Utilisation d’une configuration personnalisée pour Amazon SageMaker AI - Amazon SageMaker AI
Méthodes d’authentificationConfiguration personnaliséeAccès au domaine après l’intégration

Utilisation d’une configuration personnalisée pour Amazon SageMaker AI

La section Configuration pour les organisations (configuration personnalisée) vous guide tout au long de la procédure de configuration avancée de votre domaine Amazon SageMaker AI. Cette option fournit des informations et des recommandations pour vous aider à comprendre et à contrôler tous les aspects de la configuration d’un compte, notamment les autorisations, les intégrations et le chiffrement. Utilisez cette option si vous souhaitez configurer un domaine personnalisé. Pour en savoir plus sur les domaines, consultez Présentation du domaine Amazon SageMaker AI.

Méthodes d’authentification

Avant de configurer le domaine, réfléchissez aux méthodes d’authentification qui permettent à vos utilisateurs d’accéder au domaine.

AWS Identity Center :

  • Contribue à simplifier l’administration des autorisations d’accès à des groupes d’utilisateurs. Vous pouvez accorder ou refuser des autorisations à des groupes d’utilisateurs au lieu de les appliquer individuellement à chaque utilisateur. Si un utilisateur change d’organisation, vous pouvez le déplacer vers un autre groupe Gestion des identités et des accès AWS Identity center (AWS IAM Identity Center). L’utilisateur reçoit alors automatiquement les autorisations requises pour la nouvelle organisation.

    Notez qu’IAM Identity Center doit se trouver dans la même Région AWS que le domaine.

    Pour effectuer la configuration avec IAM Identity Center, appliquez les instructions suivantes du Guide de l’utilisateur AWS IAM Identity Center :

  • Dans IAM Identity Center, les utilisateurs peuvent accéder au domaine à l’aide d’une URL Portail d'accès AWS qui leur est envoyée par e-mail. Cet e-mail fournit des instructions pour créer un compte afin d’accéder au domaine. Pour plus d’informations, consultez Connexion au Portail d'accès AWS.

    En tant qu’administrateur, vous pouvez trouver l’URL du Portail d'accès AWS en accédant à IAM Identity Center et en recherchant l’URL du Portail d'accès AWS sous Résumé des paramètres.

  • Votre domaine doit utiliser l’authentification Gestion des identités et des accès AWS (IAM) si vous souhaitez restreindre l’accès à vos domaines exclusivement à certains clouds privés virtuels (VPC) Amazon, à des points de terminaison d’interface ou à un ensemble prédéfini d’adresses IP. Cette fonctionnalité n’est pas prise en charge pour les domaines qui utilisent l’authentification IAM Identity Center. Vous pouvez toujours utiliser IAM Identity Center pour permettre un contrôle centralisé de l’identité du personnel. Pour obtenir des instructions sur la manière de mettre en œuvre ces restrictions tout en conservant IAM Identity Center afin d’offrir une expérience de connexion utilisateur cohérente, consultez le billet de blog sur l’accès sécurisé à Amazon SageMaker Studio Classic avec IAM Identity Center et une application SAML sur le blog AWS relatif au machine learning. Notez qu’IAM Identity Center porte le nom d’AWS SSO est dans ce blog.

Connexion via IAM :

  • Les profils utilisateur peuvent accéder au domaine via la console SageMaker AI après s’être connectés au compte.

  • Vous pouvez restreindre l’accès à vos domaines exclusivement à certains clouds privés virtuels (VPC) Amazon, à des points de terminaison d’interface ou à un ensemble prédéfini d’adresses IP, lorsque vous utilisez l’authentification Gestion des identités et des accès AWS (IAM). Pour plus d’informations, consultez Autorisation de l’accès uniquement à partir de votre VPC.

Configuration pour les organisations (configuration personnalisée)

Après avoir satisfait aux conditions préalables requises dans Respect des conditions préalables requises pour Amazon SageMaker AI, ouvrez la page Configuration d’un domaine SageMaker AI (configuration personnalisée) et développez les sections suivantes pour obtenir des informations sur la configuration.

Ouverture de la page Configuration d’un domaine SageMaker AI depuis la console SageMaker AI

  1. Ouvrez la console SageMaker AI.

  2. Dans le panneau de navigation de gauche, choisissez Configurations d’administrateur pour développer les options.

  3. Sous Configurations d’administrateur, choisissez Domaines.

  4. Sur la page Domains (Domaines), choisissez Create domain (Créer un domaine).

  5. Sur la page Configuration d’un domaine SageMaker AI, choisissez Configuration pour les organisations.

  6. Choisissez Set up (Configurer).

Une fois que vous avez ouvert la page Configuration d’un domaine SageMaker AI, appliquez les instructions suivantes :

  1. Dans Nom de domaine, saisissez un nom unique pour votre domaine. Il peut s’agir, par exemple, du nom de votre projet ou de votre équipe.

