路徑,以開始與對等進行反覆運算。
若要建立共用空間,您必須先指定空間預設執行角色,該角色將管理任何使用空間的使用者的許可。撰寫本文時,網域內的所有使用者都可以存取其網域中的所有共用空間。請參閱建立共用空間,以取得將共用空間新增至現有網域的最新文件。
為IAM聯合設定您的網域
在為 SageMaker AI Studio 網域設定 AWS Identity and Access Management (IAM) 聯合之前,您需要在 IdP IAM 中設定聯合使用者角色 (例如平台管理員),如身分管理一節所述。
如需使用 IAM選項設定 SageMaker AI Studio 的詳細說明,請參閱使用 IAM Identity Center 加入 Amazon SageMaker 網域。
為單一登入 (SSO) 聯合設定您的網域
若要使用單一登入 (SSO) 聯合,您需要 AWS IAM Identity Center 在管理AWS Organizations
如需詳細說明,請參閱使用 IAM Identity Center 加入 Amazon SageMaker 網域。
SageMaker AI Studio 使用者設定檔
使用者描述檔代表網域中的單一使用者,是參考「人員」的主要方式,用於共用、報告和其他使用者導向功能。當使用者加入 toSageMaker AI Studio 時,就會建立此實體。如果管理員透過電子郵件邀請某個人員或從 IdC 匯入,則會自動建立使用者設定檔。使用者設定檔是個別使用者設定的主要擁有者,並參考使用者的私有 Amazon Elastic File System
共用 SageMaker AI Studio 網域的每個使用者設定檔都會取得專用運算資源 (例如 SageMaker AI Amazon Elastic Compute Cloud
Jupyter 伺服器應用程式
當您透過存取預先簽章URL或使用 IdC AWS IAM 登入來為使用者啟動 Amazon SageMaker AI Studio 筆記本ml.t3.medium
執行個體上執行 (保留為系統執行個體類型)。此執行個體的運算不會向客戶收費。
Jupyter Kernel Gateway 應用程式
核心閘道應用程式
使用者可以在相同的 SageMaker Studio 中啟動和執行多個 Jupyter 筆記本核心、終端機工作階段和互動式主控台image/Kernel Gateway app. Users can also run up to four Kernel Gateway apps or images on the same physical instance—each isolated by its container/image。
若要建立其他應用程式,您需要使用不同的執行個體類型。使用者描述檔只能有一個執行中執行個體的任何執行個體類型。例如,使用者可以在同一個執行個體上使用 SageMaker AI Studio 內建資料科學映像執行簡單的筆記本,並使用內建 TensorFlow 映像執行另一個筆記本。使用者需支付執行個體執行時間的費用。為了避免使用者在未主動執行 SageMaker AI Studio 時產生成本,使用者需要關閉執行個體。如需詳細資訊,請參閱關閉並更新 Studio 應用程式。
每次從 SageMaker AI Studio 界面關閉並重新開啟核心閘道應用程式時,該應用程式都會在新的執行個體上啟動。這表示套件的安裝不會透過重新啟動相同的應用程式而持續存在。同樣地,如果使用者變更筆記本上的執行個體類型,其已安裝的套件和工作階段變數也會遺失。不過,您可以使用自己的映像和生命週期指令碼等功能,將使用者自己的套件帶入 SageMaker AI Studio,並透過執行個體切換和新的執行個體啟動來保留這些套件。
Amazon Elastic File System 磁碟區
建立網域時,會建立單一 Amazon Elastic File System
備份與復原
現有的EFS磁碟區無法連接至新的 SageMaker AI 網域。在生產設定中,確定 Amazon EFS磁碟區已備份 (備份至另一個EFS磁碟區,或備份至 Amazon Simple Storage Service
透過 、、 和 DescribeSpace
API呼叫,備份使用者設定檔ListUserProfiles
、空格List Spaces
和相關聯EFS使用者 IDs(UIDs) DescribeUserProfile
的清單。
-
建立新的 SageMaker AI Studio 網域。
-
建立使用者設定檔和空格。
-
對於每個使用者設定檔,從 EFS/Amazon S3 上的備份複製檔案。
-
或者,刪除舊 SageMaker AI Studio 網域上的所有應用程式和使用者設定檔。
如需詳細說明,請參閱附錄的 SageMaker AI Studio 網域備份和復原一節。
注意
您也可以透過 來達成此目的LifecycleConfigurations
,在每次使用者啟動其應用程式時,將資料備份到 S3 和從 S3 備份。
Amazon EBS磁碟區
Amazon Elastic Block Store
保護對預先簽署 的存取 URL
當 SageMaker AI Studio 使用者開啟筆記本連結時, SageMaker AI Studio 會驗證聯合身分使用者IAM的政策,以授權存取,並產生和解析URL預先簽章的使用者。由於 SageMaker AI 主控台在網際網路網域上執行,因此預先簽章URL會顯示在瀏覽器工作階段中。這會顯示不想要的威脅向量,用於資料遭竊,並在未強制執行適當的存取控制時存取客戶資料。
Studio 支援對預先簽署URL的資料遭竊強制執行存取控制的幾種方法:
-
使用IAM政策條件進行用戶端 IP 驗證
aws:sourceIp
-
使用 IAM條件進行用戶端VPC驗證
aws:sourceVpc
-
使用IAM政策條件進行用戶端VPC端點驗證
aws:sourceVpce
當您從 SageMaker AI 主控台存取 SageMaker AI Studio 筆記本時,唯一可用的選項是搭配IAM政策條件使用用戶端 IP 驗證aws:sourceIp
。不過,您可以使用瀏覽器流量路由產品,例如 Zscaleraws:sourceIp
條件。
若要使用IAM政策條件來使用用戶端VPC端點驗證aws:sourceVpce
,建立預先簽章URL需要源自於部署 SageMaker AI Studio VPC的相同客戶,且URL需透過客戶 上的 SageMaker AI Studio VPC端點解決預先簽章的問題VPC。可以使用DNS轉送規則 (Zscaler 和公司 ),DNS然後使用 Amazon Route 53

透過公司網路URL使用VPC端點存取預先簽署的 Studio
如需 step-by-step設定上述架構的指引,請參閱 Secure Amazon SageMaker AI Studio 預先簽章第 1 URLs部分:基礎基礎設施
SageMaker AI 網域配額和限制
-
SageMaker AI Studio SSO 網域聯合僅支援 區域,跨佈建 AWS Identity Center 之 AWS 組織的成員帳戶。
-
使用 AWS Identity Center 設定的網域目前不支援共用空間。
-
VPC 和子網路組態無法在建立網域之後變更。不過,您可以使用不同的VPC子網路組態建立新的網域。
-
建立網域後,無法在 IAM和 SSO 模式之間切換網域存取。您可以使用不同的身分驗證模式建立新的網域。
-
每個使用者啟動的每個執行個體類型限制四個核心閘道應用程式。
-
每個使用者只能啟動每個執行個體類型的一個執行個體。
-
網域內消耗的資源有限制,例如執行個體類型啟動的執行個體數量,以及可建立的使用者設定檔數量。如需服務限制的完整清單,請參閱服務配額頁面。
-
客戶可以提交具有業務理由的企業支援案例,以提高預設資源限制,例如受帳戶層級護欄約束的網域或使用者設定檔數量。
-
每個帳戶的並行應用程式數量硬性限制為 2,500 個應用程式。網域和使用者設定檔限制取決於此硬性限制。例如, 帳戶可以具有具有 1,000 個使用者描述檔的單一網域,或具有 20 個網域,每個網域具有 50 個使用者描述檔。