亚马逊 SageMaker 简化了企业设置 SageMaker 域的过程，使他们能够将用户顺利引入

亚马逊 SageMaker 简化企业用户入驻 SageMaker 的域设置

关键要点

在机器学习ML日益普及的时代，企业寻求高效可靠的方式构建基础设施并引导团队进入 ML 环境。本文将介绍亚马逊 SageMaker 的新功能，该功能通过简化域设置和用户入驻体验，帮助企业有效管理用户的身份验证和权限配置。管理员可以通过全新的用户界面UI轻松设置 SageMaker 域，并快速添加用户及相关的安全设置和基础设施。

引入企业 SageMaker 域设置的新 UI

新的组织 UI 允许用户通过 AWS 控制台设置 SageMaker 域，并在几次点击中入驻用户。重新设计的 UI 引导用户快速完成设置，并提供逐步指导。您可以选择使用 AWS 身份与访问管理IAM或 AWS IAM 身份中心 进行身份验证，并将缩小的策略映射到现有的用户组或用户。您可以根据用户的机机器学习活动分配现有角色或创建新角色。

除了设置和配置 SageMaker 应用和执行角色外，新的体验还提供了一个更新的界面，用于实施复杂的网络配置，如 VPC 终端、子网和安全组以及加密设置。如果需要更改，您还可以在之后管理子网和连接模式。

让我们更深入地了解这一新体验。

先决条件

在使用企业的高级设置之前，您需要具备以下条件：

为企业设置 SageMaker 域的步骤

要体验更新的 UI，ML 管理员需完成以下步骤：

在 SageMaker 控制台中，选择 为组织设置。 这将带您进入 SageMaker 域设置向导，并自动选择为组织设置选项。

选择 配置。

在 域详细信息页面中，输入域名，然后选择 下一步。

在 用户和 ML 活动页面中，选择您的首选身份验证方法。为此帖，我们选择 AWS 身份中心。请注意，您的 AWS 身份中心设置必须与您创建 SageMaker 域的区域相同。

在 谁将使用 Studio 部分，您可以选择用户组为 SageMaker 域授予访问权限。

选择 创建新角色 来为活动分配新角色，或使用现有角色。在 ML 活动中，从预定义活动列表中进行选择。

在 S3 存储桶访问部分，输入所有域用户将访问的 Amazon 简单存储服务 (Amazon S3) 存储桶，然后选择 下一步。您可以指定多个 S3 存储桶。

在 应用页面上，您可以指定和配置 SageMaker 域下可用的集成开发环境IDE。对于 SageMaker Studio，选择更新版本或经典版本。您还可以配置 Canvas、代码编辑器和 RStudio。

选择 下一步。

在 网络页面中，选择使用 VPC 还是公共互联网访问。为本文，我们选择 仅 VPC。如果您使用 VPC，请指定您的 VPC、子网以及安全组，然后选择 下一步。

在 存储页面中，您可以选择性地设置加密密钥。

您也可以选择性地配置 Amazon 弹性块存储 (Amazon EBS) 卷的默认和最大空间大小，以支持 Amazon 弹性计算云 (Amazon EC2) 实例，后者托管 JupyterLab 和代码编辑器。

选择 下一步。

在 审查和创建页面中，检查您的配置，然后选择 提交 以创建域。

这将开始设置 SageMaker 域的过程，完成时间为 24 分钟。

当域设置完成后，会出现成功提示。

新增：更新现有组织的域

现在，我们已经完成了管理员为企业设置新 SageMaker 域的用户流程，ML 用户可以入驻 SageMaker。这个过程并不是一次性事件；创建域后，要求可能会演变，需要更新域配置。让我们看看在该设置中推出的一些新功能，它们允许更新现有的域。

