AWS CDK と AWS Service Catalog を使用して、Amazon SageMaker Canvas で ML 環境をプロビジョニングおよび管理します

幅広いユースケースでの機械学習 (ML) の急増は、あらゆる業界で一般的になりつつあります。 ただし、これは、ビジネス成果を実現するためにこれらの技術ソリューションの実装を従来から担当してきた ML 実践者の数の増加を上回っています。

今日の企業では、ML の基礎であるデータに精通している非 ML 実践者が機械学習を使用する必要があります。 これを実現するために、ノーコード ML プラットフォームを通じて ML の価値が企業全体で実現されています。 これらのプラットフォームにより、ビジネス アナリストなどのさまざまなペルソナが、コードを XNUMX 行も書かずに ML を使用し、ビジネス上の問題に対するソリューションを迅速、シンプルかつ直感的な方法で提供できます。 Amazon SageMaker キャンバス は視覚的なポイント アンド クリック サービスであり、ビジネス アナリストが ML を使用してビジネス上の問題を解決できるようにします。これにより、ML の経験がなくても、コードを XNUMX 行も記述しなくても、正確な予測を独自に生成できます。 Canvas は、企業がソリューションを迅速に実装するのに役立つ使いやすい直感的なインターフェイスを使用して、企業での ML の使用を拡大しました。

Canvas は ML の民主化を可能にしましたが、安全な方法で ML 環境をプロビジョニングおよびデプロイするという課題は依然として残っています。 通常、これはほとんどの大企業の中央 IT チームの責任です。 この投稿では、IT チームが安全な ML 環境を管理、プロビジョニング、および管理する方法について説明します。 Amazon SageMaker キャンバス, AWSクラウド開発キット (AWS CDK) および AWSサービスカタログ. この投稿では、IT 管理者がこれを迅速かつ大規模に達成するためのステップバイステップ ガイドを紹介します。

AWS CDK と AWS Service Catalog の概要

AWS CDK は、クラウド アプリケーション リソースを定義するためのオープンソース ソフトウェア開発フレームワークです。 プログラミング言語の親しみやすさと表現力を利用してアプリケーションをモデル化し、リソースを安全かつ反復可能な方法でプロビジョニングします。

AWS Service Catalog を使用すると、デプロイされた IT サービス、アプリケーション、リソース、メタデータを一元管理できます。 AWS Service Catalog を使用すると、Infrastructure as Code (IaC) テンプレートを使用してクラウド リソースを作成、共有、整理、および管理し、迅速かつ簡単なプロビジョニングを実現できます。

ソリューションの概要

Canvas を使用した ML 環境のプロビジョニングは、次の XNUMX つの手順で有効にします。

1. 最初に、AWS Service Catalog を使用して Canvas の承認された使用に必要なリソースのポートフォリオを管理する方法を共有します。
2. 次に、AWS CDK を使用して Canvas 用のサンプル AWS Service Catalog ポートフォリオをデプロイします。
3. 最後に、Canvas 環境をオンデマンドで数分でプロビジョニングする方法を示します。

前提条件

Canvas、AWS CDK、および AWS Service Catalog を使用して ML 環境をプロビジョニングするには、次の手順を実行する必要があります。

1. Service Catalog ポートフォリオがデプロイされる AWS アカウントにアクセスできること。 AWS CDK スタックをアカウントにデプロイするための認証情報とアクセス許可があることを確認してください。 の AWSCDKワークショップ は、サポートが必要な場合に参照できる便利なリソースです。
2. 次のリソースで説明されている概念を通じて強調されている特定のベスト プラクティスに従うことをお勧めします。
3. クローン このGitHubリポジトリ あなたの環境に。

AWS Service Catalog を使用して、Amazon SageMaker Canvas で承認された ML 環境をプロビジョニングする

規制の厳しい業界やほとんどの大企業では、ML 環境をプロビジョニングおよび管理するために IT チームによって義務付けられた要件に従う必要があります。 これらには、安全なプライベート ネットワーク、データ暗号化、許可され認証されたユーザーのみを許可するための制御が含まれる場合があります。 AWS IDおよびアクセス管理 Canvas などのソリューションにアクセスするための (IAM)、および監査目的での厳密なログと監視。

IT 管理者は、AWS Service Catalog を使用して、安全で再現可能な ML 環境を SageMaker Canvas で作成し、製品ポートフォリオに整理できます。 これは、前述の要件を満たすために組み込まれた IaC コントロールを使用して管理され、オンデマンドで数分以内にプロビジョニングできます。 また、このポートフォリオにアクセスして製品を発売できるユーザーを管理することもできます。

次の図は、このアーキテクチャを示しています。

フローの例

このセクションでは、SageMaker Canvas を使用した AWS Service Catalog ポートフォリオの例を示します。 ポートフォリオは、Service Catalog ポートフォリオの一部であるキャンバス環境のさまざまな側面で構成されています。