  2. Choisissez Suivant.

Au cours de cette étape, vous configurez la méthode d’authentification, les utilisateurs et les autorisations pour votre domaine.

  1. Sous Comment souhaitez-vous accéder à Studio ?, vous avez le choix entre deux options. Pour obtenir des informations sur les méthodes d’authentification, consultez Méthodes d’authentification. Les détails de ces options sont fournis ci-dessous :

    • AWS Identity Center :

      Sous Qui utilisera Studio ? choisissez un groupe AWS IAM Identity Center qui accèdera au domaine.

      Si vous choisissez Aucun groupe d’utilisateurs Identity Center, vous créez un domaine sans utilisateurs. Vous pouvez ajouter des groupes IAM Identity Center au domaine une fois celui-ci créé. Pour plus d’informations, consultez Modification des paramètres du domaine.

    • Connexion via IAM :

      Sous Qui utilisera Studio ?, choisissez + Ajouter un utilisateur, entrez un nouveau nom de profil utilisateur, puis choisissez Ajouter pour créer et ajouter un nom de profil utilisateur.

      Vous pouvez répéter ce processus pour créer plusieurs profils utilisateur.

  2. Sous Qui utilisera Studio ?, sélectionnez les utilisateurs ou les groupes IAM Identity Center, puis choisissez Sélectionner. Vous devez configurer Amazon SageMaker Studio dans la région où IAM Identity Center est configuré. Vous pouvez modifier la région de votre domaine en choisissant une région dans la liste déroulante en haut à droite de la console, ou vous pouvez modifier votre région IAM Identity Center en accédant au portail d’accès AWS.

  3. Sous Quelles activités de machine learning effectuent-ils ?, vous pouvez utiliser un rôle existant en choisissant Utiliser un rôle existant ou vous pouvez créer un nouveau rôle en choisissant Créer un nouveau rôle et en cochant les activités ML auxquelles vous souhaitez que le rôle ait accès.

  4. Lors de la sélection des activités ML, vous devrez peut-être satisfaire à des exigences. Pour satisfaire à une exigence, choisissez Ajouter et remplissez l’exigence.

  5. Lorsque toutes les exigences sont satisfaites, choisissez Suivant.

Dans cette étape, vous pouvez configurer les applications que vous avez activées à l’étape précédente. Pour plus d’informations sur les activités ML, consultez Référence d’activité de ML.

Si l’application n’a pas été activée, vous recevez un avertissement pour cette application. Pour activer une application qui n’a pas été activée, revenez à l’étape précédente en choisissant Retour et suivez les instructions précédentes.

  • Configuration de studio :

    Sous Studio, vous avez la possibilité de choisir entre la nouvelle version et la version classique de Studio comme expérience par défaut. Cela implique de choisir l’environnement ML avec lequel vous interagirez lorsque vous ouvrirez Studio.

    • Studio inclut plusieurs environnements de développement intégrés (IDE) et applications, notamment Amazon SageMaker Studio Classic. S’il est sélectionné, l’IDE Studio Classic présente ses paramètres par défaut. Pour obtenir des informations sur les paramètres par défaut, consultez Paramètres par défaut.

      Pour obtenir des informations sur Studio, consultez Amazon SageMaker Studio.

    • Studio Classic inclut l’IDE Jupyter. Si vous choisissez cette option, vous pouvez paramétrer votre configuration Studio Classic.

      Pour obtenir des informations sur Studio Classic, consultez Amazon SageMaker Studio Classic.

  • Configuration de SageMaker Canvas :

    Si Amazon SageMaker Canvas est activé, consultez Commencer à utiliser Amazon SageMaker Canvas pour obtenir les instructions et les détails de configuration relatifs à l’intégration.

  • Configuration de Studio Classic :

    Si vous avez choisi Studio (recommandé) comme expérience par défaut, l’IDE Studio Classic présente ses paramètres par défaut. Pour obtenir des informations sur les paramètres par défaut, consultez Paramètres par défaut.

    Si vous avez choisi Studio Classic comme expérience par défaut, vous pouvez choisir d’activer ou de désactiver le partage des ressources de bloc-notes. Les ressources de bloc-notes incluent des artefacts tels que la sortie des cellules et les référentiels Git. Pour plus d’informations sur les ressources de bloc-notes, consultez Partage et utilisation d’un bloc-notes Amazon SageMaker Studio Classic.

    Si vous avez activé le partage des ressources de bloc-notes :

    1. Sous Emplacement S3 pour les ressources de bloc-notes partageables, saisissez votre emplacement Amazon S3.

    2. Sous Clé de chiffrement - facultatif, laissez le paramètre Aucun chiffrement personnalisé ou choisissez une clé AWS KMS existante, ou choisissez Saisir un ARN de clé KMS et saisissez l’ARN de votre clé AWS KMS.

