Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Créez un domaine Amazon SageMaker AI avec RStudio à l'aide du AWS CLI
**Important**
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L’autorisation d’ajouter des balises aux ressources est requise, car Studio et Studio Classic balisent automatiquement toutes les ressources qu’ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter [Fournir des autorisations pour le balisage des ressources d' SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)qui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
La rubrique suivante explique comment intégrer un domaine Amazon SageMaker AI avec RStudio activé à l'aide du AWS CLI. Pour embarquer à l'aide du AWS Management Console, voir[Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md).
## Conditions préalables
+ Installer et configurer l’[AWS CLI version 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)
+ Configurer l'[AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) avec des informations d'identification IAM
## Création d’un rôle `DomainExecution`
Pour lancer l’application RStudio, vous devez fournir un rôle `DomainExecution`. Ce rôle est utilisé pour déterminer si RStudio doit être lancé dans le cadre de la création du domaine Amazon SageMaker AI. Ce rôle est également utilisé par Amazon SageMaker AI pour accéder à la licence RStudio et envoyer les logs RStudio.
**Note**
Le `DomainExecution` rôle doit avoir au moins AWS License Manager les autorisations nécessaires pour accéder à la licence RStudio et CloudWatch les autorisations pour envoyer des journaux dans votre compte.
La procédure suivante montre comment créer le rôle `DomainExecution` avec l' AWS CLI.
1. Créez un fichier nommé `assume-role-policy.json` avec le contenu suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
}
}
]
}
```
------
1. Créez le rôle `DomainExecution`. `` devrait être la région AWS dans laquelle lancer votre domaine.
```
aws iam create-role --region {{}} --role-name DomainExecution --assume-role-policy-document file://assume-role-policy.json
```
1. Créez un fichier nommé `domain-setting-policy.json` avec le contenu suivant. Cette politique permet à l' RStudioServerPro application d'accéder aux ressources nécessaires et permet à Amazon SageMaker AI de lancer automatiquement une RStudioServerPro application lorsque l' RStudioServerPro application existante a le `Failed` statut `Deleted` OR.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"license-manager:ExtendLicenseConsumption",
"license-manager:ListReceivedLicenses",
"license-manager:GetLicense",
"license-manager:CheckoutLicense",
"license-manager:CheckInLicense",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"sagemaker:CreateApp"
],
"Resource": "*"
}
]
}
```
------
1. Créez la politique de paramétrage du domaine attachée au rôle `DomainExecution`. Gardez en tête le `PolicyArn` de la réponse. Vous devrez saisir cet ARN dans les étapes suivantes.
```
aws iam create-policy --region {{}} --policy-name domain-setting-policy --policy-document file://domain-setting-policy.json
```
1. Attachez `domain-setting-policy` au rôle `DomainExecution`. Utilisez le `PolicyArn` renvoyé à l’étape précédente.
```
aws iam attach-role-policy --role-name DomainExecution --policy-arn {{}}
```
## Créez un domaine Amazon SageMaker AI avec l'application RStudio
L' RStudioServerPro application est lancée automatiquement lorsque vous créez un domaine Amazon SageMaker AI à l'aide de la commande `create-domain` CLI avec le `RStudioServerProDomainSettings` paramètre spécifié. Lors du lancement de l' RStudioServerPro application, Amazon SageMaker AI vérifie si une licence RStudio est valide dans le compte et échoue à créer le domaine si la licence n'est pas trouvée.
La création d'un domaine Amazon SageMaker AI varie en fonction de la méthode d'authentification et du type de réseau. Ces options doivent être utilisées ensemble, avec une méthode d’authentification et un type de connexion réseau sélectionnés. Pour plus d'informations sur les conditions requises pour créer un nouveau domaine, consultez [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Les méthodes d'authentification suivantes sont prises en charge.
+ `IAM Auth`
+ `SSO Auth`
Les types de connexion réseau suivants sont pris en charge :
+ `PublicInternet`
+ `VPCOnly`
### Méthodes d'authentification
**Mode d’authentification IAM**
Ce qui suit montre comment créer un domaine Amazon SageMaker AI avec RStudio activé et un type de `IAM Auth` réseau. Pour plus d'informations Gestion des identités et des accès AWS, voir [Qu'est-ce que l'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) .
+ `DomainExecutionRoleArn` doit correspondre à l’ARN du rôle créé à l’étape précédente.
+ `ExecutionRole`est l'ARN du rôle attribué aux utilisateurs dans le domaine Amazon SageMaker AI.
+ `vpc-id` doit être l'ID de votre Amazon Virtual Private Cloud. `subnet-ids` doit être une liste d'ID de sous-réseau séparés par des espaces. Pour plus d'informations sur `vpc-id` et `subnet-ids`, consultez [VPC et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `RStudioPackageManagerUrl` et `RStudioConnectUrl` sont facultatifs et doivent être définis sur les URL de votre serveur RStudio Package Manager et RStudio Connect, respectivement.
+ `app-network-access-type` doit être `PublicInternetOnly` ou `VPCOnly`.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode IAM \
--default-user-settings ExecutionRole={{}} \
--domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<{{}},RStudioConnectUrl=<{{}},DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids {{}} \
--app-network-access-type {{}}
```
**Authentification à l’aide d’IAM Identity Center**
Ce qui suit montre comment créer un domaine Amazon SageMaker AI avec RStudio activé et un type de `SSO Auth` réseau. AWS IAM Identity Center doit être activé pour la région dans laquelle le domaine est lancé. Pour plus d'informations sur IAM Identity Center, consultez [Qu'est-ce que c'est ? AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) .
+ `DomainExecutionRoleArn` doit correspondre à l’ARN du rôle créé à l’étape précédente.
+ `ExecutionRole`est l'ARN du rôle attribué aux utilisateurs dans le domaine Amazon SageMaker AI.
+ `vpc-id` doit être l'ID de votre Amazon Virtual Private Cloud. `subnet-ids` doit être une liste d'ID de sous-réseau séparés par des espaces. Pour plus d'informations sur `vpc-id` et `subnet-ids`, consultez [VPC et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `RStudioPackageManagerUrl` et `RStudioConnectUrl` sont facultatifs et doivent être définis sur les URL de votre serveur RStudio Package Manager et RStudio Connect, respectivement.
+ `app-network-access-type` doit être `PublicInternetOnly` ou `VPCOnly`.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode SSO \
--default-user-settings ExecutionRole={{}} \
--domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<{{}},RStudioConnectUrl=<{{}},DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids {{}} \
--app-network-access-type {{}}
```
### Types de connexion
**PublicInternet/Direct Type de réseau Internet**
Ce qui suit montre comment créer un domaine Amazon SageMaker AI avec RStudio activé et un type de `PublicInternet` réseau.
+ `DomainExecutionRoleArn` doit correspondre à l’ARN du rôle créé à l’étape précédente.
+ `ExecutionRole`est l'ARN du rôle attribué aux utilisateurs dans le domaine Amazon SageMaker AI.
+ `vpc-id` doit être l'ID de votre Amazon Virtual Private Cloud. `subnet-ids` doit être une liste d'ID de sous-réseau séparés par des espaces. Pour plus d'informations sur `vpc-id` et `subnet-ids`, consultez [VPC et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `RStudioPackageManagerUrl` et `RStudioConnectUrl` sont facultatifs et doivent être définis sur les URL de votre serveur RStudio Package Manager et RStudio Connect, respectivement.
+ `auth-mode` doit être `SSO` ou `IAM`.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode {{}} \
--default-user-settings ExecutionRole={{}} \
--domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<{{}},RStudioConnectUrl=<{{}},DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids {{}} \
--app-network-access-type PublicInternetOnly
```
**Mode VPCOnly**
Ce qui suit montre comment lancer un domaine Amazon SageMaker AI avec RStudio activé et un type de `VPCOnly` réseau. Pour plus d’informations sur l’utilisation du type d’accès réseau `VPCOnly`, consultez [Connexion des blocs-notes Studio d’un VPC à des ressources externes](studio-notebooks-and-internet-access.md).
+ `DomainExecutionRoleArn` doit correspondre à l’ARN du rôle créé à l’étape précédente.
+ `ExecutionRole`est l'ARN du rôle attribué aux utilisateurs dans le domaine Amazon SageMaker AI.
+ `vpc-id` doit être l’ID de votre cloud privé Amazon Virtual Private Cloud. `subnet-ids` doit être une liste d’ID de sous-réseau séparés par des espaces. Votre sous-réseau privé doit pouvoir soit accéder à Internet pour passer un appel à Amazon SageMaker AI, AWS License Manager soit disposer de points de terminaison Amazon VPC pour Amazon SageMaker AI et. AWS License Manager Pour plus d’informations sur les points de terminaison Amazon VPC, consultez [Interfacer les points de terminaison Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Pour plus d’informations sur `vpc-id` et `subnet-ids`, consultez [VPC et sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `SecurityGroups`doit autoriser l'accès sortant à Amazon SageMaker AI et aux points de AWS License Manager terminaison.
+ `auth-mode` doit être `SSO` ou `IAM`.
**Note**
Lorsque vous utilisez des points de terminaison Amazon Virtual Private Cloud, le groupe de sécurité attaché à vos points de terminaison Amazon Virtual Private Cloud doit autoriser le trafic entrant provenant du groupe de sécurité que vous transmettez dans le cadre du paramètre `domain-setting` de l’appel de CLI `create-domain`.
Avec RStudio, Amazon SageMaker AI gère les groupes de sécurité pour vous. Cela signifie qu'Amazon SageMaker AI gère les règles des groupes de sécurité afin de garantir que les RSessions puissent accéder aux RStudioServerPro applications. Amazon SageMaker AI crée une règle de groupe de sécurité par profil utilisateur.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode {{}} \
--default-user-settings SecurityGroups={{}},ExecutionRole={{}} \
--domain-settings SecurityGroupIds={{}},RStudioServerProDomainSettings={DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids "{{}}" \
--app-network-access-type VPCOnly --app-security-group-management Service
```
Remarque : L' RStudioServerPro application est lancée par un profil utilisateur spécial nommé`domain-shared`. Par conséquent, cette application n'est renvoyée dans le cadre d'appels d'API `list-app` par aucun autre profil utilisateur.
Vous devrez peut-être augmenter le quota Amazon VPC dans votre compte pour augmenter le nombre d'utilisateurs. Pour plus d’informations, consultez [Quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups).
## Vérification de la création du domaine
Utilisez la commande suivante pour vérifier que votre domaine a été créé avec le `Status` `InService`. Votre `domain-id` est ajouté à l’ARN des domaines. Par exemple, `arn:aws:sagemaker:{{}}:{{}}:domain/{{}}`.
```
aws sagemaker describe-domain --domain-id {{}} --region {{}}
```