• スタジオ ドメイン – Canvas は、内で実行されるアプリケーションです。 スタジオ ドメイン. ドメインは AmazonElasticファイルシステム (Amazon EFS) ボリューム、許可されたユーザーのリスト、およびさまざまなセキュリティ、アプリケーション、ポリシー、および アマゾン バーチャル プライベート クラウド (VPC) 構成。 AWS アカウントは、リージョンごとに XNUMX つのドメインにリンクされています。
• Amazon S3バケット – Studio ドメインが作成されると、 Amazon シンプル ストレージ サービス (Amazon S3) バケットは Canvas 用にプロビジョニングされ、ローカル ファイル アップロードとも呼ばれるローカル ファイルからのデータセットのインポートを許可します。 このバケットは顧客のアカウントにあり、一度プロビジョニングされます。
• キャンバス ユーザー – SageMaker Canvas は、各 Canvas ユーザーの Studio ドメイン内にユーザープロファイルを追加できるアプリケーションです。このユーザーは、データセットのインポート、コードを書かずに ML モデルの構築とトレーニング、モデルでの予測の実行に進むことができます。
• Canvas セッションのスケジュールされたシャットダウン – Canvas ユーザーは、タスクが完了したら、Canvas インターフェイスからログアウトできます。 あるいは、 管理者は Canvas セッションをシャットダウンできます AWSマネジメントコンソール Canvas セッションの管理の一環として。 AWS Service Catalog ポートフォリオのこの部分では、 AWSラムダ function 定義されたスケジュールされた間隔で Canvas セッションを自動的にシャットダウンするように作成およびプロビジョニングされます。 これは、開いているセッションを管理し、使用していないときにシャットダウンするのに役立ちます。

このサンプル フローは、 GitHubリポジトリ クイックリファレンス。

AWS CDK を使用してフローをデプロイする

このセクションでは、AWS CDK を使用して前述のフローをデプロイします。 展開後は、バージョンの追跡やポートフォリオの管理もできます。

ポートフォリオ スタックは次の場所にあります。 app.py 製品は下に積み重ねられます products/ フォルダ。 IAM ロールを反復できます。 AWSキー管理サービス (AWS KMS) キー、および VPC セットアップ studio_constructs/ フォルダ。 スタックをアカウントにデプロイする前に、次の行を編集できます。 app.py 選択した IAM ロールにポートフォリオへのアクセスを許可します。

関連する IAM ユーザー、グループ、およびロールのポートフォリオへのアクセスを管理できます。 見る ユーザーへのアクセスの許可 のガイドをご参照ください。

ポートフォリオをアカウントにデプロイする

次のコマンドを実行して AWS CDK をインストールし、ポートフォリオをデプロイするための適切な依存関係があることを確認できます。

npm install -g aws-cdk@2.27.0
python3 -m venv .venv
source .venv/bin/activate
pip3 install -r requirements.txt

次のコマンドを実行して、ポートフォリオをアカウントにデプロイします。

ACCOUNT_ID=$(aws sts get-caller-identity --query Account | tr -d '"')
AWS_REGION=$(aws configure get region)
cdk bootstrap aws://${ACCOUNT_ID}/${AWS_REGION}
cdk deploy --require-approval never

最初の XNUMX つのコマンドは、アカウント ID と現在のリージョンを取得します。 AWSコマンドラインインターフェイス (AWS CLI) をコンピュータにインストールします。 これに続いて、 cdk bootstrap & cdk deploy アセットをローカルで構築し、数分でスタックをデプロイします。

次のスクリーンショットに示すように、AWS Service Catalog でポートフォリオを見つけることができます。

オンデマンド プロビジョニング

ポートフォリオ内の製品は、オンデマンドで迅速かつ簡単に発売できます。 プロビジョニング AWS Service Catalog コンソールのメニュー。 典型的なフローは、最初に Studio ドメインを起動し、Canvas の自動シャットダウンを行うことです。これは通常、XNUMX 回限りのアクションであるためです。 その後、Canvas ユーザーをドメインに追加できます。 ドメイン ID とユーザー IAM ロールの ARN は次の場所に保存されます AWS システム マネージャー 次のスクリーンショットに示すように、ユーザー パラメータが自動的に入力されます。

各ユーザーに添付されているコスト配分タグを使用することもできます。 例えば、 UserCostCenter は、各ユーザーの名前を追加できるサンプル タグです。

Canvas を使用して ML 環境を管理するための重要な考慮事項

Canvas に重点を置いた AWS Service Catalog ポートフォリオをプロビジョニングしてデプロイしたので、ドメインとユーザー プロファイルに重点を置いた Canvas ベースの ML 環境を管理するためのいくつかの考慮事項を強調したいと思います。

