Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie eine Amazon SageMaker AI-Domain mit RStudio mithilfe der AWS CLI
**Wichtig**
Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, SageMaker Amazon-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können "AccessDenied" Fehler beim Versuch, Ressourcen zu erstellen, auftreten. Weitere Informationen finden Sie unter [Erteilen Sie Berechtigungen für das Taggen von SageMaker KI-Ressourcen](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS verwaltete Richtlinien für Amazon SageMaker AI](security-iam-awsmanpol.md)die Berechtigungen zum Erstellen von SageMaker Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags beim Erstellen dieser Ressourcen.
Das folgende Thema zeigt, wie Sie eine Amazon SageMaker AI-Domain mit aktiviertem RStudio mithilfe von AWS CLI einbinden. Informationen zum Onboarding mit dem finden Sie AWS-Managementkonsole unter[Überblick über die Amazon SageMaker AI-Domain](gs-studio-onboard.md).
## Voraussetzungen
+ Installieren und Konfigurieren von [AWS CLI Version 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)
+ Konfigurieren Sie das [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) mit IAM-Anmeldeinformationen
## Erstellen einer `DomainExecution`-Rolle
Um die RStudio-App zu starten, müssen Sie eine `DomainExecution`-Rolle angeben. Diese Rolle wird verwendet, um zu bestimmen, ob RStudio im Rahmen der Amazon SageMaker AI-Domainerstellung gestartet werden muss. Diese Rolle wird auch von Amazon SageMaker AI für den Zugriff auf die RStudio-Lizenz und die Übertragung von RStudio-Protokollen verwendet.
**Anmerkung**
Die `DomainExecution` Rolle sollte mindestens über AWS License Manager Berechtigungen für den Zugriff auf die RStudio-Lizenz und CloudWatch über Berechtigungen zum Push von Protokollen in Ihrem Konto verfügen.
Das folgende Verfahren zeigt, wie Sie die `DomainExecution` Rolle mit dem AWS CLI erstellen.
1. Erstellen Sie eine Datei mit dem Namen `assume-role-policy.json` und dem folgenden Inhalt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
}
}
]
}
```
------
1. Erstellen Sie die `DomainExecution`-Rolle. `` sollte die AWS -Region sein, in der Sie Ihre Domain starten möchten.
```
aws iam create-role --region {{}} --role-name DomainExecution --assume-role-policy-document file://assume-role-policy.json
```
1. Erstellen Sie eine Datei mit dem Namen `domain-setting-policy.json` und dem folgenden Inhalt. Diese Richtlinie ermöglicht der RStudioServerPro App den Zugriff auf die erforderlichen Ressourcen und ermöglicht Amazon SageMaker AI, automatisch eine RStudioServerPro App zu starten, wenn sich die bestehende RStudioServerPro App im `Failed` Status `Deleted` oder befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"license-manager:ExtendLicenseConsumption",
"license-manager:ListReceivedLicenses",
"license-manager:GetLicense",
"license-manager:CheckoutLicense",
"license-manager:CheckInLicense",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"sagemaker:CreateApp"
],
"Resource": "*"
}
]
}
```
------
1. Erstellen Sie die Domaineinstellungsrichtlinie, die der `DomainExecution`-Rolle zugeordnet ist. Achten Sie auf die `PolicyArn` aus der Antwort, Sie müssen diese ARN in den folgenden Schritten eingeben.
```
aws iam create-policy --region {{}} --policy-name domain-setting-policy --policy-document file://domain-setting-policy.json
```
1. Verbinden Sie `domain-setting-policy` mit der Rolle `DomainExecution`. Verwenden Sie das im vorherigen Schritt zurückgegebene `PolicyArn`.
```
aws iam attach-role-policy --role-name DomainExecution --policy-arn {{}}
```
## Erstellen Sie eine Amazon SageMaker AI-Domain mit der RStudio App
Die RStudioServerPro App wird automatisch gestartet, wenn Sie eine Amazon SageMaker AI-Domain mithilfe des `create-domain` CLI-Befehls mit dem angegebenen `RStudioServerProDomainSettings` Parameter erstellen. Beim Starten der RStudioServerPro App sucht Amazon SageMaker AI nach einer gültigen RStudio-Lizenz im Konto und schlägt die Domain-Erstellung fehl, wenn die Lizenz nicht gefunden wird.
