Migration de l’interface utilisateur de Studio Classic vers Studio - Amazon SageMaker AI
PrérequisÉtape 1 : Mise à jour des autorisations de création d’applicationsÉtape 2 : Mise à jour de la configuration de VPCÉtape 3 : Mise à niveau vers l’interface utilisateur de StudioDéfinition de Studio Classic en tant qu’expérience par défaut

Migration de l’interface utilisateur de Studio Classic vers Studio

La première phase de la migration d’un domaine existant consiste à migrer l’interface utilisateur d’Amazon SageMaker Studio Classic vers Amazon SageMaker Studio. Cette phase n’inclut pas la migration des données. Les utilisateurs peuvent continuer à utiliser leurs données de la même manière qu’avant la migration. Pour en savoir plus sur la migration des données, consultez (Facultatif) Migration des données de Studio Classic vers Studio.

La phase 1 comprend les étapes suivantes :

  1. Mettez à jour les autorisations de création d’applications pour les nouvelles applications disponibles dans Studio.

  2. Mettez à jour la configuration de VPC pour le domaine.

  3. Mettez à niveau le domaine pour utiliser l’interface utilisateur de Studio.

Prérequis

Avant de suivre ces étapes, veillez à respecter les conditions préalables requises dans Conditions préalables requises complètes pour migrer l’expérience Studio.

Étape 1 : Mise à jour des autorisations de création d’applications

Avant de migrer le domaine, mettez à jour le rôle d’exécution du domaine pour autoriser les utilisateurs à créer des applications.

  1. Créez une politique AWS Identity and Access Management avec l’un des contenus suivants en suivant les étapes détaillées dans Création de politiques IAM :

    • Utilisez la politique suivante pour accorder des autorisations pour tous les types d’applications et tous les espaces.

      Note

      Si le domaine utilise cette politique SageMakerFullAccess, il n’est pas nécessaire d’effectuer cette action. SageMakerFullAccess accorde les autorisations permettant de créer toutes les applications.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SMStudioUserProfileAppPermissionsCreateAndDelete",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:app/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioCreatePresignedDomainUrlForUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        {
            "Sid": "SMStudioAppPermissionsListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListApps",
                "sagemaker:ListDomains",
                "sagemaker:ListUserProfiles",
                "sagemaker:ListSpaces",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:DescribeSpace"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SMStudioAppPermissionsTagOnCreate",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:*/*",
            "Condition": {
                "Null": {
                    "sagemaker:TaggingAction": "false"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSharedSpacesWithoutOwners",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:space/${sagemaker:DomainId}/*",
            "Condition": {
                "Null": {
                    "sagemaker:OwnerUserProfileArn": "true"
                }
            }
        },
        {
            "Sid": "SMStudioRestrictSpacesToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:DeleteSpace"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:111122223333:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private",
                        "Shared"
                    ]
                }
            }
        },
        {
            "Sid": "SMStudioRestrictCreatePrivateSpaceAppsToOwnerUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:app/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:us-east-1:111122223333:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                },
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Private"
                    ]
                }
            }
        },
        {
            "Sid": "AllowAppActionsForSharedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:SpaceSharingType": [
                        "Shared"
                    ]
                }
            }
        }
    ]
}

    • Comme Studio présente un ensemble étendu d’applications, les utilisateurs peuvent avoir accès à des applications qui n’étaient pas affichées auparavant. Les administrateurs peuvent limiter l’accès à ces applications par défaut en créant une politique AWS Identity and Access Management (IAM) qui refuse des autorisations pour certaines applications à des utilisateurs spécifiques.

      Note

      Le type d’application peut être jupyterlab ou codeeditor.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenySageMakerCreateAppForSpecificAppTypes",
            "Effect": "Deny",
            "Action": "sagemaker:CreateApp",
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:app/domain-id/*/app-type/*"
        }
    ]
}

  2. Attachez la politique au rôle d’exécution du domaine. Pour obtenir des instructions, suivez les étapes décrites dans Ajout d’autorisations d’identité IAM (console).

Étape 2 : Mise à jour de la configuration de VPC

Si vous utilisez votre domaine en mode VPC-Only, assurez-vous que la configuration de votre VPC répond aux exigences relatives à l’utilisation de Studio en mode VPC-Only. Pour plus d’informations, consultez Connexion d’Amazon SageMaker Studio dans un VPC à des ressources externes.

Étape 3 : Mise à niveau vers l’interface utilisateur de Studio

Avant de migrer votre domaine existant de Studio Classic vers Studio, nous vous recommandons de créer un domaine de test à l’aide de Studio avec les mêmes configurations que votre domaine existant.

Utilisez ce domaine de test pour interagir avec Studio, tester des configurations de mise en réseau et lancer des applications avant de migrer le domaine existant.

  1. Obtenez l’ID de domaine de votre domaine existant.

    1. Ouvrez la console Amazon SageMaker AI à l’adresse https://console.aws.amazon.com/sagemaker/.

    2. Dans le panneau de navigation de gauche, développez Configurations d’administrateur et choisissez Domaines.

    3. Choisissez le domaine existant.

    4. Sur la page Détails du domaine, choisissez l’onglet Paramètres du domaine.

    5. Copiez l’ID de domaine.

  2. Ajoutez l’ID de domaine de votre domaine existant.

    export REF_DOMAIN_ID="domain-id"
export SM_REGION="region"

  3. Utilisez describe-domain pour obtenir des informations importantes sur le domaine existant.

    export REF_EXECROLE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.ExecutionRole')
export REF_VPC=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.VpcId')
export REF_SIDS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.SubnetIds | join(",")')
export REF_SGS=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.DefaultUserSettings.SecurityGroups | join(",")')
export AUTHMODE=$(aws sagemaker describe-domain --region=$SM_REGION --domain-id=$REF_DOMAIN_ID | jq -r '.AuthMode')

  4. Validez les paramètres.

    echo "Execution Role: $REF_EXECROLE || VPCID: $REF_VPC || SubnetIDs: $REF_SIDS || Security GroupIDs: $REF_SGS || AuthMode: $AUTHMODE"

  5. Créez un domaine de test en utilisant les configurations du domaine existant.

    IFS=',' read -r -a subnet_ids <<< "$REF_SIDS"
IFS=',' read -r -a security_groups <<< "$REF_SGS"
security_groups_json=$(printf '%s\n' "${security_groups[@]}" | jq -R . | jq -s .)

aws sagemaker create-domain \
--domain-name "TestV2Config" \
--vpc-id $REF_VPC \
--auth-mode $AUTHMODE \
--subnet-ids "${subnet_ids[@]}" \
--app-network-access-type VpcOnly \
--default-user-settings "
{
    \"ExecutionRole\": \"$REF_EXECROLE\",
    \"StudioWebPortal\": \"ENABLED\",
    \"DefaultLandingUri\": \"studio::\",
    \"SecurityGroups\": $security_groups_json
}
"

  6. Une fois le domaine de test In Service, utilisez l’ID du domaine de test pour créer un profil utilisateur. Ce profil utilisateur est utilisé pour lancer et tester des applications.

    aws sagemaker create-user-profile \
--region="$SM_REGION" --domain-id=test-domain-id \
--user-profile-name test-network-user

Test des fonctionnalités de Studio

Lancez le domaine de test à l’aide du profil utilisateur test-network-user. Nous vous suggérons de tester minutieusement l’interface utilisateur de Studio et de créer des applications pour tester les fonctionnalités de Studio en mode VPCOnly. Testez les flux de travail suivants :

  • Créez un nouvel espace JupyterLab, un nouvel environnement de test et une nouvelle connectivité.

  • Créez un nouvel éditeur de code basé sur Code-OSS, Visual Studio Code – Open Source Space, un nouvel environnement de test et une nouvelle connectivité.

  • Lancez une nouvelle application Studio Classic, un nouvel environnement de test et une nouvelle connectivité.

  • Testez la connectivité d’Amazon Simple Storage Service en testant les actions de lecture et d’écriture.

Si ces tests sont réussis, mettez à niveau le domaine existant. Si vous rencontrez des échecs, nous vous recommandons de résoudre les problèmes d’environnement et de connectivité avant de mettre à jour le domaine existant.

Nettoyage des ressources du domaine de test

Après avoir migré le domaine existant, nettoyez les ressources du domaine de test.

  1. Ajoutez l’ID du domaine de test.

    export TEST_DOMAIN="test-domain-id"
export SM_REGION="region"

  2. Répertoriez toutes les applications figurant dans le domaine qui sont en cours d’exécution.

    active_apps_json=$(aws sagemaker list-apps --region=$SM_REGION --domain-id=$TEST_DOMAIN)
echo $active_apps_json

  3. Analysez la liste JSON des applications en cours d’exécution et supprimez-les. Si les utilisateurs ont tenté de créer une application pour laquelle ils n’ont pas d’autorisations, il est possible que certains espaces ne soient pas capturés dans le script suivant. Vous devez supprimer manuellement ces espaces.

    echo "$active_apps_json" | jq -c '.Apps[]' | while read -r app;
do
    if echo "$app" | jq -e '. | has("SpaceName")' > /dev/null;
    then
        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        space_name=$(echo "$app" | jq -r '.SpaceName')

        echo "Deleting App - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --space-name $space_name

        echo "Deleting Space - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || SpaceName: $space_name"
        aws sagemaker delete-space --region=$SM_REGION --domain-id=$domain_id \
        --space-name $space_name
    else

        app_type=$(echo "$app" | jq -r '.AppType')
        app_name=$(echo "$app" | jq -r '.AppName')
        domain_id=$(echo "$app" | jq -r '.DomainId')
        user_profile_name=$(echo "$app" | jq -r '.UserProfileName')

        echo "Deleting Studio Classic - AppType: $app_type || AppName: $app_name || DomainId: $domain_id || UserProfileName: $user_profile_name"
        aws sagemaker delete-app --region=$SM_REGION --domain-id=$domain_id \
        --app-type $app_type --app-name $app_name --user-profile-name $user_profile_name

    fi

done

  4. Supprimez le profil utilisateur de test.

    aws sagemaker delete-user-profile \
--region=$SM_REGION --domain-id=$TEST_DOMAIN \
--user-profile-name "test-network-user"

  5. Supprimez le domaine de test.

    aws sagemaker delete-domain \
--region=$SM_REGION --domain-id=$TEST_DOMAIN

Après avoir testé les fonctionnalités de Studio avec les configurations de votre domaine de test, migrez le domaine existant. Lorsque Studio est l’expérience par défaut pour un domaine, Studio est l’expérience par défaut pour tous les utilisateurs de ce domaine. Toutefois, les paramètres de l’utilisateur ont priorité sur les paramètres du domaine. Par conséquent, si l’expérience par défaut d’un utilisateur est définie sur Studio Classic dans ses paramètres utilisateur, cet utilisateur aura Studio Classic comme expérience par défaut.

Vous pouvez migrer le domaine existant en le mettant à jour depuis la console SageMaker AI, l’AWS CLI ou AWS CloudFormation. Choisissez l’un des onglets suivants pour afficher les instructions appropriées.

Vous pouvez définir Studio comme expérience par défaut pour le domaine existant à l’aide de la console SageMaker AI.

  1. Ouvrez la console Amazon SageMaker AI à l’adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le panneau de navigation de gauche, développez Configurations d’administrateur et choisissez Domaines.

  3. Choisissez le domaine existant pour lequel vous souhaitez activer Studio comme expérience par défaut.

  4. Sur la page Détails du domaine, développez Activer le nouveau Studio.

  5. (Facultatif) Pour afficher les détails des étapes nécessaires à l’activation de Studio comme expérience par défaut, choisissez Afficher les détails. La page affiche les éléments suivants.

    • Dans la section Présentation de SageMaker Studio, vous pouvez voir les applications incluses ou disponibles dans l’interface Web de Studio.

    • Dans la section Processus d’habilitation, vous pouvez consulter les descriptions des tâches de flux de travail permettant d’activer Studio.

      Note

      Vous devrez migrer vos données manuellement. Pour obtenir des instructions sur la migration de vos données, consultez (Facultatif) Migration des données de Studio Classic vers Studio.

    • Dans la section Rétablir l’expérience Studio Classic, vous pouvez voir comment revenir à Studio Classic après avoir activé Studio comme expérience par défaut.

  6. Pour commencer le processus d’activation de Studio comme expérience par défaut, choisissez Activer le nouveau Studio.

  7. Dans la section Spécifier et configurer le rôle, vous pouvez consulter les applications par défaut qui sont automatiquement incluses dans Studio.

    Pour empêcher les utilisateurs d’exécuter ces applications, choisissez le rôle AWS Identity and Access Management (IAM) dont la politique IAM refuse l’accès. Pour en savoir plus sur la façon de créer une stratégie pour limiter l’accès, consultez Étape 1 : Mise à jour des autorisations de création d’applications.

  8. Dans la section Choisir le compartiment S3 par défaut pour attacher la politique CORS, vous pouvez autoriser Studio à accéder aux compartiments Amazon S3. Le compartiment Amazon S3 par défaut, dans ce cas, est le compartiment Amazon S3 par défaut pour votre environnement Studio Classic. Dans cette étape, vous pouvez effectuer les opérations suivantes :

    • Vérifiez le compartiment Amazon S3 par défaut du domaine auquel attacher la politique CORS. Si votre domaine ne possède pas de compartiment Amazon S3 par défaut, SageMaker AI crée un compartiment Amazon S3 avec la politique CORS appropriée attachée.

    • Vous pouvez inclure 10 compartiments Amazon S3 supplémentaires auxquels attacher la politique CORS.

      Si vous souhaitez inclure plus de 10 compartiments, vous pouvez les ajouter manuellement. Pour plus d’informations sur la façon d’attacher manuellement la politique CORS à vos compartiments Amazon S3, consultez (Facultatif) Mise à jour de votre politique CORS pour accéder aux compartiments Amazon S3.

    Pour continuer, cochez la case à côté de Acceptez-vous de remplacer toute politique CORS existante sur les compartiments Amazon S3 sélectionnés ?

  9. La section Migrer les données contient des informations sur les différents volumes de stockage de données pour Studio Classic et Studio. Vos données ne seront pas migrées automatiquement via ce processus. Pour obtenir des instructions sur la migration de vos données, les configurations de cycle de vie et les extensions JupyterLab, consultez (Facultatif) Migration des données de Studio Classic vers Studio.

  10. Une fois que vous avez terminé les tâches de la page et vérifié votre configuration, choisissez Activer le nouveau Studio.

Pour définir Studio comme expérience par défaut pour le domaine existant à l’aide de l’AWS CLI, utilisez l’appel update-domain. Vous devez définir ENABLED comme valeur pour StudioWebPortal et définir studio:: comme valeur pour DefaultLandingUri dans le cadre du paramètre default-user-settings

StudioWebPortal indique si l’expérience Studio est l’expérience par défaut et DefaultLandingUri indique l’expérience par défaut vers laquelle l’utilisateur est dirigé lorsqu’il accède au domaine. Dans cet exemple, la définition de ces valeurs au niveau du domaine (dans default-user-settings) fait de Studio l’expérience par défaut pour les utilisateurs du domaine.

Si un utilisateur du domaine a le paramètre StudioWebPortal défini sur DISABLED et le paramètre DefaultLandingUri défini sur app:JupyterServer: au niveau de l’utilisateur (dans UserSettings), cela a priorité sur les paramètres du domaine. En d’autres termes, cet utilisateur aura Studio Classic comme expérience par défaut, quels que soient les paramètres du domaine.

L’exemple de code suivant montre comment définir Studio en tant qu’expérience par défaut pour les utilisateurs du domaine :

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region Région AWS \
--default-user-settings '
{
    "StudioWebPortal": "ENABLED",
    "DefaultLandingUri": "studio::"
}
'

  • Pour obtenir votre existing-domain-id, utilisez les instructions suivantes :

    Pour obtenir existing-domain-id

    1. Ouvrez la console Amazon SageMaker AI à l’adresse https://console.aws.amazon.com/sagemaker/.

    2. Dans le panneau de navigation de gauche, développez Configurations d’administrateur et choisissez Domaines.

    3. Choisissez le domaine existant.

    4. Sur la page Détails du domaine, choisissez l’onglet Paramètres du domaine.

    5. Copiez l’ID de domaine.

  • Pour vous assurer que vous utilisez la bonne Région AWS pour votre domaine, appliquez les instructions suivantes :

    Pour obtenir Région AWS

    1. Ouvrez la console Amazon SageMaker AI à l’adresse https://console.aws.amazon.com/sagemaker/.

    2. Dans le panneau de navigation de gauche, développez Configurations d’administrateur et choisissez Domaines.

    3. Choisissez le domaine existant.

    4. Sur la page Détails du domaine, vérifiez qu’il s’agit du domaine existant.

    5. Développez la liste déroulante Région AWS en haut à droite de la console SageMaker AI et utilisez l’identifiant de Région AWS correspondant à droite du nom de votre Région AWS. Par exemple, us-west-1.

Après avoir migré votre expérience par défaut vers Studio, vous pouvez autoriser Studio à accéder aux compartiments Amazon S3. Par exemple, vous pouvez inclure l’accès à votre compartiment Amazon S3 par défaut de Studio Classic et à des compartiments Amazon S3 supplémentaires. Pour ce faire, vous devez attacher manuellement une configuration CORS (Cross-Origin Resource Sharing) aux compartiments Amazon S3. Pour plus d’informations sur la façon d’attacher manuellement la politique CORS à vos compartiments Amazon S3, consultez (Facultatif) Mise à jour de votre politique CORS pour accéder aux compartiments Amazon S3.

De même, vous pouvez définir Studio en tant qu’expérience par défaut lorsque vous créez un domaine dans l’AWS CLI à l’aide de l’appel create-domain

Vous pouvez définir l’expérience par défaut lors de la création d’un domaine à l’aide d’AWS CloudFormation. Pour bénéficier d’un modèle de migration CloudFormation, consultez Modèles IaC d’administrateur SageMaker Studio. Pour plus d’informations sur la création d’un domaine à l’aide d’CloudFormation, consultez Création d’un domaine Amazon SageMaker AI à l’aide d’CloudFormation.

Pour en savoir plus sur la ressource de domaine prise en charge par AWS CloudFormation, consultez AWS::SageMaker AI::Domain.

Après avoir migré votre expérience par défaut vers Studio, vous pouvez autoriser Studio à accéder aux compartiments Amazon S3. Par exemple, vous pouvez inclure l’accès à votre compartiment Amazon S3 par défaut de Studio Classic et à des compartiments Amazon S3 supplémentaires. Pour ce faire, vous devez attacher manuellement une configuration CORS (Cross-Origin Resource Sharing) aux compartiments Amazon S3. Pour en savoir plus sur la façon d’attacher manuellement la politique CORS à vos compartiments Amazon S3, consultez (Facultatif) Mise à jour de votre politique CORS pour accéder aux compartiments Amazon S3.

Dans Studio Classic, les utilisateurs peuvent créer, répertorier et charger des fichiers dans des compartiments Amazon Simple Storage Service (Amazon S3). Pour prendre en charge la même expérience dans Studio, les administrateurs doivent attacher une configuration CORS (Cross-Origin Resource Sharing) aux compartiments Amazon S3. Cela est nécessaire, car Studio passe des appels Amazon S3 depuis le navigateur Internet. Le navigateur invoque CORS au nom des utilisateurs. Par conséquent, toutes les demandes adressées aux compartiments Amazon S3 échouent, sauf si la politique CORS est attachée aux compartiments Amazon S3.

Vous devrez peut-être attacher manuellement la politique CORS aux compartiments Amazon S3 pour les raisons suivantes.

  • S’il existe déjà un compartiment par défaut Amazon S3 auquel n’est pas attachée la bonne politique CORS lorsque vous migrez l’expérience par défaut du domaine existant vers Studio.

  • Si vous utilisez l’AWS CLI pour migrer l’expérience par défaut du domaine existant vers Studio. Pour en savoir plus sur l’utilisation de l’AWS CLI pour effectuer la migration, consultez Définition de Studio en tant qu’expérience par défaut pour le domaine existant à l’aide d’AWS CLI.

  • Si vous souhaitez attacher la politique CORS à d’autres compartiments Amazon S3.

Note

Si vous prévoyez d’utiliser la console SageMaker AI pour activer Studio en tant qu’expérience par défaut, les compartiments Amazon S3 auxquels vous attachez la politique CORS verront leurs politiques CORS remplacées lors de la migration. Pour cette raison, vous pouvez ignorer les instructions manuelles suivantes.

Toutefois, si vous avez déjà utilisé la console SageMaker AI pour effectuer la migration et que vous souhaitez inclure d’autres compartiments Amazon S3 auxquels attacher la politique CORS, poursuivez avec les instructions manuelles suivantes.

La procédure suivante montre comment ajouter manuellement une configuration CORS à un compartiment Amazon S3.

Pour ajouter une configuration CORS à un compartiment Amazon S3

  1. Vérifiez qu’il existe un compartiment Amazon S3 dans la même Région AWS que le domaine existant portant le nom suivant. Pour obtenir des instructions, consultez Visualisation des propriétés d’un compartiment Amazon S3. 

    sagemaker-region-account-id

  2. Ajoutez une configuration CORS avec le contenu suivant au compartiment Amazon S3 par défaut. Pour obtenir des instructions, consultez Configuration du partage des ressources entre origines multiples (CORS).

    [
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "POST",
            "PUT",
            "GET",
            "HEAD",
            "DELETE"
        ],
        "AllowedOrigins": [
            "https://*.sagemaker.aws"
        ],
        "ExposeHeaders": [
            "ETag",
            "x-amz-delete-marker",
            "x-amz-id-2",
            "x-amz-request-id",
            "x-amz-server-side-encryption",
            "x-amz-version-id"
        ]
    }
]

Amazon SageMaker Data Wrangler existe en tant que fonctionnalité autonome dans l’expérience Studio Classic. Lorsque vous activez Studio en tant qu’expérience par défaut, utilisez l’application Amazon SageMaker Canvas pour accéder aux fonctionnalités de Data Wrangler. SageMaker Canvas est une application dans laquelle vous pouvez entraîner et déployer des modèles de machine learning sans écrire de code, et Canvas fournit des fonctionnalités de préparation de données optimisées par Data Wrangler.

La nouvelle expérience Studio ne prend pas en charge l’interface utilisateur classique de Data Wrangler, et vous devez créer une application Canvas si vous souhaitez continuer à utiliser Data Wrangler. Vous devez toutefois posséder les autorisations nécessaires pour créer et utiliser des applications Canvas.

Procédez comme suit pour attacher les politiques d’autorisation nécessaires au rôle AWS IAM de votre domaine ou utilisateur SageMaker AI.

Pour accorder des autorisations pour les fonctionnalités de Data Wrangler dans Canvas

  1. Attachez la politique AmazonSageMakerFullAccess gérée par AWS au rôle IAM de votre utilisateur. Pour une procédure expliquant comment attacher des politiques IAM à un rôle, consultez Ajout des autorisations d’identité IAM (console) dans le Guide de l’utilisateur AWS IAM.

    Si cette politique d’autorisation est trop permissive pour votre cas d’utilisation, vous pouvez créer des politiques délimitées qui incluent au moins les autorisations suivantes :

    {
    "Sid": "AllowStudioActions",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
    ],
    "Resource": "*"
},
{
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}

  2. Attachez la politique AmazonSageMakerCanvasDataPrepFullAccess gérée par AWS au rôle IAM de votre utilisateur.

Après avoir attaché les autorisations nécessaires, vous pouvez créer une application Canvas et vous connecter. Pour plus d’informations, consultez Commencer à utiliser Amazon SageMaker Canvas.

Lorsque vous êtes connecté à Canvas, vous pouvez accéder directement à Data Wrangler et commencer à créer des flux de données. Pour plus d’informations, consultez Préparation des données dans la documentation de Canvas.

Amazon SageMaker Autopilot existe en tant que fonctionnalité autonome dans l’expérience Studio Classic. Lorsque vous migrez vers l’utilisation de l’expérience Studio mise à jour, utilisez l’application Amazon SageMaker Canvas pour continuer à utiliser les mêmes fonctionnalités de machine learning automatisé (AutoML) via une interface utilisateur (UI). SageMaker Canvas est une application dans laquelle vous pouvez entraîner et déployer des modèles de machine learning sans écrire de code, et Canvas fournit une interface utilisateur pour exécuter vos tâches AutoML.

La nouvelle expérience Studio ne prend pas en charge l’interface utilisateur classique d’Autopilot. Vous devez créer une application Canvas si vous souhaitez continuer à utiliser les fonctionnalités AutoML d’Autopilot via une interface utilisateur.

Vous devez toutefois posséder les autorisations nécessaires pour créer et utiliser des applications Canvas.

  • Si vous accédez à SageMaker Canvas depuis Studio, ajoutez ces autorisations au rôle d’exécution de votre domaine ou profil utilisateur SageMaker AI.

  • Si vous accédez à SageMaker Canvas depuis la console, ajoutez ces autorisations au rôle AWS IAM de votre utilisateur.

  • Si vous accédez à SageMaker Canvas via une URL présignée, ajoutez ces autorisations au rôle IAM que vous utilisez pour accéder à Okta SSO.

Pour activer les fonctionnalités AutoML dans Canvas, ajoutez les politiques suivantes à votre rôle d’exécution ou à votre rôle d’utilisateur IAM.

  • Politique gérée par AWS : CanvasFullAccess.

  • Politique en ligne :

    {
    "Sid": "AllowAppActionsForUserProfile",
    "Effect": "Allow",
    "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
    ],
    "Resource": "arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/canvas/*",
    "Condition": {
        "Null": {
            "sagemaker:OwnerUserProfileArn": "true"
        }
    }
}
Pour attacher des politiques IAM à un rôle d’exécution
  1. Recherchez le rôle d’exécution attaché à votre profil utilisateur SageMaker AI

    1. Dans la console SageMaker AI https://console.aws.amazon.com/sagemaker/, accédez à Domaines, puis choisissez votre domaine SageMaker AI.

    2. L’ARN du rôle d’exécution est répertorié sous Rôle d’exécution sur la page Détails de l’utilisateur de votre profil utilisateur. Notez le nom du rôle d’exécution dans l’ARN.

    3. Dans la console IAM à l’adresse https://console.aws.amazon.com/iam/, choisissez Rôles.

    4. Recherchez votre rôle par nom dans le champ de recherche.

    5. Sélectionnez le rôle.

  2. Ajoutez des politiques au rôle

    1. Dans la console IAM à l’adresse https://console.aws.amazon.com/iam/, choisissez Rôles.

    2. Recherchez votre rôle par nom dans le champ de recherche.

    3. Sélectionnez le rôle.

    4. Dans l’onglet Autorisations, accédez au menu déroulant Ajouter des autorisations.

      • Pour les politiques gérées : sélectionnez Attacher des politiques, recherchez le nom de la politique gérée que vous souhaitez attacher.

        Sélectionnez la politique, puis choisissez Ajouter des autorisations.

      • Pour les politiques intégrées : sélectionnez Créer une politique en ligne, collez votre politique dans l’onglet JSON, choisissez Suivant, nommez votre politique, puis choisissez Créer.

Pour une procédure expliquant comment attacher des politiques IAM à un rôle, consultez Ajout des autorisations d’identité IAM (console) dans le Guide de l’utilisateur AWS IAM.

Après avoir attaché les autorisations nécessaires, vous pouvez créer une application Canvas et vous connecter. Pour plus d’informations, consultez Commencer à utiliser Amazon SageMaker Canvas.

Définition de Studio Classic en tant qu’expérience par défaut

Les administrateurs peuvent revenir à Studio Classic en tant qu’expérience par défaut pour un domaine existant. Vous pouvez le faire via l’AWS CLI.

Note

Lorsque Studio Classic est défini en tant qu’expérience par défaut au niveau d’un domaine, Studio Classic est l’expérience par défaut pour tous les utilisateurs de ce domaine. Toutefois, les paramètres au niveau de l’utilisateur ont priorité sur les paramètres au niveau du domaine. Ainsi, si l’expérience par défaut d’un utilisateur est définie sur Studio, cet utilisateur aura Studio comme expérience par défaut.

Pour revenir à Studio Classic en tant qu’expérience par défaut pour le domaine existant à l’aide de l’AWS CLI, utilisez l’appel update-domain. Dans le cadre du champ default-user-settings, vous devez définir :

  • la valeur StudioWebPortal sur DISABLED ;

  • la valeur DefaultLandingUri sur app:JupyterServer:.

StudioWebPortal indique si l’expérience Studio est l’expérience par défaut et DefaultLandingUri indique l’expérience par défaut vers laquelle l’utilisateur est dirigé lorsqu’il accède au domaine. Dans cet exemple, la définition de ces valeurs au niveau du domaine (dans default-user-settings) fait de Studio Classic l’expérience par défaut pour les utilisateurs du domaine.

Si un utilisateur du domaine a le paramètre StudioWebPortal défini sur ENABLED et le paramètre DefaultLandingUri défini sur studio:: au niveau de l’utilisateur (dans UserSettings), cela a priorité sur les paramètres au niveau du domaine. En d’autres termes, cet utilisateur aura Studio comme expérience par défaut, quels que soient les paramètres au niveau du domaine.

L’exemple de code suivant montre comment définir Studio Classic en tant qu’expérience par défaut pour les utilisateurs du domaine :

aws sagemaker update-domain \
--domain-id existing-domain-id \
--region Région AWS \
--default-user-settings '
{
    "StudioWebPortal": "DISABLED",
    "DefaultLandingUri": "app:JupyterServer:"
}
'

Appliquez les instructions suivantes pour obtenir votre existing-domain-id.

  1. Ouvrez la console Amazon SageMaker AI à l’adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le panneau de navigation de gauche, développez Configurations d’administrateur et choisissez Domaines.

  3. Choisissez le domaine existant.

  4. Sur la page Détails du domaine, choisissez l’onglet Paramètres du domaine.

  5. Copiez l’ID de domaine.

Pour obtenir votre Région AWS, appliquez les instructions suivantes afin de vous assurer que vous utilisez la Région AWS correcte pour votre domaine.

  1. Ouvrez la console Amazon SageMaker AI à l’adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le panneau de navigation de gauche, développez Configurations d’administrateur et choisissez Domaines.

  3. Choisissez le domaine existant.

  4. Sur la page Détails du domaine, vérifiez qu’il s’agit du domaine existant.

  5. Développez la liste déroulante Région AWS en haut à droite de la console SageMaker AI et utilisez l’identifiant de Région AWS correspondant à droite du nom de votre Région AWS. Par exemple, us-west-1.