Usa una configurazione personalizzata per Amazon SageMaker AI - Amazon SageMaker AI
Metodi di autenticazioneConfigurazione personalizzataAccesso al dominio dopo l’onboarding

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa una configurazione personalizzata per Amazon SageMaker AI

La sezione Configurazione per le organizzazioni (configurazione personalizzata) ti guida attraverso una configurazione avanzata per il tuo dominio Amazon SageMaker AI. Questa opzione fornisce informazioni e consigli per aiutarti a comprendere e controllare tutti gli aspetti della configurazione dell’account, incluse autorizzazioni, integrazioni e crittografia. Utilizza questa opzione per configurare un dominio personalizzato. Per informazioni sui domini, consulta Panoramica del dominio Amazon SageMaker AI.

Metodi di autenticazione

Prima di configurare il dominio, valuta i metodi di autenticazione con cui gli utenti possono accedere al dominio.

AWSCentro identità:

  • Aiuta a semplificare l’amministrazione delle autorizzazioni di accesso per i gruppi di utenti. Utilizzando i gruppi, puoi concedere o negare autorizzazioni a più utenti senza dover applicare le autorizzazioni a ogni singolo utente. Se un utente si trasferisce in un'organizzazione diversa, puoi spostarlo in un gruppo di AWS Identity and Access Management Identity Center (AWS IAM Identity Center) diverso. L’utente riceve quindi automaticamente le autorizzazioni necessarie per la nuova organizzazione.

    Tieni presente che l'IAM Identity Center deve trovarsi nello Regione AWS stesso dominio.

    Per eseguire la configurazione con il Centro identità IAM, utilizza le istruzioni seguenti contenute nella guida AWS IAM Identity Center User Guide:

  • Gli utenti di IAM Identity Center possono accedere al dominio utilizzando un Portale di accesso AWS URL che viene loro inviato via email. L’e-mail fornisce istruzioni per creare un account per accedere al dominio. Per ulteriori informazioni, consulta Sign in to the Portale di accesso AWS.

    In qualità di amministratore, puoi trovare l'Portale di accesso AWSURL accedendo all'IAM Identity Center e trovandolo nella sezione Portale di accesso AWSRiepilogo delle impostazioni.

  • Il tuo dominio deve utilizzare l'autenticazione AWS Identity and Access Management (IAM) se desideri limitare l'accesso ai tuoi domini esclusivamente a determinati Amazon Virtual Private Clouds (VPCs), endpoint di interfaccia o un set predefinito di indirizzi IP. Questa funzionalità non è supportata per i domini che utilizzano l’autenticazione del Centro identità IAM. Puoi comunque utilizzare il Centro identità IAM per abilitare il controllo centralizzato delle identità della forza lavoro. Per istruzioni su come implementare queste restrizioni mantenendo IAM Identity Center per fornire un'esperienza di accesso utente coerente, consulta Accesso sicuro ad Amazon SageMaker Studio Classic con IAM Identity Center e un'applicazione SAML nel blog sull'apprendimento AWS automatico. Tieni presente che AWS SSO è IAM Identity Center in questo blog.

Accesso tramite IAM:

  • I profili utente possono accedere al dominio tramite la console SageMaker AI dopo aver effettuato l'accesso all'account.

  • Puoi limitare l'accesso ai tuoi domini esclusivamente a determinati Amazon Virtual Private Clouds (VPCs), endpoint di interfaccia o un set predefinito di indirizzi IP quando utilizzi l'autenticazione AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta Autorizzazione dell'accesso solo dall'interno del tuo VPC.

Configurazione per le organizzazioni (configurazione personalizzata)

Dopo aver soddisfatto i prerequisiti inPrerequisiti completi per Amazon SageMaker AI, apri la pagina Configura dominio SageMaker AI (configurazione personalizzata) ed espandi le seguenti sezioni per informazioni sulla configurazione.

Apri Configura dominio SageMaker AI dalla console AI SageMaker

  1. Apri la console SageMaker AI.

  2. Nel riquadro di navigazione a sinistra, scegli Configurazioni di amministrazione.

  3. In Configurazioni admin, scegli Domini.

  4. Dalla pagina Domini, seleziona Crea dominio.

  5. Nella pagina Configura dominio SageMaker AI, scegli Configura per le organizzazioni.

  6. Scegliere Set up (Configura).

Una volta aperta la pagina Configura dominio SageMaker AI, utilizza le seguenti istruzioni:

  1. In Nome dominio, inserisci un nome univoco per il dominio, ad esempio il nome del progetto o del team.

  2. Scegli Next (Successivo).

In questa fase, configurerai il metodo di autenticazione, gli utenti e le autorizzazioni per il tuo dominio.