Die Erstellung einer Amazon SageMaker AI-Domain unterscheidet sich je nach Authentifizierungsmethode und Netzwerktyp. Diese Optionen müssen zusammen verwendet werden, wobei eine Authentifizierungsmethode und ein Netzwerkverbindungstyp ausgewählt werden müssen. Weitere Informationen zu den Anforderungen für die Erstellung einer neuen Domain finden Sie unter [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Die folgenden Authentifizierungsmethoden werden unterstützt.
+ `IAM Auth`
+ `SSO Auth`
Die folgenden Netzwerkverbindungstypen werden unterstützt:
+ `PublicInternet`
+ `VPCOnly`
### Authentifizierungsmethoden
**IAM-Authentifizierungsmodus**
Im Folgenden wird gezeigt, wie Sie eine Amazon SageMaker AI-Domain mit aktiviertem RStudio und einem `IAM Auth` Netzwerktyp erstellen. Weitere Informationen dazu finden Sie AWS Identity and Access Management unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) .
+ `DomainExecutionRoleArn` sollte der ARN für die -Rolle sein, die im vorigen Schritt erstellt wurde.
+ `ExecutionRole`ist der ARN der Rolle, die Benutzern in der Amazon SageMaker AI-Domain zugewiesen wurde.
+ `vpc-id` sollte die ID Ihrer Amazon Virtual Private Cloud sein. `subnet-ids` sollte eine durch Leerzeichen getrennte Liste von Subnetz-Kennungen sein. Informationen zu `vpc-id` und `subnet-ids` finden Sie unter [VPCs und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `RStudioPackageManagerUrl` und `RStudioConnectUrl` sind optional und sollten auf die URLs Ihres RStudio Package Managers bzw. RStudio Connect-Servers gesetzt werden.
+ `app-network-access-type` sollte entweder `PublicInternetOnly` oder `VPCOnly` sein.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode IAM \
--default-user-settings ExecutionRole={{}} \
--domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<{{}},RStudioConnectUrl=<{{}},DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids {{}} \
--app-network-access-type {{}}
```
**Authentifizierung mit IAM Identity Center**
Im Folgenden wird gezeigt, wie Sie eine Amazon SageMaker AI-Domain mit aktiviertem RStudio und einem `SSO Auth` Netzwerktyp erstellen. AWS IAM Identity Center muss für die Region aktiviert sein, in der die Domain gestartet wird. Weitere Informationen zu IAM Identity Center finden Sie unter [Was ist AWS IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) .
+ `DomainExecutionRoleArn` sollte der ARN für die -Rolle sein, die im vorigen Schritt erstellt wurde.
+ `ExecutionRole`ist der ARN der Rolle, die Benutzern in der Amazon SageMaker AI-Domain zugewiesen wurde.
+ `vpc-id` sollte die ID Ihrer Amazon Virtual Private Cloud sein. `subnet-ids` sollte eine durch Leerzeichen getrennte Liste von Subnetz-Kennungen sein. Informationen zu `vpc-id` und `subnet-ids` finden Sie unter [VPCs und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `RStudioPackageManagerUrl` und `RStudioConnectUrl` sind optional und sollten auf die URLs Ihres RStudio Package Managers bzw. RStudio Connect-Servers gesetzt werden.
+ `app-network-access-type` sollte entweder `PublicInternetOnly` oder `VPCOnly` sein.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode SSO \
--default-user-settings ExecutionRole={{}} \
--domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<{{}},RStudioConnectUrl=<{{}},DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids {{}} \
--app-network-access-type {{}}
```
### Verbindungstypen
**PublicInternet/Direct Typ des Internet-Netzwerks**
Im Folgenden wird gezeigt, wie Sie eine Amazon SageMaker AI-Domain mit aktiviertem RStudio und einem `PublicInternet` Netzwerktyp erstellen.
+ `DomainExecutionRoleArn` sollte der ARN für die -Rolle sein, die im vorigen Schritt erstellt wurde.
+ `ExecutionRole`ist der ARN der Rolle, die Benutzern in der Amazon SageMaker AI-Domain zugewiesen wurde.
+ `vpc-id` sollte die ID Ihrer Amazon Virtual Private Cloud sein. `subnet-ids` sollte eine durch Leerzeichen getrennte Liste von Subnetz-Kennungen sein. Informationen zu `vpc-id` und `subnet-ids` finden Sie unter [VPCs und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html).
+ `RStudioPackageManagerUrl` und `RStudioConnectUrl` sind optional und sollten auf die URLs Ihres RStudio Package Managers bzw. RStudio Connect-Servers gesetzt werden.
+ `auth-mode` sollte entweder `SSO` oder `IAM` sein.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode {{}} \
--default-user-settings ExecutionRole={{}} \
--domain-settings RStudioServerProDomainSettings={RStudioPackageManagerUrl=<{{}},RStudioConnectUrl=<{{}},DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids {{}} \
--app-network-access-type PublicInternetOnly
```
**VPCOnly-Modus**
Im Folgenden wird gezeigt, wie Sie eine Amazon SageMaker AI-Domain mit aktiviertem RStudio und einem `VPCOnly` Netzwerktyp starten. Weitere Informationen zur Verwendung des `VPCOnly` Netzwerkzugriffstyps finden Sie unter [Verbinden von Studio-Notebooks in einer VPC mit externen Ressourcen](studio-notebooks-and-internet-access.md).
+ `DomainExecutionRoleArn` sollte der ARN für die -Rolle sein, die im vorigen Schritt erstellt wurde.
+ `ExecutionRole`ist der ARN der Rolle, die Benutzern in der Amazon SageMaker AI-Domain zugewiesen wurde.
+ `vpc-id` sollte die ID Ihrer Amazon Virtual Private Cloud sein. `subnet-ids` sollte eine durch Leerzeichen getrennte Liste von Subnetz-Kennungen sein. Ihr privates Subnetz muss entweder auf das Internet zugreifen können, um Amazon SageMaker AI anzurufen, AWS License Manager oder über Amazon VPC-Endpunkte für Amazon SageMaker AI und verfügen. AWS License Manager Informationen zu Amazon VPC-Endpunkten finden Sie unter [Interface Amazon VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Weitere Informationen zu `vpc-id` und `subnet-ids` finden Sie unter [VPCs und Subnetze.](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ `SecurityGroups`muss ausgehenden Zugriff auf die SageMaker Amazon-KI und die AWS License Manager Endpunkte zulassen.
+ `auth-mode` sollte entweder `SSO` oder `IAM` sein.
**Anmerkung**
Wenn Sie Amazon Virtual Private Cloud-Endpunkte verwenden, muss die mit Ihren Amazon Virtual Private Cloud-Endpunkten verbundene Sicherheitsgruppe eingehenden Datenverkehr von der Sicherheitsgruppe zulassen, die Sie als Teil des `domain-setting` Parameters des `create-domain` CLI-Aufrufs übergeben.
Mit RStudio verwaltet Amazon SageMaker AI Sicherheitsgruppen für Sie. Das bedeutet, dass Amazon SageMaker AI Sicherheitsgruppenregeln verwaltet, um sicherzustellen, dass RSessions auf RStudioServerPro Apps zugreifen können. Amazon SageMaker AI erstellt eine Sicherheitsgruppenregel pro Benutzerprofil.
```
aws sagemaker create-domain --region {{}} --domain-name {{}} \
--auth-mode {{}} \
--default-user-settings SecurityGroups={{}},ExecutionRole={{}} \
--domain-settings SecurityGroupIds={{}},RStudioServerProDomainSettings={DomainExecutionRoleArn={{}}} \
--vpc-id {{}} \
--subnet-ids "{{}}" \
--app-network-access-type VPCOnly --app-security-group-management Service
```
Hinweis: Die RStudioServerPro App wird über ein spezielles Benutzerprofil mit dem Namen gestartet`domain-shared`. Daher wird diese App nicht als Teil von `list-app` API-Aufrufen durch andere Benutzerprofile zurückgegeben.
Möglicherweise müssen Sie das Amazon VPC-Kontingent in Ihrem Konto erhöhen, um die Anzahl der Benutzer zu erhöhen. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups).
## Überprüfen der Erstellung der Domain
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob Ihre Domain mit einem `Status` von `InService` erstellt wurde. Ihre `domain-id` wird an den Domains-ARN angefügt. Beispiel, `arn:aws:sagemaker:{{}}:{{}}:domain/{{}}`.
```
aws sagemaker describe-domain --domain-id {{}} --region {{}}
```