「Amazon SageMakerは、企業がユーザーをSageMakerにオンボードするために、SageMakerドメインのセットアップを簡単化します」
『Amazon SageMakerの利用により、企業がユーザーのSageMakerへのオンボardingを簡素化』
機械学習(ML)の採用が拡大するにつれ、新しいインフラストラクチャの展開やML環境へのチームの導入には、効率的かつ信頼性の高い方法を求める組織が増えています。その課題の一つが、ユーザーの役割と活動に基づいた認証と細かな権限の設定です。例えば、MLOpsエンジニアは通常、モデルの展開活動を行い、データサイエンティストはMLのトレーニングや検証活動を行います。もう一つの課題は、ネットワーキングの設定と管理に必要な努力です。通常、管理者がチームが必要とする適切なネットワーキングとセキュリティの設定を発見、実装、管理するための簡単なメカニズムはありません。
そこで、今日は、組織のためにAmazon SageMakerのドメインを簡単にセットアップできる新しいオンボーディングエクスペリエンスを発表することをうれしく思います。プラットフォームの管理者として、更新されたユーザーインターフェース(UI)やAPIを使用して、適切なセキュリティ設定とインフラストラクチャを備えたユーザーを迅速にオンボードできます。
さて、新しい機能と始め方を見てみましょう!
組織用のSageMakerドメインセットアップUIを紹介します
組織向けの新しいUIでは、AWSコンソールを介してSageMakerドメインを設定し、数回のクリックでユーザーや組織をオンボードできます。再設計されたUIは、設定の進め方を案内し、ステップバイステップの手順を提供するため、迅速にスケールできます。AWS Identity Access Management(IAM)またはAWS IAM Identity Centerの認証を使用し、既存のグループやユーザーにスコープダウンされたポリシーをマップすることができます。また、MLの活動に基づいて既存の役割を割り当てるか、新しい役割を作成することもできます。MLの活動とは、MLトレーニングジョブの実行など、特定のタスクのための一連の権限を表します。
SageMakerアプリと実行ロールの設定と構成に加えて、新しいエクスペリエンスでは、VPCエンドポイント、サブネット、セキュリティグループ、暗号化設定などの複雑なネットワーキング構成のための更新されたUIも提供されます。後で変更が必要な場合には、サブネットと接続モードの管理も行えます。
さて、新しいエクスペリエンスをより詳しく見てみましょう。
必要条件
組織向けの高度なセットアップを使用する前に、以下の条件を満たしている必要があります。
- AWSアカウント
- SageMakerドメインを設定するために必要なリソースを作成するための権限を持ったIAMロール
組織のためのSageMakerドメインの設定
更新されたUIを体験するために、ML管理者は次の手順を完了します:
- SageMakerコンソールで、「Set up for organizations」を選択します。
これにより、Set up SageMaker Domainウィザードに移動し、既に「Set up for organizations」オプションが選択されています。 - 「Configure」を選択します。
- 「Domain details」ページで、ドメイン名を入力し、「Next」を選択します。
- 「Users and ML Activities」ページで、好みの認証方法を選択します。このポストでは、「AWS Identity Center」を選択します。AWS Identity Centerのセットアップは、SageMakerドメインの作成場所と同じリージョンにある必要があることに注意してください。
- 「Who will use Studio?」セクションでは、SageMakerドメインへのアクセス権を付与するためにユーザーグループを
新機能:組織向けの既存ドメインの更新
これまでの記事で、管理者がSageMakerの新しいドメインを組織向けに設定するユーザージャーニーを経て、ドメインの準備が整い、MLユーザーがSageMakerにオンボードできるようになりました。このプロセスは一度きりのイベントではありません。ドメインを作成した後、要件が変わることがあり、ドメインの設定を更新する必要があります。このセットアップの一部として、既存ドメインの更新を可能にする最新機能をご紹介しましょう。
ドメインの更新に必要な条件
これらの新機能を使用するために、ML管理者は次のアクセス権を持っている必要があります。
- AWSアカウント。
- SageMakerドメインを設定するために必要なリソースを作成するための権限を持つIAMロール。
- 選択したAWSアカウントにSageMakerドメイン。
- AWSコマンドラインインターフェース(AWS CLI)。AWS CLIのインストールについては、AWS CLIの最新バージョンをインストールまたは更新するを参照してください。
AWS CLIを使用して既存ドメインのサブネットを更新する
組織がMLの採用を拡大するにつれて、インフラストラクチャのニーズも変化し、ユーザーやリソースをプロジェクトやチームに追加するにつれて、IP範囲やエンドポイントなどのリソースが必要になります。また、いくつかのサブネットを分離し、これらのサブネットをSageMaker Studioから切り離し、ドメインから削除したい場合もあります。サブネットを追加または削除する場合、ドメインのサブネットを更新することは専門知識と時間を必要とする管理者が直面する課題の1つです。このプロセスを簡素化し、ML管理者がAWS CLIを使用してドメインのサブネットを更新できるようになりました。
以下では、この機能について詳しく説明します。
この例では、2つのサブネット:
subnet-1とsubnet-2を持つ新しいSageMaker Studioドメインを作成しました。ドメインのサブネットIPが枯渇し、新しいサブネットsubnet-3とsubnet-4をドメインに追加したいとします。次のコードを参照してください:# ドメインに新しいサブネットを追加してドメインを更新aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --subnet-ids '["subnet-1","subnet-2","subnet-3", "subnet-4"]' # ドメインのサブネットリストが更新されたかどうかを説明するドメインaws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker describe-domain --domain-id $DOMAIN_ID実際にはそんなに多くのIPが必要ではないと気付いた場合、既存のサブネットリストからサブネット(この例では
subnet-4)を削除することもできます。次のコードを参照してください:# サブネットを削除してドメインを更新するaws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --subnet-ids '["subnet-1","subnet-2","subnet-3"]' # ドメインのサブネットリストが更新されたかどうかを説明するドメインaws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker describe-domain --domain-id $DOMAIN_IDAWS CLIを使用して既存ドメインのネットワーク接続モードを変更する
SageMakerに関するテストを実施したり、サービスについてより詳しく学ぶために、ドメインをパブリックインターネットアクセスで作成することがあります。ただし、プロジェクトを設定し、MLワークロードを拡張するにつれて、組織の既存のネットワークとセキュリティ要件に準拠するために、認証モードをVPC専用に変更する必要がある場合があります。ML管理者はAWS CLIを使用して、パブリックインターネットからVPC専用モードにネットワーク接続モードを変更できるようになりました。
例えば、以下のコードでは、ドメインの
AppNetworkAccessTypeをVpcOnlyに更新しています:# ドメインApp Network Accessタイプを更新aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --app-network-access-type VpcOnly次のコードでは、ドメイン
AppNetworkAccessTypeをPublicInternetOnlyに更新します:# ドメインAppネットワークアクセスタイプを更新するaws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --app-network-access-type PublicInternetOnly結論
組織がドメインを設定し、既存のドメインを更新するための新しいUIは、本日からすべてのAWSリージョンで追加料金なしでご利用いただけます(AWS GovCloudおよびAWS Chinaリージョンを除く)。
これらの新機能を試して、ご意見をお知らせください。いつもフィードバックをお待ちしております!ご意見は通常のAWSサポート担当者に送信するか、SageMakerのAWSフォーラムに投稿していただけます。
詳細は、SageMakerでの新しいオンボーディングエクスペリエンスをご覧ください。また、IAM Identity Centerを使用してAmazon SageMakerドメインにオンボードすることもできます。
We will continue to update VoAGI; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