  1. In Come vuoi accedere a Studio?, puoi scegliere tra due opzioni. Per informazioni sui metodi di autenticazione, consulta Metodi di autenticazione. I dettagli sulle opzioni sono forniti di seguito:

    • AWSIdentity Center:

      In Chi utilizzerà Studio? scegli un AWS IAM Identity Center gruppo che accederà al dominio.

      Se scegli Nessun gruppo di utenti di Centro identità, crei un dominio senza utenti. Puoi aggiungere gruppi del Centro identità IAM al dominio dopo averlo creato. Per ulteriori informazioni, consulta Modifica delle impostazioni del dominio.

    • Accesso tramite IAM:

      In Chi utilizzerà Studio?, scegli + Aggiungi utente, inserisci un nuovo nome del profilo utente e seleziona Aggiungi per creare e aggiungere un nome del profilo utente.

      Puoi ripetere questo processo per creare più profili utente.

  2. In Chi utilizzerà Studio?, seleziona gli utenti o i gruppi del Centro identità IAM, quindi scegli Seleziona. Devi configurare Amazon SageMaker Studio nella stessa regione in cui è configurato il tuo IAM Identity Center. Puoi modificare la Regione del tuo dominio scegliendola dall’elenco a discesa in alto a destra nella console oppure puoi cambiare la Regione del tuo Centro identità IAM accedendo al portale di accesso AWS.

  3. In Quali attività di ML svolgono?, puoi utilizzare un ruolo esistente scegliendo Utilizza un ruolo esistente oppure puoi creare un nuovo ruolo scegliendo Crea un nuovo ruolo e selezionando le attività di ML a cui desideri che il ruolo abbia accesso.

  4. Durante la selezione delle attività di ML, potrebbe essere richiesto di soddisfare dei requisiti. Per soddisfare un requisito, scegli Aggiungi e completa il requisito.

  5. Dopo aver soddisfatto tutti i requisiti, scegli Avanti.

In questa fase, puoi configurare le applicazioni abilitate nella fase precedente. Per ulteriori informazioni sulle attività di ML, consulta Riferimento all'attività ML.

Se l’applicazione non è stata abilitata, riceverai un avviso relativo a tale applicazione. Per abilitare un’applicazione disabilitata, torna alla fase precedente scegliendo Indietro e segui le istruzioni precedenti.

  • Configurazione di Studio:

    In Studio, puoi selezionare l’esperienza predefinita di Studio, scegliendo tra la versione più recente e quella classica. Questa scelta determina l’ambiente di ML con il quale interagirai quando apri Studio.

    • Studio include più ambienti di sviluppo integrati (IDEs) e applicazioni, incluso Amazon SageMaker Studio Classic. Se selezionato, l’IDE Studio Classic offre impostazioni predefinite. Per informazioni sulle impostazioni predefinite, consulta Impostazioni predefinite.

      Per informazioni su Studio, consulta Amazon SageMaker Studio.

    • Studio Classic include l’IDE Jupyter. Se scegli Studio Classic, puoi eseguirne la configurazione.

      Per informazioni su Studio Classic, consulta Amazon SageMaker Studio Classic.

  • SageMaker Configurazione Canvas:

    Se hai abilitato Amazon SageMaker Canvas, consulta Guida introduttiva all'utilizzo di Amazon SageMaker Canvas le istruzioni e i dettagli di configurazione per l'onboarding.

  • Configurazione di Studio Classic:

    Se scegli Studio (consigliato) come esperienza predefinita, l’IDE Studio Classic offre impostazioni predefinite. Per informazioni sulle impostazioni predefinite, consulta Impostazioni predefinite.

    Se scegli Studio Classic come esperienza predefinita, puoi decidere se abilitare o disabilitare la condivisione delle risorse del notebook. Le risorse del notebook includono artefatti come l’output delle celle e i repository Git. Per ulteriori informazioni sulle risorse del notebook, consulta Condividi e usa un notebook Amazon SageMaker Studio Classic.

    Se hai abilitato la condivisione delle risorse del notebook:

    1. In Posizione S3 per le risorse notebook condivisibili, inserisci la tua posizione Amazon S3.

    2. In Chiave di crittografia (opzionale), lascia l'opzione Nessuna crittografia personalizzata o scegli una AWS KMS chiave esistente o scegli Inserisci una chiave KMS (ARN) e inserisci l'ARN della AWS KMS tua chiave.

    3. In Preferenza di condivisione dell’output della cella del notebook, scegli Consenti agli utenti di condividere l’output della cella o Disabilita la condivisione dell’output della cella.

  • RStudioconfigurazione:

    Per abilitarlo RStudio, è necessaria una RStudio licenza. Per la configurazione, consulta Ottieni una RStudio licenza.

    1. In RStudio Workbench, verifica che la RStudio licenza venga rilevata automaticamente. Per ulteriori informazioni su come ottenere una RStudio licenza e attivarla con l' SageMaker intelligenza artificiale, consulta. Ottieni una RStudio licenza

    2. Seleziona un tipo di istanza su cui avviare il RStudio server. Per ulteriori informazioni, consulta RStudioServerPro tipo di istanza.

    3. Alla voce Autorizzazione, crea il tuo ruolo o seleziona un ruolo esistente. Il ruolo deve disporre delle seguenti policy di autorizzazioni. Questa politica consente all' RStudioServerPro applicazione di accedere alle risorse necessarie. Consente inoltre ad Amazon SageMaker AI di avviare automaticamente un' RStudioServerPro applicazione quando l' RStudioServerProapplicazione esistente è in Failed stato Deleted or. Per ulteriori informazioni sull’aggiunta di autorizzazioni per un ruolo, consulta Modifica di una policy di autorizzazioni del ruolo (console).

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "license-manager:ExtendLicenseConsumption",
                "license-manager:ListReceivedLicenses",
                "license-manager:GetLicense",
                "license-manager:CheckoutLicense",
                "license-manager:CheckInLicense",
                "logs:CreateLogDelivery",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DeleteLogDelivery",
                "logs:Describe*",
                "logs:GetLogDelivery",
                "logs:GetLogEvents",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery",
                "sagemaker:CreateApp"
            ],
            "Resource": "*"
        }
    ]
}

    4. In RStudio Connect, aggiungi l'URL per il tuo server RStudio Connect. RStudio Connect è una piattaforma di pubblicazione per applicazioni Shiny, report R Markdown, dashboard, grafici e altro ancora. Quando si effettua l'onboarding RStudio su SageMaker AI, non viene creato un server RStudio Connect. Per ulteriori informazioni, consulta Aggiungi un URL RStudio Connect.

    5. In RStudio Package Manager, aggiungi l'URL per il tuo RStudio Package Manager. SageMaker L'IA crea un archivio di pacchetti predefinito per il Package Manager quando si effettua l' RStudioonboard. Per ulteriori informazioni su RStudio Package Manager, vedereAggiornare l'URL RStudio del Package Manager.

    6. Seleziona Avanti.

  • Configurazione dell’Editor di codice:

    Se l’Editor di codice è abilitato, consulta Editor di codice in Amazon SageMaker Studio per una panoramica e i dettagli di configurazione.

In questa sezione puoi personalizzare le applicazioni visibili e gli strumenti di machine learning (ML) visualizzati in Studio. Questa personalizzazione nasconde solo le applicazioni e gli strumenti di ML nel riquadro di navigazione a sinistra di Studio. Per informazioni sull’interfaccia utente di Studio, consulta Panoramica dell'interfaccia utente di Amazon SageMaker Studio.

Per informazioni sulle applicazioni, consulta Applicazioni supportate in Amazon SageMaker Studio.

La funzionalità di personalizzazione dell’interfaccia utente di Studio non è disponibile in Studio Classic. Per impostare Studio come esperienza predefinita, scegli Precedente e torna alla fase precedente.

  1. Nella pagina Personalizza l’interfaccia utente di Studio puoi nascondere le applicazioni e gli strumenti di ML visualizzati in Studio disattivandoli.

  2. Dopo aver esaminato le modifiche, scegli Avanti.

Scegliete come desiderate che Studio si connetta ad altri AWS servizi.

Puoi scegliere di disabilitare l’accesso a Internet a Studio specificando il tipo di accesso alla rete Solo tramite cloud privato virtuale (VPC). Se scegli questa opzione, non puoi eseguire un notebook Studio a meno che il tuo VPC non disponga di un endpoint di interfaccia con l' SageMaker API e il runtime o di un gateway NAT (Network Address Translation) con accesso a Internet e i tuoi gruppi di sicurezza consentano connessioni in uscita. Per ulteriori informazioni su Amazon VPCs, consultaScelta di un Amazon VPC.

Se scegli Solo tramite cloud privato virtuale (VPC), devi completare solo le fasi seguenti. Se scegli Accesso pubblico a Internet, devi completare le prime due delle fasi riportate di seguito.

  1. In VPC, scegli l’ID Amazon VPC.

  2. In Sottorete, scegli una o più sottoreti. Se non scegli alcuna sottorete, l' SageMaker IA utilizza tutte le sottoreti di Amazon VPC. Ti consigliamo di utilizzare più sottoreti che non siano state create in aree dalla disponibilità limitata. L'utilizzo di sottoreti in aree dalla disponibilità limitata può generare errori di capacità insufficienti e tempi di creazione delle applicazioni più lunghi. Per ulteriori informazioni sulle aree di disponibilità, consulta Aree di disponibilità.

  3. In Gruppi di sicurezza, scegli una o più sottoreti.

Se è selezionato solo VPC, SageMaker AI applica automaticamente le impostazioni del gruppo di sicurezza definite per il dominio a tutti gli spazi condivisi creati nel dominio. Se è selezionato Solo Internet pubblico, SageMaker AI non applica le impostazioni del gruppo di sicurezza agli spazi condivisi creati nel dominio.

Hai la possibilità di crittografare i tuoi dati. I file system Amazon Elastic File System (Amazon EFS) e Amazon Elastic Block Store (Amazon EBS) vengono creati automaticamente quando crei un dominio. Le dimensioni di Amazon EBS vengono utilizzate sia da Code Editor che dagli JupyterLab spazi.

Non è possibile modificare la chiave di crittografia dopo aver crittografato i file system Amazon EFS e Amazon EBS. Per crittografare i file system Amazon EFS e Amazon EBS, puoi utilizzare le configurazioni seguenti.

  • In Chiave di crittografia (facoltativo), lascia l’impostazione Nessuna crittografia personalizzata, scegli una chiave KMS esistente oppure seleziona Inserisci l’ARN della chiave KMS e inserisci l’ARN della tua chiave KMS.

  • In Dimensione dello spazio predefinita (facoltativo), inserisci la dimensione dello spazio predefinita.

  • In Dimensione massima dello spazio (facoltativo), inserisci la dimensione massima dello spazio.

Rivedi le impostazioni del dominio. Se devi modificare le impostazioni, scegli Modifica accanto alla fase pertinente. Dopo aver confermato che le impostazioni del dominio sono corrette, scegli Invia per creare automaticamente il dominio. Questo processo può richiedere alcuni minuti.

Le seguenti sezioni forniscono AWS CLI istruzioni per la configurazione personalizzata del dominio utilizzando i metodi di autenticazione IAM Identity Center o IAM.

Dopo aver soddisfatto i prerequisiti, inclusa la configurazione AWS CLI delle credenziali, procedi nel Prerequisiti completi per Amazon SageMaker AI seguente modo.

  1. Crea un ruolo di esecuzione che viene utilizzato per creare un dominio e allegare la politica. AmazonSageMakerFullAccess Puoi anche utilizzare un ruolo esistente a cui è associata almeno una politica di fiducia che concede all' SageMaker IA il permesso di assumere il ruolo. Per ulteriori informazioni, consulta Come utilizzare i ruoli di esecuzione dell' SageMaker IA.

    aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

  2. Ottieni Amazon Virtual Private Cloud (Amazon VPC) predefinito per il tuo account.

    aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

  3. Ottieni l'elenco delle sottoreti nell'Amazon VPC predefinito.

    aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

  4. Crea un dominio trasmettendo l’ID Amazon VPC predefinito, le sottoreti e l’ARN del ruolo di esecuzione. È inoltre necessario passare SageMaker l'ARN di un'immagine. Per informazioni sulla JupyterLab versione disponibile ARNs, vedereImpostazione di una JupyterLab versione predefinita.

    Per authentication-mode, utilizza SSO per l’autenticazione del Centro identità IAM o IAM per l’autenticazione IAM.

    aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

    È possibile utilizzare il AWS CLI per personalizzare le applicazioni e gli strumenti ML visualizzati in Studio per il dominio, utilizzando StudioWebPortalSettings. Utilizza HiddenAppTypes per nascondere le applicazioni e HiddenMlTools per nascondere gli strumenti di ML. Per ulteriori informazioni sulla personalizzazione della navigazione a sinistra dell’interfaccia utente di Studio, consulta Nascondi strumenti e applicazioni di machine learning nell'interfaccia utente di Amazon SageMaker Studio. Questa funzionalità non è disponibile per Studio Classic.

  5. Verifica che il dominio sia stato creato.

    aws --region region sagemaker list-domains

Per informazioni sulla creazione di un dominio utilizzandoAWS CloudFormation, AWS::SageMaker::Domainconsulta la Guida CloudFormation per l'utente.

Per un esempio di CloudFormation modello che puoi utilizzare per configurare il tuo dominio, consulta Creazione di domini Amazon SageMaker AI utilizzando CloudFormation nel aws-samples GitHub repository.

Dopo averlo configurato, l’utente amministratore può visualizzare e modificare il dominio. Per informazioni, consulta Visualizzazione dei domini e Modifica delle impostazioni del dominio.

Accesso al dominio dopo l’onboarding

Gli utenti possono accedere all' SageMaker intelligenza artificiale utilizzando: