Requisitos previos Adición de compatibilidad con RStudio a un dominio existente

Adición de compatibilidad con RStudio a un dominio existente

importante

Las políticas de IAM personalizadas que permiten a Amazon SageMaker Studio o Amazon SageMaker Studio Classic crear SageMaker recursos de Amazon también deben conceder permisos para añadir etiquetas a esos recursos. El permiso para añadir etiquetas a los recursos es necesario porque Studio y Studio Classic etiquetan automáticamente todos los recursos que crean. Si una política de IAM permite a Studio y Studio Classic crear recursos, pero no permite el etiquetado, se pueden producir errores de tipo AccessDenied «» al intentar crear recursos. Para obtener más información, consulte Proporcione permisos para etiquetar los recursos de SageMaker IA.

AWS políticas gestionadas para Amazon SageMaker AIque otorgan permisos para crear SageMaker recursos ya incluyen permisos para añadir etiquetas al crear esos recursos.

Si has añadido una licencia de RStudio AWS License Manager, puedes crear un nuevo dominio de Amazon SageMaker AI compatible con RStudio on SageMaker AI. Si tiene un dominio existente que no es compatible con RStudio, puede añadir compatibilidad con RStudio a ese dominio sin necesidad de eliminarlo ni de volver a crearlo.

En el siguiente tema se explica cómo añadir esta compatibilidad.

Requisitos previos

Debe completar los siguientes pasos antes de actualizar su dominio actual para añadir compatibilidad con RStudio on AI. SageMaker

Instalar y configurar AWS CLI versión 2
Configurar AWS CLI con las credenciales de IAM
Cree un rol de ejecución de dominio siguiendo los pasos de Crear un dominio de SageMaker IA con RStudio mediante. AWS CLI La aplicación requiere este rol de IAM a nivel de dominio. RStudioServerPro El rol requiere acceso a AWS License Manager para verificar una licencia válida de Posit Workbench y a Amazon CloudWatch Logs para publicar los registros del servidor.
Utilice su licencia de RStudio para AWS License Manager seguir los pasos de la licencia de RStudio.
(Opcional) Si desea utilizar RStudio en el modo RStudio, complete los pasos en el VPCOnly modo RStudio in. VPC-Only
Asegúrese de que los grupos de seguridad que ha configurado para cada uno UserProfilede sus dominios cumplan con las cuotas a nivel de cuenta. Al configurar el perfil de usuario predeterminado durante la creación del dominio, puede utilizar el DefaultUserSettings parámetro de la CreateDomainAPI para añadir los SecurityGroups que hereden todos los perfiles de usuario creados en el dominio. También puede proporcionar grupos de seguridad adicionales para un usuario específico como parte del UserSettings parámetro de la CreateUserProfileAPI. Si ha añadido grupos de seguridad de esta manera, debe asegurarse de que el número total de grupos de seguridad por perfil de usuario no supera la cuota máxima de 2 en modo VPCOnly y 4 en modo PublicInternetOnly. Si el número total resultante de grupos de seguridad para cualquier perfil de usuario supera la cuota, puede combinar las reglas de varios grupos de seguridad en un solo grupo de seguridad.

Adición de compatibilidad con RStudio a un dominio existente

Cuando haya completado los requisitos previos, puede añadir compatibilidad con RStudio al dominio existente. En los pasos siguientes se explica cómo actualizar el dominio existente para añadir compatibilidad con RStudio.

Paso 1: eliminar todas las aplicaciones del dominio

Para añadir compatibilidad con RStudio en su dominio, SageMaker AI debe actualizar los grupos de seguridad subyacentes de todos los perfiles de usuario existentes. Para ello, tendrá que eliminar y volver a crear todas las aplicaciones existentes en el dominio. El siguiente procedimiento muestra cómo eliminar todas las aplicaciones.

Enumere todas las aplicaciones del dominio.


aws sagemaker \
   list-apps \
   --domain-id-equals <DOMAIN_ID>

Elimine todas las aplicaciones de todos los perfiles de usuario del dominio.


// JupyterServer apps 
aws sagemaker \
    delete-app \
    --domain-id <DOMAIN_ID> \
    --user-profile-name <USER_PROFILE> \
    --app-type JupyterServer \
    --app-name <APP_NAME>

// KernelGateway apps
aws sagemaker \
    delete-app \
    --domain-id <DOMAIN_ID> \
    --user-profile-name <USER_PROFILE> \
    --app-type KernelGateway \
    --app-name <APP_NAME>

Paso 2: Actualice todos los perfiles de usuario con la nueva lista de grupos de seguridad

