Utilizzo della configurazione personalizzata per Amazon SageMaker AI - Amazon SageMaker AI
Metodi di autenticazioneConfigurazione personalizzataAccesso al dominio dopo l’onboarding

Utilizzo della configurazione personalizzata per Amazon SageMaker AI

L’opzione Configura per un’organizzazione (configurazione personalizzata) ti guida attraverso una configurazione avanzata per il tuo dominio Amazon SageMaker AI. Questa opzione fornisce informazioni e consigli per aiutarti a comprendere e controllare tutti gli aspetti della configurazione dell’account, incluse autorizzazioni, integrazioni e crittografia. Utilizza questa opzione per configurare un dominio personalizzato. Per informazioni sui domini, consulta Panoramica del dominio Amazon SageMaker AI.

Metodi di autenticazione

Prima di configurare il dominio, valuta i metodi di autenticazione con cui gli utenti possono accedere al dominio.

Centro identità AWS:

  • Aiuta a semplificare l’amministrazione delle autorizzazioni di accesso per i gruppi di utenti. Utilizzando i gruppi, puoi concedere o negare autorizzazioni a più utenti senza dover applicare le autorizzazioni a ogni singolo utente. Se un utente si trasferisce in un’organizzazione diversa, è possibile spostarlo in un altro gruppo Centro identità AWS Identity and Access Management (AWS IAM Identity Center). L’utente riceve quindi automaticamente le autorizzazioni necessarie per la nuova organizzazione.

    Tieni presente che il Centro identità IAM deve trovarsi nella stessa Regione AWS del dominio.

    Per eseguire la configurazione con il Centro identità IAM, utilizza le istruzioni seguenti contenute nella guida AWS IAM Identity Center User Guide:

  • Gli utenti del Centro identità IAM possono accedere al dominio utilizzando un URL Portale di accesso AWS che ricevono via e-mail. L’e-mail fornisce istruzioni per creare un account per accedere al dominio. Per ulteriori informazioni, consulta Sign in to the Portale di accesso AWS.

    Gli amministratori possono trovare l’URL Portale di accesso AWS navigando nel Centro identità IAM e cercando l’URL Portale di accesso AWS in Riepilogo delle impostazioni.

  • Il dominio deve utilizzare l’autenticazione AWS Identity and Access Management (IAM) se intendi limitare l’accesso ai tuoi domini esclusivamente a determinati Amazon Virtual Private Cloud (VPC), a endpoint di interfaccia o a un set predefinito di indirizzi IP. Questa funzionalità non è supportata per i domini che utilizzano l’autenticazione del Centro identità IAM. Puoi comunque utilizzare il Centro identità IAM per abilitare il controllo centralizzato delle identità della forza lavoro. Per istruzioni su come implementare queste restrizioni, pur mantenendo il Centro identità IAM per offrire agli utenti un’esperienza di accesso coerente, consulta Secure access to Amazon SageMaker Studio Classic with IAM Identity Center and a SAML application nel blog sul machine learning AWS. Tieni presente che in questo blog AWS SSO è il Centro identità IAM.

Accesso tramite IAM:

  • I profili utente possono accedere al dominio tramite la console SageMaker AI dopo aver effettuato l’accesso all’account.

  • Puoi limitare l’accesso ai tuoi domini esclusivamente a determinati Amazon Virtual Private Cloud (VPC), a endpoint di interfaccia o a un set predefinito di indirizzi IP quando utilizzi l’autenticazione AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta Autorizzazione dell'accesso solo dall'interno del tuo VPC.

Configurazione per le organizzazioni (configurazione personalizzata)

Dopo aver soddisfatto i prerequisiti in Prerequisiti completi per Amazon SageMaker AI, apri la pagina Configura dominio SageMaker AI (configurazione personalizzata) ed espandi le sezioni seguenti per informazioni sulla configurazione.

Apri Configura dominio SageMaker AI dalla console SageMaker AI.

  1. Apri la console di SageMaker AI.

  2. Nel riquadro di navigazione a sinistra, scegli Configurazioni di amministrazione.

  3. In Configurazioni admin, scegli Domini.

  4. Dalla pagina Domini, seleziona Crea dominio.

  5. Nella pagina Configura dominio SageMaker AI, scegli Configura per un’organizzazione.

  6. Scegliere Set up (Configura).

Dopo aver aperto la pagina Configura dominio SageMaker AI, utilizza le istruzioni seguenti:

  1. In Nome dominio, inserisci un nome univoco per il dominio, ad esempio il nome del progetto o del team.

  2. Scegli Next (Successivo).

In questa fase, configurerai il metodo di autenticazione, gli utenti e le autorizzazioni per il tuo dominio.

