と AmazonSageMakerドメイン、ユーザーをオンボードできます AWS IDおよびアクセス管理 (IAM)ドメイン実行ロールとは異なる実行ロール。 このような場合、オンボーディングされたドメインユーザーは、テンプレートを使用してプロジェクトを作成することはできません。 Amazon SageMaker ジャンプスタート ソリューション。 この投稿では、カスタム実行ロールを持つドメインユーザーのJumpStartを有効にする自動化されたアプローチの概要を説明します。 JumpStartを有効にするためのXNUMXつの異なるユースケースと、これらのケースをプログラムで解決する方法について説明します。 自動化されたソリューションは、プロセスを拡張して、カスタムロールを持つドメインユーザーのJumpStartを有効にし、データサイエンスチームの生産性を向上させるのに役立ちます。 Amazon SageMakerスタジオ 管理者。
JumpStartは、機械学習(ML)をすばやく簡単に開始するのに役立つStudioの機能です。 ますます多くの顧客がMLを使用し、採用するようになっています アマゾンセージメーカー、JumpStartを使用すると、データサイエンスチームとMLチームは、自然言語処理、オブジェクト検出、画像分類モデルなど、150を超える人気のあるオープンソースモデルに簡単にアクセスして微調整できます。
ソリューションの概要
次のスクリーンショットに示すように、JumpStartには、アカウントとStudioユーザーに対してプロジェクトテンプレートが有効になっているSageMakerドメインが必要です。
この設定を有効にすると、ユーザー(ドメイン実行ロールを使用するように構成されている)がテンプレートとJumpStartソリューションを使用してプロジェクトを作成できるようになります。 ユーザーの実行ロールがドメイン実行ロールと異なるシナリオでは、JumpStartは、ドメインで有効になっている場合でも、そのユーザーに対して無効のままになります。 次のセクションでは、このカスタムロールシナリオと自動化されたソリューションについて説明します。
このソリューションでは、次のXNUMXつのケースの問題に対処します。
- ユースケース1 –割り当てられたアプリに関係なく、カスタムロールを持つ既存のドメインユーザーに対して自動化された方法でJumpStartを有効にする
- ユースケース2 –カスタムロールを持つ新しいドメインユーザーのオンボーディング中にJumpStartをプログラムで有効にするために使用できる参照スクリプトを提供する
ドメインユーザーのオンボーディング
ドメインを作成した後、ユーザーをオンボードしてアプリ(Studio、RStudio、Canvasなど)を起動できます。 次のスクリーンショットに示すように、作成プロセス中にドメインユーザーにデフォルトの実行ロールを割り当てる必要があります。
ユーザーのドメイン実行ロールとは異なるロールを選択できます。 ただし、これにより、ドメインでJumpStartが有効になっている場合でも、そのようなユーザーのJumpStartが無効になる場合があります。 この動作は、SageMakerがカスタムロールとそのパーミッション境界を想定していないためです。 SageMakerによって公開されたテンプレートとJumpStartソリューションにアクセスするには、必要な権限とポリシーを明示的に割り当てる必要があります。 AWSサービスカタログ.
SageMakerドメインコントロールパネルでユーザープロファイルを選択することにより、すべてのユーザーに対してSageMakerプロジェクトとJumpStartを手動で有効にできます。 ただし、ユーザーがすでにいくつかのアプリを割り当てている場合、このプロセスには時間がかかる可能性があります。 The 編集 右下のボタンは、そのユーザーにアプリが割り当てられていない場合にのみ有効になります(次のスクリーンショットを参照)。 ユーザープロファイルを編集するには、最初に割り当てられたアプリを削除する必要があります。
JumpStart機能が無効になっている原因は、ユーザープロファイルを編集するステップ2で明らかになります。この場合、「組織内でカスタム実行ロールを使用している個々のユーザーがいる場合は、ユーザープロファイルページでそれらを有効にする必要があります」というメッセージが表示されます。
次のセクションでは、既存のドメインユーザーと新しいドメインユーザーの両方のユースケースをカバーするXNUMXつの自動化されたソリューションについて説明します。
前提条件
このソリューションの一部として説明されている手順には、次の前提条件があります。
- SageMakerドメインを作成しました
- SageMakerドメイン認証方式はIAMです
- SageMakerドメインユーザーに割り当てられたカスタムロールには、
AmazonSageMakerFullAccess
ポリシーが添付されています
のために JumpStartソリューション ユーザーが有効にするには、AWSサービスカタログポートフォリオのAmazon SageMakerSolutionsとMLOps製品をアカウントにインポートし、このポートフォリオをSageMakerを実行するロールに関連付ける必要があります。 Studioがソリューションポートフォリオに関連付けられたAWSサービスカタログAPIを呼び出すには、ロールの関連付けが必要です。
一般的なベストプラクティスとして、非実稼働環境でプロセスをテストした後、検証テストを実行して、実稼働環境に変更を加える前に、すべてが期待どおりに構成および動作していることを確認することをお勧めします。
ユースケース1:カスタムロールを持つすべての既存のドメインユーザーに対してJumpStartを有効にする
まず、既存のユーザーのユースケースを検討し、それらのユーザーに対して自動化された方法でJumpStartを有効にします。
これを実現するために、 AWS CloudFormation template SageMakerドメインが存在するのと同じリージョンで実行できること。
添付のCloudFormationスタックに含まれる jumpstart_solutions_resources.template.yaml
ファイルには次のコンポーネントがあります。
- AmazonSageMakerServiceCatalogProductsLaunchRoleおよびAmazonSageMakerServiceCatalogProductsUseRole –これらのXNUMXつのIAMロールがまだ存在しない場合は、それらを作成します。
- 1P製品使用役割ポリシー –によって使用されるこのポリシーを作成します
AmazonSageMakerServiceCatalogProductsUseRole
、この役割がまだ存在しない場合。 - setup_solutions_tests_portfolio - あん AWSラムダ Boto3 APIを呼び出すことにより、AWSサービスカタログポートフォリオのインポートとロールの関連付けを実行する関数。 この関数は、中にXNUMX回呼び出されます CloudFormationスタックの作成.
- LambdaIAMRoleの役割 –関数によって使用されます
setup_solutions_tests_portfolio
AWSServiceCatalogおよびSageMakerAPIを呼び出すため。 - セットアップポートフォリオインボーカー –関数を呼び出します
setup_solutions_tests_portfolio
.
Lambda関数がCloudFormationデプロイメントの一部として実行された後、既存のすべてのSageMakerドメインユーザーを改造して、JumpStartとプロジェクトを有効にします。 CloudFormationスタックの作成と監視の詳細については、以下を参照してください。 AWSCloudFormationはどのように機能しますか.
ユースケース2:カスタムロールを持つ単一のドメインユーザーに対してJumpStartを有効にする
多くのお客様は、プログラムで自動化することにより、ドメインユーザーのオンボーディングプロセスを拡張することを好みます。 このセクションでは、オンボーディングプロセスの一部として使用して、カスタムロールを持つ新しいユーザーのJumpStartを有効にすることができるPythonスクリプトリファレンスを提供します。 このPythonスクリプトは、指定されたユーザーロールに必要な関連付けを実行します。 このスクリプトを呼び出す自動プロセスには、AWSServiceCatalogおよびSageMakerAPIを使用するための権限が必要です。 次のコードを参照してください。
スクリプトを個別に呼び出すか、自動化されたプロセス内のステップとしてスクリプトを埋め込んで、Studioにオンボーディングするためのユーザープロファイルを作成できます。 Boto3の使用の詳細については、を参照してください。 Boto3リファレンス.
クリーンアップ
すべてのカスタムロールがJumpStartを使用できるようになったら、不要になったリソースをクリーンアップできます。 Lambda関数を削除できます setup_solutions_tests_portfolio
およびIAMの役割 LambdaIAMRole
CloudFormationテンプレートによって作成されます。 他のXNUMXつのIAMの役割、 AmazonSageMakerServiceCatalogProductsLaunchRole
& AmazonSageMakerServiceCatalogProductsUseRole
、および関連するポリシー1PProductUseRolePolicy(作成されている場合)は、JumpStartにアクセスするために存在する必要があるため、削除しないでください。
まとめ
この投稿では、プログラムで既存のユーザーと新しいユーザーのカスタムロールに対してJumpStartを有効にする手順を共有しました。 いつものように、本番環境にデプロイする前に、非本番環境でこのソリューションに記載されている手順を必ず検証してください。
試してみて、コメントセクションで質問があればお知らせください!
その他のリソース
詳細については、以下を参照してください。
- AmazonSageMakerリソース
- AWSServiceCatalogを使用してAmazonSageMakerStudioの集中型デプロイを自動化する
- 完全なリソース分離を備えたチームおよびグループ向けのAmazonSageMakerStudioの設定
著者について
ニキル・ジャー アマゾンウェブサービスのシニアテクニカルアカウントマネージャーです。 彼の重点分野には、AI/MLと分析が含まれます。 余暇には、娘とバドミントンをしたり、アウトドアを楽しんだりしています。
エヴァン・クラヴィッツ アマゾンウェブサービスのソフトウェアエンジニアであり、SageMakerJumpStartに取り組んでいます。 彼はニューヨーク市で料理やランニングを楽しんでいます。
- "
- 100
- アクセス
- 住所
- すべて
- 既に
- Amazon
- Amazon Webサービス
- 分析論
- API
- アプローチ
- アプリ
- 割り当てられた
- 協会
- 認証
- 自動化
- AWS
- BEST
- 国境
- コール
- 例
- 原因となる
- 市町村
- 分類
- コード
- 注釈
- コントロール
- 作成します。
- 作成
- Customers
- データ
- データサイエンス
- 展開する
- 展開
- 検出
- 異なります
- そうではありません
- ドメイン
- 簡単に
- 有効にする
- エンジニア
- 環境
- すべてのもの
- 実行
- 期待
- 特徴
- 名
- フォーカス
- フォロー中
- function
- 行く
- 助けます
- ことができます
- 認定条件
- How To
- HTTPS
- アイデンティティ
- 画像
- include
- 個人
- 情報
- 問題
- IT
- 言語
- 起動する
- 学習
- 機械
- 機械学習
- 作成
- マネージャー
- 手動で
- ML
- モデル
- モニタリング
- ナチュラル
- ニューヨーク
- ニューヨーク市
- 新人研修
- オペレーティング
- 注文
- 組織
- その他
- 屋外で
- ポリシー
- 方針
- 人気
- ポートフォリオ
- プロセス
- 生産
- 生産性
- 製品
- プロフィール
- プロジェクト
- プロジェクト(実績作品)
- 提供します
- すぐに
- 推奨する
- の提出が必要です
- リソースを追加する。
- リソース
- ラン
- 規模
- 科学
- サービス
- サービス
- 設定
- shared
- So
- ソフトウェア
- ソフトウェアエンジニア
- ソリューション
- 解決する
- スタック
- 開始
- 米国
- 研究
- チーム
- 技術的
- テスト
- テスト
- 介して
- 時間
- 時間がかかる
- us
- つかいます
- users
- ウェブ
- Webサービス
- 以内
- ワーキング