更新域的先决条件

要使用这些新功能，ML 管理员必须具备以下访问权限：

通过 AWS CLI 更新现有域中的子网

随着企业在 ML 领域的应用规模不断扩大，需求也会不断演变，这需要基础设施的更改。随着您向项目和团队添加更多用户和资源，您需要更多资源例如IP范围和终端。您可能还希望隔离某些子网，并将这些子网与 SageMaker Studio 解除关联，因此希望从域中删除这些子网。当您希望添加或删除子网时，管理员面临的一个挑战是，更新域的子网需要专业知识和时间。

我们很高兴地宣布，我们简化了这一过程，ML 管理员现在可以通过 AWS CLI 更新域的子网。

让我们通过这个功能进行了解。

在这个示例用例中，您已创建一个新的 SageMaker Studio 域，并拥有两个子网：subnet1 和 subnet2。现在，由于您耗尽了所有域子网的 IP，想要向域添加新的子网 subnet3 和 subnet4。请参见以下代码：

bash

更新域并添加新的子网

aws region REGION endpointurl SAGEMAKERENDPOINT sagemaker updatedomain domainid DOMAINID subnetids [subnet1subnet2subnet3 subnet4]

描述域以查看域子网列表是否已更新

aws region REGION endpointurl SAGEMAKERENDPOINT sagemaker describedomain domainid DOMAINID

如果您发现实际上不需要这么多 IP，可以从现有子网列表中删除一个子网在此示例中为 subnet4。请参见以下代码：

bash

更新域以移除一个子网

aws region REGION endpointurl SAGEMAKERENDPOINT sagemaker updatedomain domainid DOMAINID subnetids [subnet1subnet2subnet3]

描述域以查看域子网列表是否已更新

aws region REGION endpointurl SAGEMAKERENDPOINT sagemaker describedomain domainid DOMAINID

通过 AWS CLI 修改现有域中的网络连接模式

当您进行测试或探索 SageMaker 以了解关于该服务的更多信息时，您可能会使用公共互联网访问权限创建域。但是，随着您设立项目并扩展 ML 工作负载，您可能需要将身份验证模式更改为仅 VPC，以符合组织现有的网络和安全要求。我们很高兴地宣布，ML 管理员现在可以通过 AWS CLI 将网络连接模式从公共互联网更改为仅 VPC 模式。

例如，在以下代码中，我们将域的 AppNetworkAccessType 更新为 VpcOnly：

bash

更新域应用网络访问类型

aws region REGION endpointurl SAGEMAKERENDPOINT sagemaker updatedomain domainid DOMAINID appnetworkaccesstype VpcOnly

在以下代码中，我们将域的 AppNetworkAccessType 更新为 PublicInternetOnly：

bash

更新域应用网络访问类型

aws region REGION endpointurl SAGEMAKERENDPOINT sagemaker updatedomain domainid DOMAINID appnetworkaccesstype PublicInternetOnly

结论

为企业设置域的新 UI 以及相关更新现有域的新功能已在所有 AWS 区域 提供，无需额外费用，但不包括 AWS GovCloud 和 AWS 中国区域。

尝试这些新功能并告诉我们您的想法。我们始终期待您的反馈！您可以通过您常用的 AWS 支持联系或在 AWS 论坛 中发表意见。

要了解更多信息，请访问 SageMaker 中的新入驻体验 并查看 使用 IAM 身份中心入驻 Amazon SageMaker 域。

作者介绍

Ozan Eken 是亚马逊网络服务的高级产品经理。他热衷于构建具备正确基础设施、安全防护和治理的入驻产品，以支持 SageMaker。在工作之外，他喜欢探索各种户外活动和观看足球比赛。

Vikesh Pandey 是 AWS 的机器学习专家解决方案架构师，帮助金融行业客户设计和构建生成性 AI 和机器学习解决方案。在工作之外，Vikesh 喜欢尝试不同的美食和参加户外运动。

Anastasia Tzeveleka 是 AWS 的机器学习和 AI 专家解决方案架构师。她与 EMEA 的客户合作，帮助他们利用 AWS 服务以规模化设计机器学习解决方案。她参与过包括自然语言处理NLP、MLOps 和低代码无代码工具等不同领域的项目。