Studio ドメインに関する考慮事項は次のとおりです。

• Canvas のネットワーキングは Studio ドメイン レベルで管理され、ドメインは安全な接続のためにプライベート VPC サブネットにデプロイされます。 見る プライベートVPCを使用したAmazonSageMakerStudio接続の保護 to learn more.
• デフォルトの IAM 実行ロールは、ドメイン レベルで定義されます。 このデフォルトの役割は、ドメイン内のすべての Canvas ユーザーに割り当てられます。
• 暗号化は、ドメイン内の EFS ボリュームを暗号化することにより、AWS KMS を使用して行われます。 追加の制御のために、カスタマー マネージド キー (CMK) とも呼ばれる独自のマネージド キーを指定できます。 見る 暗号化を使用して保存データを保護する to learn more.
• Canvas が使用する S3 バケットに Cross-Origin Resource Sharing (CORS) ポリシーをアタッチすることで、ローカル ディスクからファイルをアップロードできます。 見る ローカル ファイルをアップロードする権限をユーザーに付与する to learn more.

ユーザー プロファイルに関する考慮事項は次のとおりです。

• Studio での認証は、シングル サインオン (SSO) と IAM の両方で行うことができます。 ユーザーをフェデレートしてコンソールにアクセスする既存の ID プロバイダーがある場合は、IAM を使用して各フェデレーション ID に Studio ユーザー プロファイルを割り当てることができます。 セクションを参照 Studioユーザーへのポリシーの割り当て in 完全なリソース分離を備えたチームおよびグループ向けのAmazonSageMakerStudioの設定 to learn more.
• 各ユーザープロファイルに IAM 実行ロールを割り当てることができます。 Studio を使用している間、ユーザーは、デフォルトの実行ロールをオーバーライドするユーザー プロファイルにマップされたロールを引き受けます。 これは、チーム内のきめ細かいアクセス制御に使用できます。
• 属性ベースのアクセス制御 (ABAC) を使用して分離を実現し、ユーザーがチームのリソースにのみアクセスできるようにすることができます。 見る 完全なリソース分離を備えたチームおよびグループ向けのAmazonSageMakerStudioの設定 to learn more.
• コスト配分タグをユーザー プロファイルに適用することで、きめ細かなコスト追跡を実行できます。

クリーンアップ

上記の AWS CDK スタックによって作成されたリソースをクリーンアップするには、AWS CloudFormation スタック ページに移動し、キャンバス スタックを削除します。 実行することもできます cdk destroy リポジトリフォルダー内から、同じことを行います。

まとめ

この投稿では、AWS Service Catalog と AWS CDK を使用して Canvas で ML 環境を迅速かつ簡単にプロビジョニングする方法を紹介しました。 AWS Service Catalog でポートフォリオを作成し、ポートフォリオをプロビジョニングして、アカウントにデプロイする方法について説明しました。 IT 管理者は、この方法を使用して、Canvas をプロビジョニングしながら、ユーザー、セッション、および関連するコストを展開および管理できます。

Canvas の詳細については、 製品ページ と 開発者ガイド. さらに読むために、次の方法を学ぶことができます ビジネスアナリストがコンソールなしで AWS SSO を使用して SageMaker Canvas にアクセスできるようにする. 方法も学べます ビジネス アナリストとデータ サイエンティストは、Canvas と Studio を使用してより迅速にコラボレーションできます.

著者について

ダビデガリテッリ は、EMEA地域のAI/MLのスペシャリストソリューションアーキテクトです。 彼はブリュッセルを拠点とし、ベネルクス全体の顧客と緊密に協力しています。 彼は幼い頃から開発者であり、7歳でコーディングを始めました。大学でAI / MLを学び始め、それ以来、AI/MLに夢中になっています。

ソフィアンハミティ AWSのAI / MLスペシャリストソリューションアーキテクトです。 彼は、エンドツーエンドの機械学習ソリューションの構築と運用を支援することで、業界全体の顧客がAI / MLの旅を加速するのを支援しています。

シャム・スリニバサン AWS AI/ML チームのプリンシパル プロダクト マネージャーであり、Amazon SageMaker Canvas の製品管理をリードしています。 Shyam は、テクノロジーを通じて世界をより良い場所にすることに関心があり、AI と ML がこの旅の触媒となる方法に情熱を注いでいます。

アビ・パテル Amazon SageMaker Canvas チームでソフトウェアエンジニアとして働いています。 彼のバックグラウンドは、フロントエンドに焦点を当てたフルスタックの作業で構成されています。 余暇には、暗号空間のオープン ソース プロジェクトに貢献し、新しい DeFi プロトコルについて学ぶのが好きです。

ジャレッド・ヘイウッド AWS のシニア ビジネス開発マネージャーです。 彼はグローバルな AI/ML スペシャリストであり、ノーコード機械学習で顧客を支援しています。 彼は過去 5 年間 AutoML 分野で働いており、Amazon SageMaker JumpStart や Amazon SageMaker Canvas などの製品を Amazon で立ち上げました。