Se trata de una acción única que debe realizar para todos los perfiles de usuario existentes en el dominio una vez que se hayan refactorizado los grupos de seguridad existentes. Esto evita llegar a la cuota del número máximo de grupos de seguridad. La llamada a la UpdateUserProfile API falla si el usuario tiene alguna aplicación en InServiceestado. Elimine todas las aplicaciones y, a continuación, llame a la API UpdateUserProfile para actualizar los grupos de seguridad.

nota

El siguiente requisito para el VPCOnly modo descrito en Connect Amazon SageMaker Studio Classic Notebooks de una VPC con recursos externos ya no es necesario al añadir compatibilidad AppSecurityGroupManagement con RStudio, ya que lo gestiona el servicio de SageMaker IA:

"Tráfico TCP en el grupo de seguridad. Esto es necesario para la conectividad entre la JupyterServer aplicación y las aplicaciones. KernelGateway Debe permitir el acceso al menos a los puertos del rango 8192-65535”.


aws sagemaker \
    update-user-profile \
    --domain-id <DOMAIN_ID>\
    --user-profile-name <USER_PROFILE> \
    --user-settings "{\"SecurityGroups\": [\"<SECURITY_GROUP>\", \"<SECURITY_GROUP>\"]}"

Paso 3: Active RStudio llamando a la API UpdateDomain

Llama a la UpdateDomainAPI para añadir compatibilidad con RStudio en SageMaker IA. El parámetro defaultusersettings solo es necesario si han refactorizado los grupos de seguridad predeterminados para los perfiles de usuario.

Para el modo VPCOnly:


aws sagemaker \
    update-domain \
    --domain-id <DOMAIN_ID> \
    --app-security-group-management Service \
    --domain-settings-for-update RStudioServerProDomainSettingsForUpdate={DomainExecutionRoleArn=<DOMAIN_EXECUTION_ROLE_ARN>} \
    --default-user-settings "{\"SecurityGroups\": [\"<SECURITY_GROUP>\", \"<SECURITY_GROUP>\"]}"

Para el modo PublicInternetOnly:


aws sagemaker \
    update-domain \
    --domain-id <DOMAIN_ID> \
    --domain-settings-for-update RStudioServerProDomainSettingsForUpdate={DomainExecutionRoleArn=<DOMAIN_EXECUTION_ROLE_ARN>} \
    --default-user-settings "{\"SecurityGroups\": [\"<SECURITY_GROUP>\", \"<SECURITY_GROUP>\"]}"

Compruebe que el estado del dominio sea InService. Cuando el estado del dominio seaInService, se añadirá la compatibilidad con RStudio on SageMaker AI.
```
aws sagemaker \
    describe-domain \
    --domain-id <DOMAIN_ID>
```
Comprueba que el estado de la RStudioServerPro aplicación esté InService utilizando el siguiente comando.
```
aws sagemaker list-apps --user-profile-name domain-shared
```

Paso 4: Añada acceso a RStudio para usuarios existentes

Como parte de la actualización del paso 3, SageMaker AI marca el RStudio AccessStatusde todos los perfiles de usuario existentes en el dominio como DISABLED predeterminado. Esto evita superar el número de usuarios que permite su licencia actual. Para añadir acceso a usuarios existentes deberá seguir un paso de suscripción único. Para realizar la suscripción, llama a la UpdateUserProfileAPI con lo siguiente: RStudioServerProAppSettings

AccessStatus = ENABLED
Opcional - UserGroup = R_STUDIO_USER o R_STUDIO_ADMIN


aws sagemaker \
    update-user-profile \
    --domain-id <DOMAIN_ID>\
    --user-profile-name <USER_PROFILE> \
    --user-settings "{\"RStudioServerProAppSettings\": {\"AccessStatus\": \"ENABLED\"}}"

nota

De forma predeterminada, el número de usuarios que pueden acceder a RStudio es 60.

Paso 5: Desactive el acceso a RStudio para nuevos usuarios

A menos que se especifique lo contrario al realizar la llamadaUpdateDomain, la compatibilidad con RStudio se añade de forma predeterminada para todos los nuevos perfiles de usuario que se creen después de añadir la compatibilidad con RStudio on AI. SageMaker Para desactivar el acceso en un perfil de usuario nuevo debe establecer explícitamente el parámetro AccessStatus en DISABLED como parte de la llamada a la API CreateUserProfile. Si no se especifica el parámetro AccessStatus como parte de la API CreateUserProfile, el estado de acceso predeterminado es ENABLED.


aws sagemaker \
    create-user-profile \
    --domain-id <DOMAIN_ID>\
    --user-profile-name <USER_PROFILE> \
    --user-settings "{\"RStudioServerProAppSettings\": {\"AccessStatus\": \"DISABLED\"}}"

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cree un dominio de Amazon SageMaker AI con RStudio mediante AWS CLI

Lleve su propia imagen