  1. In Come vuoi accedere a Studio?, puoi scegliere tra due opzioni. Per informazioni sui metodi di autenticazione, consulta Metodi di autenticazione. I dettagli sulle opzioni sono forniti di seguito:

    • Centro identità AWS:

      In Chi utilizzerà Studio?, scegli un gruppo AWS IAM Identity Center che accederà al dominio.

      Se scegli Nessun gruppo di utenti di Centro identità, crei un dominio senza utenti. Puoi aggiungere gruppi del Centro identità IAM al dominio dopo averlo creato. Per ulteriori informazioni, consulta Modifica delle impostazioni del dominio.

    • Accesso tramite IAM:

      In Chi utilizzerà Studio?, scegli + Aggiungi utente, inserisci un nuovo nome del profilo utente e seleziona Aggiungi per creare e aggiungere un nome del profilo utente.

      Puoi ripetere questo processo per creare più profili utente.

  2. In Chi utilizzerà Studio?, seleziona gli utenti o i gruppi del Centro identità IAM, quindi scegli Seleziona. Devi configurare Amazon SageMaker Studio nella stessa Regione in cui è configurato il tuo Centro identità IAM. Puoi modificare la Regione del tuo dominio scegliendola dall’elenco a discesa in alto a destra nella console oppure puoi cambiare la Regione del tuo Centro identità IAM accedendo al portale di accesso AWS.

  3. In Quali attività di ML svolgono?, puoi utilizzare un ruolo esistente scegliendo Utilizza un ruolo esistente oppure puoi creare un nuovo ruolo scegliendo Crea un nuovo ruolo e selezionando le attività di ML a cui desideri che il ruolo abbia accesso.

  4. Durante la selezione delle attività di ML, potrebbe essere richiesto di soddisfare dei requisiti. Per soddisfare un requisito, scegli Aggiungi e completa il requisito.

  5. Dopo aver soddisfatto tutti i requisiti, scegli Avanti.

In questa fase, puoi configurare le applicazioni abilitate nella fase precedente. Per ulteriori informazioni sulle attività di ML, consulta Riferimento all'attività ML.

Se l’applicazione non è stata abilitata, riceverai un avviso relativo a tale applicazione. Per abilitare un’applicazione disabilitata, torna alla fase precedente scegliendo Indietro e segui le istruzioni precedenti.

  • Configurazione di Studio:

    In Studio, puoi selezionare l’esperienza predefinita di Studio, scegliendo tra la versione più recente e quella classica. Questa scelta determina l’ambiente di ML con il quale interagirai quando apri Studio.

    • Studio include più ambienti di sviluppo integrati (IDE) e applicazioni, tra cui Amazon SageMaker Studio Classic. Se selezionato, l’IDE Studio Classic offre impostazioni predefinite. Per informazioni sulle impostazioni predefinite, consulta Impostazioni predefinite.

      Per informazioni su Studio, consulta Amazon SageMaker Studio.

    • Studio Classic include l’IDE Jupyter. Se scegli Studio Classic, puoi eseguirne la configurazione.

      Per informazioni su Studio Classic, consulta Amazon SageMaker Studio Classic.

  • Configurazione di SageMaker Canvas:

    Se hai abilitato Amazon SageMaker Canvas, consulta Nozioni di base su un'istanza Amazon SageMaker Canvas per le istruzioni e i dettagli di configurazione per l’onboarding.

  • Configurazione di Studio Classic:

    Se scegli Studio (consigliato) come esperienza predefinita, l’IDE Studio Classic offre impostazioni predefinite. Per informazioni sulle impostazioni predefinite, consulta Impostazioni predefinite.

    Se scegli Studio Classic come esperienza predefinita, puoi decidere se abilitare o disabilitare la condivisione delle risorse del notebook. Le risorse del notebook includono artefatti come l’output delle celle e i repository Git. Per ulteriori informazioni sulle risorse del notebook, consulta Condivisione e utilizzo di notebook Amazon SageMaker Studio Classic.

    Se hai abilitato la condivisione delle risorse del notebook:

    1. In Posizione S3 per le risorse notebook condivisibili, inserisci la tua posizione Amazon S3.

    2. In Chiave di crittografia (facoltativo), lascia l’impostazione Nessuna crittografia personalizzata, scegli una chiave AWS KMS esistente oppure seleziona Inserisci l’ARN della chiave KMS e inserisci l’ARN della tua chiave AWS KMS.

    3. In Preferenza di condivisione dell’output della cella del notebook, scegli Consenti agli utenti di condividere l’output della cella o Disabilita la condivisione dell’output della cella.

  • Configurazione di RStudio:

    Per abilitare RStudio, è necessaria una licenza RStudio. Per la configurazione, consulta Ottieni una licenza RStudio.

    1. In RStudio Workbench, verifica che la tua licenza RStudio venga rilevata automaticamente. Per ulteriori informazioni su come ottenere una licenza RStudio e attivarla con SageMaker AI, consulta Ottieni una licenza RStudio.

    2. Seleziona un tipo di istanza su cui avviare RStudio Server. Per ulteriori informazioni, consulta Tipo di istanza di RStudioServerPro.

    3. Alla voce Autorizzazione, crea il tuo ruolo o seleziona un ruolo esistente. Il ruolo deve disporre delle seguenti policy di autorizzazioni. Questa policy consente all’applicazione RStudioServerPro di accedere alle risorse necessarie. Consente inoltre ad Amazon SageMaker AI di avviare automaticamente un’applicazione RStudioServerPro quando l’applicazione RStudioServerPro esistente è nello stato Deleted o Failed. Per ulteriori informazioni sull’aggiunta di autorizzazioni per un ruolo, consulta Modifica di una policy di autorizzazioni del ruolo (console).

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. Alla voce RStudio Connect, aggiungi l'URL del tuo server RStudio Connect. RStudio Connect è una piattaforma di pubblicazione per applicazioni Shiny, report R Markdown, pannelli di controllo, grafici e altro ancora. Quando effettui l’onboarding in RStudio su SageMaker AI, non viene creato un server RStudio Connect. Per ulteriori informazioni, consulta Aggiungi un URL RStudio Connect.

    5. Alla voce RStudio Package Manager, aggiungi l'URL del tuo RStudio Package Manager. Durante l’onboarding in RStudio, SageMaker AI crea un repository di pacchetti predefinito per il Gestore dei pacchetti. Per ulteriori informazioni su RStudio Package Manager, consulta Aggiornamento dell’URL di Gestore dei pacchetti di RStudio.

    6. Seleziona Avanti.

  • Configurazione dell’Editor di codice:

    Se l’Editor di codice è abilitato, consulta Editor di codice in Amazon SageMaker Studio per una panoramica e i dettagli di configurazione.

In questa sezione puoi personalizzare le applicazioni visibili e gli strumenti di machine learning (ML) visualizzati in Studio. Questa personalizzazione nasconde solo le applicazioni e gli strumenti di ML nel riquadro di navigazione a sinistra di Studio. Per informazioni sull’interfaccia utente di Studio, consulta Panoramica dell’interfaccia utente di Amazon SageMaker Studio.

Per informazioni sulle applicazioni, consulta Applicazioni supportate in Amazon SageMaker Studio.

La funzionalità di personalizzazione dell’interfaccia utente di Studio non è disponibile in Studio Classic. Per impostare Studio come esperienza predefinita, scegli Precedente e torna alla fase precedente.

  1. Nella pagina Personalizza l’interfaccia utente di Studio puoi nascondere le applicazioni e gli strumenti di ML visualizzati in Studio disattivandoli.

  2. Dopo aver esaminato le modifiche, scegli Avanti.

Scegli le modalità di connessione di Studio agli altri servizi AWS.

Puoi scegliere di disabilitare l’accesso a Internet a Studio specificando il tipo di accesso alla rete Solo tramite cloud privato virtuale (VPC). Di conseguenza, non potrai eseguire un notebook Studio a meno che il tuo VPC non disponga di un endpoint dell’interfaccia per il runtime e l’API SageMaker o di un gateway Network Address Translation (NAT) con accesso a Internet e a meno che i tuoi gruppi di sicurezza non consentano connessioni in uscita. Per ulteriori informazioni sugli Amazon VPC, consulta Scelta di un Amazon VPC.

Se scegli Solo tramite cloud privato virtuale (VPC), devi completare solo le fasi seguenti. Se scegli Accesso pubblico a Internet, devi completare le prime due delle fasi riportate di seguito.

  1. In VPC, scegli l’ID Amazon VPC.

  2. In Sottorete, scegli una o più sottoreti. Se non scegli alcuna sottorete, SageMaker AI utilizza tutte le sottoreti in Amazon VPC. Ti consigliamo di utilizzare più sottoreti che non siano state create in aree dalla disponibilità limitata. L'utilizzo di sottoreti in aree dalla disponibilità limitata può generare errori di capacità insufficienti e tempi di creazione delle applicazioni più lunghi. Per ulteriori informazioni sulle aree di disponibilità, consulta Aree di disponibilità.