    3. Sous Préférence de partage de sortie de cellule de bloc-notes, choisissez Autoriser les utilisateurs à partager la sortie de cellule ou Désactiver le partage de sortie de cellule.

  • Configuration de RStudio :

    Pour activer RStudio, vous avez besoin d’une licence RStudio. Pour configurer cela, consultez Obtenir une licence RStudio.

    1. Sous RStudio Workbench (Workbench RStudio), vérifiez que votre licence RStudio est automatiquement détectée. Pour plus d’informations sur l’obtention d’une licence RStudio et son activation avec SageMaker AI, consultez Obtenir une licence RStudio.

    2. Sélectionnez un type d’instance sur lequel lancer votre serveur RStudio. Pour plus d’informations, consultez Type d'instance RStudioServerPro.

    3. Sous Permission (Autorisation), créez votre rôle ou sélectionnez un rôle existant. Le rôle doit avoir la politique d’autorisations suivante. Cette politique autorise l’application RStudioServerPro à accéder aux ressources nécessaires. Elle autorise également Amazon SageMaker AI à lancer automatiquement une application RStudioServerPro quand l’application RStudioServerPro existante présente le statut Deleted ou Failed. Pour savoir comment ajouter des autorisations à un rôle, consultez Modification d’une politique d’autorisations de rôle (console).

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. Sous RStudio Connect, ajoutez l'URL de votre serveur RStudio Connect. RStudio Connect est une plateforme de publication pour les applications Shiny, les rapports R Markdown, les tableaux de bord, les diagrammes et plus encore. Lorsque vous intégrez RStudio sur SageMaker AI, aucun serveur RStudio Connect n’est créé. Pour plus d’informations, consultez Ajouter une URL RStudio Connect.

    5. Sous Gestionnaire de package RStudio, ajoutez l’URL de votre gestionnaire de package RStudio. SageMaker AI crée un référentiel de packages par défaut pour le Gestionnaire de package lorsque vous intégrez RStudio. Pour plus d’informations sur RStudio Package Manager, consultez Mise à jour de l’URL de RStudio Package Manager.

    6. Sélectionnez Suivant.

  • Configuration de l’éditeur de code :

    Si l’éditeur de code est activé, consultez Éditeur de code dans Amazon SageMaker Studio pour voir une présentation et les détails de configuration.

Dans cette section, vous pouvez personnaliser les applications visibles et les outils de machine learning (ML) affichés dans Studio. Cette personnalisation masque uniquement les applications et les outils ML dans le volet de navigation de gauche de Studio. Pour obtenir des informations sur l’interface utilisateur de Studio, consultez Présentation de l’interface utilisateur d’Amazon SageMaker Studio.

Pour en savoir plus sur les applications, consultez Applications prises en charge dans Amazon SageMaker Studio.

La fonctionnalité de personnalisation de l’interface utilisateur de Studio n’est pas disponible dans Studio Classic. Si vous souhaitez définir Studio comme expérience par défaut, choisissez Précédent et revenez à l’étape précédente.

  1. Sur la page Personnaliser l’interface utilisateur de Studio, vous pouvez masquer les applications et les outils ML affichés dans Studio en les désactivant.

  2. Une fois que vous avez passé en revue vos modifications, choisissez Suivant.

Choisissez la manière dont vous souhaitez que Studio se connecte aux autres services AWS.

Vous pouvez choisir de désactiver l’accès Internet à Studio en spécifiant l’utilisation du type d’accès réseau Cloud privé virtuel (VPC) uniquement. Si vous choisissez cette option, vous ne pourrez pas exécuter un bloc-notes Studio, sauf si votre VPC dispose d’un point de terminaison d’interface vers l’API et l’exécution de SageMaker ou d’une passerelle NAT (Network Address Translation, traduction d’adresses réseau) avec un accès à Internet, et que vos groupes de sécurité autorisent les connexions sortantes. Pour plus d’informations sur les réseaux Amazon VPC, consultez Choix d’un réseau Amazon VPC.

Si vous choisissez l’option Cloud privé virtuel (VPC) uniquement, les étapes suivantes sont requises. Si vous choisissez Accès public à Internet, les deux premières étapes suivantes sont requises.

  1. Sous VPC, choisissez l’identifiant du réseau Amazon VPC.

  2. Sous Sous-réseau, choisissez un ou plusieurs sous-réseaux. Si vous ne choisissez aucun sous-réseau, SageMaker AI utilise tous les sous-réseaux figurant dans le réseau Amazon VPC. Nous vous recommandons d’utiliser plusieurs sous-réseaux qui ne sont pas créés dans les zones de disponibilité restreintes. L'utilisation de sous-réseaux dans ces zones de disponibilité restreintes peut entraîner des erreurs de capacité insuffisante et des délais de création d'applications plus longs. Pour plus d’informations sur les zones de disponibilité restreintes, consultez Zones de disponibilité.

  3. Sous Groupe(s) de sécurité, choisissez un ou plusieurs sous-réseaux.

Si l’option VPC uniquement est sélectionnée, SageMaker AI applique automatiquement les paramètres de groupe de sécurité définis pour le domaine à tous les espaces partagés créés dans le domaine. Si l’option Internet public uniquement est sélectionnée, SageMaker AI n’applique pas les paramètres de groupe de sécurité aux espaces partagés créés dans le domaine.

Vous avez la possibilité de chiffrer vos données. Les systèmes de fichiers Amazon Elastic File System (Amazon EFS) et Amazon Elastic Block Store (Amazon EBS) sont créés pour vous lorsque vous créez un domaine. Les tailles Amazon EBS sont utilisées à la fois par les espaces de JupyterLab et de l’éditeur de code.

Vous ne pouvez pas modifier la clé de chiffrement après avoir chiffré vos systèmes de fichiers Amazon EFS et Amazon EBS. Pour chiffrer vos systèmes de fichiers Amazon EFS et Amazon EBS, vous pouvez utiliser les configurations suivantes.

  • Sous Clé de chiffrement - facultatif, laissez le paramètre Aucun chiffrement personnalisé ou choisissez une clé KMS existante, ou choisissez Saisir un ARN de clé KMS et saisissez l’ARN de votre clé KMS.

  • Sous Taille de l’espace par défaut – facultatif, entrez la taille de l’espace par défaut.

  • Sous Taille maximale de l’espace – facultatif, entrez la taille maximale de l’espace.

Passez en revue les paramètres de votre domaine. Si vous devez modifier les paramètres, choisissez Modifier à côté de l’étape correspondante. Une fois que vous avez confirmé que les paramètres de votre domaine sont corrects, choisissez Soumettre et le domaine est créé pour vous. Ce processus peut prendre quelques minutes.

Les sections suivantes fournissent des instructions de l’AWS CLI pour la configuration personnalisée de votre domaine à l’aide des méthodes d’authentification IAM Identity Center ou IAM.

Après avoir satisfait aux conditions préalables requises, y compris la configuration de vos informations d’identification de l’AWS CLI, dans Respect des conditions préalables requises pour Amazon SageMaker AI, appliquez les étapes suivantes.

  1. Créez un rôle d’exécution utilisé pour créer un domaine et attachez la politique AmazonSageMakerFullAccess. Vous pouvez également utiliser un rôle existant auquel est attachée, au minimum, une politique d’approbation qui accorde à SageMaker AI l’autorisation d’assumer ce rôle. Pour plus d’informations, consultez Comment utiliser les rôles d’exécution SageMaker AI.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Obtenez le réseau Amazon Virtual Private Cloud (Amazon VPC) par défaut de votre compte.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Obtenez la liste des sous-réseaux du réseau Amazon VPC par défaut.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Créez un domaine en transmettant l’ID de réseau Amazon VPC par défaut, les sous-réseaux et l’ARN du rôle d’exécution. Vous devez également transmettre un ARN d’image SageMaker. Pour plus d’informations sur les ARN de versions de JupyterLab disponibles, consultez Définition d’une version de JupyterLab par défaut.

    Pour authentication-mode, utilisez SSO pour l’authentification IAM Identity Center ou IAM pour l’authentification IAM.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    Vous pouvez utiliser l’AWS CLI pour personnaliser les applications et les outils ML affichés dans Studio pour le domaine, à l’aide de StudioWebPortalSettings. Utilisez HiddenAppTypes pour masquer les applications et HiddenMlTools pour masquer les outils ML. Pour plus d’informations sur la personnalisation de la navigation gauche de l’interface utilisateur de Studio, consultez Masquage des applications et des outils de machine learning dans l’interface utilisateur d’Amazon SageMaker Studio. Cette fonctionnalité n’est pas disponible pour Studio Classic.

  5. Vérifiez que le domaine a été créé.

    aws --region region sagemaker list-domains

Pour en savoir plus sur la création d’un domaine à l’aide d’AWS CloudFormation, consultez AWS::SageMaker::Domain dans le Guide de l’utilisateur CloudFormation.

Pour voir un exemple de modèle CloudFormation que vous pouvez utiliser pour configurer votre domaine, consultez Création de domaines Amazon SageMaker AI CloudFormation dans le référentiel GitHub aws-samples.

Une fois le domaine configuré, l’utilisateur administratif peut le visualiser et le modifier. Pour plus d’informations, consultez Visualisation des domaines et Modification des paramètres du domaine.

Accès au domaine après l’intégration

Les utilisateurs peuvent accéder à SageMaker AI en utilisant :