Amazon SageMaker简化了为企业设置SageMaker域，以便使其用户能够加入SageMaker的过程

Amazon SageMaker简化企业的SageMaker域设置，使用户融入SageMaker更简便

随着机器学习（ML）采用规模的扩大，组织机构正在寻找高效可靠的方法来部署新的基础架构并将团队引入ML环境。其中一个挑战是根据用户的角色和活动设置身份验证和细粒度权限。例如，MLOps工程师通常执行模型部署活动，而数据科学家执行ML训练和验证活动。另一个挑战是设置和管理网络配置所需的工作量。通常，管理员没有简单的机制来发现、实施和管理团队所需的正确网络和安全配置。

这就是为什么我们今天很高兴地宣布全新的入职体验，让您可以轻松地为您的组织设置Amazon SageMaker域。作为平台管理员，您可以使用更新的用户界面（UI）和API，更快地为用户提供适当的安全设置和基础设施。

让我们来看看有什么新的内容以及如何开始使用吧！

介绍用于组织机构的SageMaker域设置UI

组织机构的新UI使您可以通过AWS控制台设置SageMaker域，并仅需点击几下即可为用户和组织机构提供服务。重新设计的UI将引导您完成设置，并提供逐步说明，以便您能够快速扩展。您可以选择使用AWS身份访问管理（IAM）或AWS IAM身份中心身份验证，并将有限的策略映射到现有组或用户。您可以分配现有角色或根据其典型的ML活动创建新角色。ML活动表示特定任务的一组权限，例如运行ML训练作业。

• 体验全新升级的亚马逊SageMaker Studio
• 提升开发者的生产力：德勤公司如何利用Amazon SageMaker Canvas进行无代码/低代码机器学习
• 打开LLM排行榜：深入挖掘DROP

除了设置和配置SageMaker应用程序和执行角色之外，新功能还提供了更新的UI，用于实现复杂的网络配置，例如VPC端点、子网和安全组以及加密设置。如果需要进行更改，您还可以随后管理子网和连接模式。

现在让我们更深入地了解这种新的体验。

先决条件

在使用组织机构的高级设置之前，您需要具备以下条件：

• 一个AWS帐户
• 具有创建所需资源以设置SageMaker域的权限的IAM角色

为组织设置SageMaker域

要体验更新后的用户界面，ML管理员需要完成以下步骤：

1. 在SageMaker控制台上，选择为组织设置。 这将带您进入设置SageMaker域向导，其中已经选中了为组织设置选项。
2. 选择配置。
3. 在域详细信息页面上，输入域名，然后选择下一步。
4. 在用户和ML活动页面上，选择首选的身份验证方法。在本文中，我们选择AWS身份中心。请注意，您的AWS身份中心设置必须与您创建SageMaker域的区域相同。
5. 在谁将使用Studio？部分，您可以选择授予SageMaker域访问权限的用户组。
6. 选择创建新角色以创建一个新角色并分配活动，或者使用现有角色。对于ML活动，从预定义活动列表中选择。
7. 在S3存储桶访问部分，输入所有域用户都将拥有访问权限的Amazon Simple Storage Service（Amazon S3）存储桶，然后选择下一步。您可以指定多个S3存储桶。 新功能：更新组织的现有域名

   现在我们已经完成了管理员设置SageMaker组织的新域名的用户路径，域名已经准备就绪，ML用户可以接入SageMaker。这个过程不是一次性事件；在创建域名之后，要求可能会发展变化，需要对域名配置进行更新。让我们来探索一些作为设置的一部分而推出的新功能，可以允许对现有域名进行更新。

   更新域名的先决条件

   要使用这些新功能，ML管理员必须具备以下访问权限：

   • 一个AWS账户。
   • 具备创建设置SageMaker域名所需资源的IAM角色的权限。
   • 在您选择的AWS账户中的SageMaker域名。
   • AWS命令行接口（AWS CLI）。若要安装AWS CLI，请参阅安装或更新最新版本的AWS CLI。

   通过AWS CLI更新现有域名下的子网

   随着组织对ML的采用规模扩大，需求也在不断演变，这就需要对基础架构进行更改。随着您向项目和团队添加更多用户和资源，您需要更多的资源（如IP范围和端点）。您可能还想要将一些子网隔离，并将这些子网与SageMaker Studio解关联，因此希望从域名中移除这些子网。当您想要添加或移除子网时，管理员面临的一个挑战是更新域名的子网需要专业技能和时间。我们很高兴地宣布，我们已经简化了这个过程，现在ML管理员可以通过AWS CLI更新域名的子网。

   让我们来详细了解这个功能。

   在这个示例用例中，您已经创建了一个包含两个子网的新SageMaker Studio域名：subnet-1和subnet-2。您已经用尽了域名子网IP，并想要将新的子网subnet-3和subnet-4添加到域名中。请参考以下代码：

   # 使用新的子网更新域名aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --subnet-ids '["subnet-1","subnet-2","subnet-3", "subnet-4"]'
   
   # 描述域名以查看域名子网列表是否已更新aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker describe-domain --domain-id $DOMAIN_ID

   如果您意识到实际上不需要那么多IP，您可以从现有的子网列表中删除一个子网（例如，subnet-4）。请参考以下代码：

   # 删除一个要移除的子网更新域名aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --subnet-ids '["subnet-1","subnet-2","subnet-3"]'
   
   # 描述域名以查看域名子网列表是否已更新aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker describe-domain --domain-id $DOMAIN_ID

   通过AWS CLI更改现有域名的网络连接模式

   当您进行测试或探索SageMaker以了解更多有关该服务的信息时，您可能会将域名设置为公共互联网访问。然而，随着您设置项目和扩展ML工作负载，您可能需要根据组织的现有网络和安全要求，将身份验证模式更改为仅限VPC。我们很高兴地宣布，ML管理员现在可以通过AWS CLI将网络连接模式从公共互联网更改为仅限VPC。

   例如，以下代码将将域名AppNetworkAccessType的值更新为VpcOnly：

   # 更新域名应用程序网络访问类型aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --app-network-access-type VpcOnly

   在以下代码中，我们将域 AppNetworkAccessType 更新为 PublicInternetOnly：

   # 更新域 App 网络访问类型
   aws --region $REGION --endpoint-url $SAGEMAKER_ENDPOINT sagemaker update-domain --domain-id $DOMAIN_ID --app-network-access-type PublicInternetOnly

   结论

   今天在所有 AWS 区域（除了 AWS GovCloud 和 AWS China 地区）中提供的 SageMaker 版本中，组织可以使用新的界面来设置域和更新现有域的新功能，而且这些功能都不需要额外收费。

   请尝试这些新功能，并告诉我们您的想法。我们期待您的反馈！您可以通过您通常的 AWS 支持联系人发送反馈，或者在 AWS Forum 上发布反馈与建议。

   要了解更多信息，请访问 SageMaker 中的新入门体验 并查看 使用 IAM Identity Center 登录到 Amazon SageMaker 域。