  3. In Gruppi di sicurezza, scegli una o più sottoreti.

Se è selezionato Solo VPC, SageMaker AI applica automaticamente le impostazioni del gruppo di sicurezza definite per il dominio a tutti gli spazi condivisi creati nel dominio. Se è selezionato Solo Internet pubblico, SageMaker AI non applica le impostazioni del gruppo di sicurezza agli spazi condivisi creati nel dominio.

Hai la possibilità di crittografare i tuoi dati. I file system Amazon Elastic File System (Amazon EFS) e Amazon Elastic Block Store (Amazon EBS) vengono creati automaticamente quando crei un dominio. Le dimensioni di Amazon EBS vengono utilizzate sia dagli spazi dell’Editor di codice che da quelli di JupyterLab.

Non è possibile modificare la chiave di crittografia dopo aver crittografato i file system Amazon EFS e Amazon EBS. Per crittografare i file system Amazon EFS e Amazon EBS, puoi utilizzare le configurazioni seguenti.

  • In Chiave di crittografia (facoltativo), lascia l’impostazione Nessuna crittografia personalizzata, scegli una chiave KMS esistente oppure seleziona Inserisci l’ARN della chiave KMS e inserisci l’ARN della tua chiave KMS.

  • In Dimensione dello spazio predefinita (facoltativo), inserisci la dimensione dello spazio predefinita.

  • In Dimensione massima dello spazio (facoltativo), inserisci la dimensione massima dello spazio.

Rivedi le impostazioni del dominio. Se devi modificare le impostazioni, scegli Modifica accanto alla fase pertinente. Dopo aver confermato che le impostazioni del dominio sono corrette, scegli Invia per creare automaticamente il dominio. Questo processo può richiedere alcuni minuti.

Le sezioni seguenti forniscono istruzioni della AWS CLI per la configurazione personalizzata del dominio con i metodi di autenticazione del Centro identità IAM o IAM.

Dopo aver soddisfatto i prerequisiti, inclusa la configurazione delle credenziali di AWS CLI in Prerequisiti completi per Amazon SageMaker AI, utilizza la procedura seguente.

  1. Crea un ruolo di esecuzione utilizzato per creare un dominio e collega la policy AmazonSageMakerFullAccess. Puoi anche utilizzare un ruolo esistente a cui è collegata almeno una policy di attendibilità che concede a SageMaker AI l’autorizzazione ad assumere il ruolo. Per ulteriori informazioni, consulta Come utilizzare i ruoli di esecuzione di SageMaker AI.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Ottieni Amazon Virtual Private Cloud (Amazon VPC) predefinito per il tuo account.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Ottieni l'elenco delle sottoreti nell'Amazon VPC predefinito.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Crea un dominio trasmettendo l’ID Amazon VPC predefinito, le sottoreti e l’ARN del ruolo di esecuzione. È inoltre necessario trasmettere l'ARN di immagine SageMaker. Per informazioni sulle versioni ARN di JupyterLab disponibili, consulta Impostazione di una versione JupyterLab predefinita.

    Per authentication-mode, utilizza SSO per l’autenticazione del Centro identità IAM o IAM per l’autenticazione IAM.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    Puoi utilizzare la AWS CLI per personalizzare le applicazioni e gli strumenti di ML visualizzati in Studio per il dominio con l’opzione StudioWebPortalSettings. Utilizza HiddenAppTypes per nascondere le applicazioni e HiddenMlTools per nascondere gli strumenti di ML. Per ulteriori informazioni sulla personalizzazione della navigazione a sinistra dell’interfaccia utente di Studio, consulta Nascondere gli strumenti e le applicazioni di machine learning nell’interfaccia utente di Amazon SageMaker Studio. Questa funzionalità non è disponibile per Studio Classic.

  5. Verifica che il dominio sia stato creato.

    aws --region region sagemaker list-domains

Per informazioni sulla creazione di un dominio con AWS CloudFormation, consulta AWS::SageMaker::Domain in CloudFormation User Guide.

Per un modello CloudFormation di esempio che puoi utilizzare per configurare il tuo dominio, consulta Creating Amazon SageMaker AI domains using CloudFormation nel repository GitHub aws-samples.

Dopo averlo configurato, l’utente amministratore può visualizzare e modificare il dominio. Per informazioni, consulta Visualizzazione dei domini e Modifica delle impostazioni del dominio.

Accesso al dominio dopo l’onboarding

Gli utenti possono accedere a SageMaker AI utilizzando: