Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Présentation du domaine Amazon SageMaker AI
Amazon SageMaker AI utilise des domaines pour organiser les profils utilisateurs, les applications et les ressources associées. Un domaine Amazon SageMaker AI comprend les éléments suivants :
+ Un volume Amazon Elastic File System (Amazon EFS) associé
+ Une liste d’utilisateurs autorisés
+ Une variété de configurations de sécurité, d’applications, de politiques et d’Amazon Virtual Private Cloud (Amazon VPC)
Le schéma suivant fournit une vue d’ensemble des applications privées et des espaces partagés au sein de chaque domaine.
![\[Overview of a domain.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/domains/private-apps-shared-spaces.png)
Pour avoir accès à la plupart des environnements et ressources Amazon SageMaker AI, vous devez effectuer le processus d'intégration du domaine Amazon SageMaker AI à l'aide de la console SageMaker AI ou du AWS CLI. Pour un guide expliquant comment commencer à utiliser l' SageMaker IA en fonction de la manière dont vous souhaitez accéder à l' SageMaker IA et, si nécessaire, comment configurer un domaine, consultez[Guide de configuration d'Amazon SageMaker AI](gs.md).
**Topics**
+ [Entités et statuts de domaine Amazon SageMaker AI](sm-domain.md)
+ [Choix d’un réseau Amazon VPC](onboard-vpc.md)
# Entités et statuts de domaine Amazon SageMaker AI
Le domaine Amazon SageMaker SageMaker AI prend en charge les environnements d'apprentissage automatique (ML) basés sur l'IA. Un domaine SageMaker AI est composé des entités suivantes et de leurs valeurs de statut associées. Pour les étapes d’intégration permettant de créer un domaine, consultez [Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md).
+ **Domaine** : un domaine comprend les éléments suivants :
+ Un volume Amazon Elastic File System (Amazon EFS) associé.
+ Une liste d’utilisateurs autorisés.
+ Une variété de configurations de sécurité, d’applications, de politiques et d’Amazon Virtual Private Cloud (Amazon VPC).
Les utilisateurs d’un domaine peuvent partager des fichiers de bloc-notes et d’autres artefacts entre eux. Un compte peut comporter plusieurs domaines. Pour plus d’informations sur les domaines multiples, consultez [Présentation de plusieurs domaines](domain-multiple.md).
+ **Profil utilisateur** : un profil utilisateur représente un utilisateur individuel au sein d’un domaine. C’est le principal moyen de référencer un utilisateur à des fins de partage, de création de rapports et d’autres fonctions orientées utilisateur. Cette entité est créée lorsqu'un utilisateur intègre le domaine Amazon SageMaker AI. Pour plus d’informations sur les profils utilisateur, consultez [Profils utilisateur d’un domaine](domain-user-profile.md).
+ **Espace partagé** : un espace partagé se compose d'une JupyterServer application partagée et d'un répertoire partagé. Tous les utilisateurs du domaine ont accès à l’espace partagé. Tous les profils utilisateur d’un domaine ont accès à tous les espaces partagés du domaine. Pour plus d'informations sur les espaces partagés, consultez [Collaboration avec des espaces partagés](domain-space.md).
+ **App** : une appli représente une application qui prend en charge l’expérience de lecture et d’exécution des blocs-notes, terminaux et consoles de l’utilisateur. Le type d'application peut être JupyterServer KernelGateway, RStudioServerPro, ou RSession. Un utilisateur peut avoir plusieurs applications actives simultanément.
Les tableaux suivants décrivent les valeurs de statut des entités `domain`, `UserProfile`, `shared space`, et `App`. Le cas échéant, ils indiquent également des étapes de dépannage.
Valeurs de statut de domaine
| Value | Description |
| --- | --- |
| En attente | Création en cours du domaine. |
| InService | Création réussie du domaine. |
| Mise à jour | Mise à jour en cours du domaine. |
| Suppression | Suppression en cours du domaine. |
| Échec | Échec de la création du domaine. Appelez l’API DescribeDomain pour voir la raison de l’échec de la création du domaine. Supprimez le domaine ayant échoué et recréez le domaine après avoir corrigé l’erreur mentionnée dans FailureReason. |
| Échec de la mise à jour | Échec de la mise à jour du domaine. Appelez l’API DescribeDomain pour voir la raison de l’échec de la mise à jour du domaine. Appelez l'API UpdateDomain après avoir corrigé l'erreur mentionnée dans FailureReason. |
| Échec de la suppression | Échec de la suppression du domaine. Appelez l’API DescribeDomain pour voir la raison de l’échec de la suppression du domaine. Comme la suppression a échoué, certaines ressources sont peut-être encore en cours d’exécution. Toutefois, vous ne pouvez pas utiliser ni mettre à jour le domaine. Appelez à nouveau l’API DeleteDomain après avoir corrigé l’erreur mentionnée dans FailureReason. |
Valeurs de statut pour `UserProfile`
| Value | Description |
| --- | --- |
| En attente | Création en cours d'UserProfile. |
| InService | Création réussie d'UserProfile. |
| Mise à jour | Mise à jour en cours d'UserProfile. |
| Suppression | Suppression en cours d'UserProfile. |
| Échec | Échec de la création d'UserProfile. Appelez l'API DescribeUserProfile pour voir la raison de l'échec de la création d'UserProfile. Supprimez l'UserProfile ayant échoué et recréez-le après avoir corrigé l'erreur mentionnée dans FailureReason. |
| Échec de la mise à jour | Échec de la mise à jour de UserProfile. Appelez l'API DescribeUserProfile pour voir la raison de l'échec de la mise à jour de UserProfile. Appelez à nouveau l’API UpdateUserProfile après avoir corrigé l’erreur mentionnée dans FailureReason. |
| Échec de la suppression | Échec de la suppression de UserProfile. Appelez l'API DescribeUserProfile pour voir la raison de l'échec de la suppression de UserProfile. Comme la suppression a échoué, certaines ressources sont peut-être encore en cours d'exécution. Cependant, vous ne pouvez pas utiliser ni mettre à jour UserProfile. Appelez à nouveau l’API DeleteUserProfile après avoir corrigé l’erreur mentionnée dans FailureReason. |
valeurs de statut de l'espace partagé
| Value | Description |
| --- | --- |
| En attente | Création en cours de l'espace partagé. |
| InService | Création réussie de l'espace partagé. |
| Suppression | Suppression en cours de l'espace partagé. |
| Échec | Échec de la création de l'espace partagé. Appelez l'API DescribeSpace pour voir la raison de l'échec de la création de l'espace partagé. Supprimez l'espace partagé ayant échoué et recréez-le après avoir corrigé l'erreur mentionnée dans FailureReason. |
| Échec de la mise à jour | Échec de la mise à jour de l'espace partagé. Appelez l'API DescribeSpace pour voir la raison de l'échec de la mise à jour de l'espace partagé. Appelez à nouveau l’API UpdateSpace après avoir corrigé l’erreur mentionnée dans FailureReason. |
| Échec de la suppression | Échec de la suppression de l'espace partagé. Appelez l'API DescribeSpace pour voir la raison de l'échec de la suppression de l'espace partagé. Comme la suppression a échoué, certaines ressources sont peut-être encore en cours d'exécution. Cependant, vous ne pouvez pas utiliser ni mettre à jour l'espace partagé. Appelez à nouveau l’API DeleteSpace après avoir corrigé l’erreur mentionnée dans FailureReason. |
| Supprimé | Suppression réussie de l'espace partagé. |
Valeurs de statut pour `App`
| Value | Description |
| --- | --- |
| En attente | Création en cours d'App. |
| InService | Création réussie d'App. |
| Suppression | Suppression en cours d'App. |
| Échec | Échec de la création d'App. Appelez l'API DescribeApp pour voir la raison de l'échec de la création d'App. Appelez à nouveau l’API CreateApp après avoir corrigé l’erreur mentionnée dans FailureReason. |
| Supprimé | Suppression réussie d’App. |
## Maintenance des applications
Au moins une fois tous les 90 jours, SageMaker AI met à jour la sécurité et les performances du logiciel sous-jacent pour les SageMaker applications Amazon Studio Classic JupyterServer KernelGateway, SageMaker Canvas et Amazon SageMaker Data Wrangler. Certains éléments de maintenance, tels que les mises à niveau du système d'exploitation, nécessitent que l' SageMaker IA mette votre application hors ligne pendant une courte période pendant la fenêtre de maintenance. Comme cette maintenance met l’application hors connexion, vous ne pouvez effectuer aucune opération pendant la mise à jour du logiciel sous-jacent. Lorsque l'activité de maintenance est en cours, l'état de l'application passe de **InService**« **En attente** ». Lorsque la maintenance est terminée, le statut de l'application revient à **InService**. En cas d'échec de l'application de correctifs, l'état de l'application devient **Échec**. Si une application est dans l’état **Échec**, nous recommandons de créer une nouvelle application du même type. Pour en savoir plus sur la création d’applications Studio Classic, consultez [Arrêter et mettre à jour Amazon SageMaker Studio Classic et ses applications](studio-tasks-update.md). Pour plus d'informations sur la création d'applications SageMaker Canvas, consultez[Gestion des applications](canvas-manage-apps.md).
Pour plus d'informations, contactez https://aws.amazon.com/premiumsupport/.
**Topics**
+ [Maintenance des applications](#domain-maintenance)
+ [Exécuter les opérations prérequises](domain-prerequisites.md)
+ [Masquer les outils et applications de machine learning dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-tools-apps.md)
+ [Masquer les types d'instances et les images dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-instances-images.md)
+ [Présentation de plusieurs domaines](domain-multiple.md)
+ [Isolement des ressources de domaine](domain-resource-isolation.md)
+ [Paramètres par défaut pour les domaines Amazon SageMaker AI](domain-set-defaults.md)
+ [Propagation des balises personnalisées](custom-tags.md)
+ [Ajout d’un système de fichiers personnalisé à un domaine](domain-custom-file-system.md)
+ [Visualisation des détails de l’environnement de domaine](domain-space-environment.md)
+ [Visualisation des domaines](domain-view.md)
+ [Modification des paramètres du domaine](domain-edit.md)
+ [Supprimer un domaine Amazon SageMaker AI](gs-studio-delete-domain.md)
+ [Profils utilisateur d’un domaine](domain-user-profile.md)
+ [Groupes IAM Identity Center dans un domaine](domain-groups.md)
+ [Comprendre les autorisations d’espace de domaine et les rôles d’exécution](execution-roles-and-spaces.md)
+ [Afficher les ressources d' SageMaker IA dans votre domaine](sm-console-domain-resources-view.md)
+ [Arrêtez les ressources d' SageMaker IA de votre domaine](sm-console-domain-resources-shut-down.md)
+ [Où arrêter les ressources en fonction des fonctionnalités de SageMaker l'IA](sm-shut-down-resources-per-feature.md)
# Exécuter les opérations prérequises
Pour utiliser les fonctionnalités disponibles dans un domaine Amazon SageMaker AI, vous devez remplir les conditions préalables suivantes.
+ Intégrez un domaine. Pour plus d'informations, consultez [Intégrer le domaine Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html).
+ (Facultatif) Si vous interagissez avec votre domaine à l'aide du AWS CLI, vous devez également remplir les conditions préalables suivantes.
+ Mettez à jour le AWS CLI en suivant les étapes de [la section Installation de la AWS CLI version actuelle](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv1.html#install-tool-bundled).
+ À partir de votre machine locale, exécutez `aws configure` et saisissez vos AWS informations d'identification. Pour plus d'informations sur les AWS informations d'identification, voir [Comprendre et obtenir vos AWS informations d'identification](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html).
# Masquer les outils et applications de machine learning dans l'interface utilisateur d'Amazon SageMaker Studio
**Important**
Depuis le 30 novembre 2023, l'expérience Amazon SageMaker Studio précédente s'appelle désormais Amazon SageMaker Studio Classic. La section suivante est spécifique à l’utilisation de l’expérience Studio mise à jour. Pour en savoir plus sur l’utilisation de l’application Studio Classic, consultez [Amazon SageMaker Studio classique](studio.md).
Cette rubrique explique comment masquer les applications et les outils d'apprentissage automatique (ML) affichés dans l'interface utilisateur (UI) d'Amazon SageMaker Studio. Pour obtenir des informations sur l’interface utilisateur de Studio, consultez [Présentation de l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui.md).
Cette personnalisation ne bloque pas l’accès à ces ressources. Si, au contraire, vous souhaitez bloquer l’accès à une application, consultez [Amazon SageMaker Role Manager](role-manager.md).
Pour en savoir plus sur les applications, consultez [Applications prises en charge dans Amazon SageMaker Studio](studio-updated-apps.md).
La fonctionnalité de personnalisation de l'interface utilisateur de Studio n'est pas disponible dans Amazon SageMaker Studio Classic.
Vous pouvez personnaliser l’interface utilisateur de Studio au niveau du domaine et au niveau de l’utilisateur :
+ La personnalisation au niveau du domaine définit la valeur par défaut pour tous les utilisateurs du domaine.
Ces paramètres par défaut s’appliquent à tous les utilisateurs du domaine dont ces modifications *n’ont pas* été apportées à leurs paramètres d’utilisateur individuel.
+ La personnalisation au niveau de l’utilisateur aura la priorité sur les paramètres au niveau du domaine.
Utilisez les rubriques suivantes pour en apprendre davantage sur les différents niveaux de personnalisation et sur la manière de les appliquer.
**Topics**
+ [Masquage des applications et des outils de machine learning au niveau du domaine](studio-updated-ui-customize-tools-apps-domain.md)
+ [Masquage des applications et des outils de machine learning au niveau de l’utilisateur](studio-updated-ui-customize-tools-apps-user.md)
# Masquage des applications et des outils de machine learning au niveau du domaine
Ce qui suit montre comment utiliser la console pour personnaliser les applications et les outils ML affichés dans Studio au niveau du domaine. Pour de plus amples informations, veuillez consulter [Masquer les outils et applications de machine learning dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-tools-apps.md).
Cette fonctionnalité n'est pas disponible si Amazon SageMaker Studio Classic est défini comme expérience par défaut.
## Instructions pour masquer les applications et les outils de machine learning au niveau du domaine (console)
**Pour masquer les applications et les outils de machine learning dans l’interface utilisateur de Studio au niveau du domaine (console)**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez le lien vers le domaine que vous souhaitez modifier.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Configurations des applications**.
1. Dans la section **SageMaker Studio**, choisissez **Personnaliser l'interface utilisateur de Studio**.
1. Sur la page **Personnaliser l’interface utilisateur de Studio**, vous pouvez masquer les applications et les outils ML affichés dans Studio en les désactivant.
Notez que les fonctionnalités ML ne sont pas toutes disponibles dans toutes les régions.
1. Une fois que vous avez passé en revue vos modifications, choisissez **Enregistrer**.
Une fois que vous avez terminé, une bannière verte contenant un message de réussite s’affiche en haut de la page.
## Instructions pour masquer les applications et les outils de machine learning au niveau du domaine (AWS CLI)
**Note**
Pour utiliser cette fonctionnalité, vous devrez peut-être effectuer une mise à jour vers la dernière AWS CLI version. Pour plus d’informations, consultez [Installation ou mise à jour de la version la plus récente de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Vous pouvez utiliser le AWS CLI pour personnaliser les applications et les outils ML affichés dans Studio au niveau du domaine, en utilisant [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html). Utilisez `HiddenAppTypes` pour masquer les applications et `HiddenMlTools` pour masquer les outils ML.
Dans l'exemple suivant, SageMaker Canvas et Code Editor sont masqués pour les utilisateurs du domaine`domainId`.
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
Notez que les fonctionnalités ML ne sont pas toutes disponibles dans toutes les Régions AWS.
# Masquage des applications et des outils de machine learning au niveau de l’utilisateur
Ce qui suit montre comment personnaliser les applications et les outils ML affichés dans Studio au niveau de l’utilisateur. Pour de plus amples informations, veuillez consulter [Masquer les outils et applications de machine learning dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-tools-apps.md).
Cette fonctionnalité n’est pas disponible si Studio Classic est défini comme expérience par défaut.
## Instructions pour masquer les applications et les outils de machine learning au niveau de l’utilisateur (console)
**Pour masquer les applications et les outils de machine learning dans l’interface utilisateur de Studio au niveau de l’utilisateur (console)**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez le lien vers le domaine que vous souhaitez modifier.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Profils utilisateur**.
1. Dans la section **Profils utilisateur**, choisissez le lien vers le profil utilisateur que vous souhaitez modifier.
1. Choisissez l’onglet **Configurations des applications**.
1. Dans la section **SageMaker Studio**, choisissez **Personnaliser l'interface utilisateur de Studio**.
1. Sur la page **Personnaliser l’interface utilisateur de Studio**, vous pouvez masquer les applications et les outils ML affichés dans Studio en les désactivant.
Notez que les fonctionnalités ML ne sont pas toutes disponibles dans toutes les régions.
1. Une fois que vous avez passé en revue vos modifications, choisissez **Enregistrer**. Cela vous ramènera au flux de modification du profil utilisateur.
1. Sélectionnez **Enregistrer les modifications**.
Une fois que vous avez terminé, une bannière verte contenant un message de réussite s’affiche en haut de la page.
## Instructions pour masquer les applications et les outils de machine learning au niveau de l’utilisateur (AWS CLI)
**Note**
Pour utiliser cette fonctionnalité, vous devrez peut-être effectuer une mise à jour vers la dernière AWS CLI version. Pour plus d’informations, consultez [Installation ou mise à jour de la version la plus récente de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Vous pouvez utiliser le AWS CLI pour personnaliser les applications et les outils ML affichés dans Studio au niveau de l'utilisateur, en utilisant [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html). Utilisez `HiddenAppTypes` pour masquer les applications et `HiddenMlTools` pour masquer les outils ML.
Dans l'exemple suivant, SageMaker Canvas et Code Editor sont masqués pour *userProfileName* l'utilisateur du domaine`domainId`.
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
Notez que les fonctionnalités ML ne sont pas toutes disponibles dans toutes les Régions AWS.
# Masquer les types d'instances et les images dans l'interface utilisateur d'Amazon SageMaker Studio
**Important**
Depuis le 30 novembre 2023, l'expérience Amazon SageMaker Studio précédente s'appelle désormais Amazon SageMaker Studio Classic. La section suivante est spécifique à l’utilisation de l’expérience Studio mise à jour. Pour en savoir plus sur l’utilisation de l’application Studio Classic, consultez [Amazon SageMaker Studio classique](studio.md).
Cette rubrique explique comment masquer les types d'instances Amazon SageMaker AI et les images affichées dans l'interface utilisateur (UI) d'Amazon SageMaker Studio. Pour obtenir des informations sur l’interface utilisateur de Studio, consultez [Présentation de l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui.md).
Lorsque vous masquez des types d'instances d' SageMaker IA et des images :
+ Les utilisateurs affectés ne pourront pas visualiser les ressources cachées dans l’interface utilisateur de Studio.
+ Les utilisateurs affectés ne seront pas en mesure d’exécuter ni de créer un nouvel espace avec les configurations masquées.
+ Les espaces actuellement en cours d’exécution pour les utilisateurs affectés ne seront pas concernés.
+ Lorsqu’un utilisateur affecté tente d’exécuter un espace contenant des ressources masquées, il est averti que les ressources pertinentes ont été désactivées par l’administrateur.
**Note**
Si, au lieu de les *masquer*, vous souhaitez *limiter* les types d’instances accessibles aux utilisateurs par le biais d’une politique Gestion des identités et des accès AWS , consultez :
[Puis-je limiter le type d'instances que les data scientists peuvent lancer pour des postes de formation dans le domaine de l' SageMaker IA ?](https://repost.aws/questions/QUd77APmdHTx-2FZCvZfS6Qg/can-i-limit-the-type-of-instances-that-data-scientists-can-launch-for-training-jobs-in-sagemaker) dans AWS Re:post.
[Limiter les types d'instances sur Amazon SageMaker AI via la politique IAM](https://stackoverflow.com/questions/76426316/limiting-instances-types-on-aws-sagemaker-via-iam-policy) dans StackOverflow.
La fonctionnalité de personnalisation de l'interface utilisateur de Studio n'est pas disponible dans Amazon SageMaker Studio Classic.
Vous pouvez personnaliser l’interface utilisateur de Studio au niveau du domaine et au niveau de l’utilisateur :
+ La personnalisation au niveau du domaine définit la valeur par défaut pour tous les utilisateurs du domaine.
+ La personnalisation au niveau de l’utilisateur aura la priorité sur les paramètres au niveau du domaine.
Utilisez les rubriques suivantes pour en apprendre davantage sur les différents niveaux de personnalisation et sur la manière de les appliquer.
**Topics**
+ [Masquage des types d’instances et des images au niveau du domaine](studio-updated-ui-customize-instances-images-domain.md)
+ [Masquage des types d’instances et des images au niveau de l’utilisateur](studio-updated-ui-customize-instances-images-user.md)
# Masquage des types d’instances et des images au niveau du domaine
Ce qui suit explique comment utiliser la console pour définir des règles visant à empêcher l'affichage des types d'instances et des images Amazon SageMaker AI dans l'interface utilisateur Amazon SageMaker Studio Classic *au niveau du domaine*. Pour de plus amples informations, veuillez consulter [Masquer les types d'instances et les images dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-instances-images.md).
Une fois ces modifications apportées au niveau du domaine :
+ Ces modifications n’affecteront aucun espace actuellement ouvert.
+ Ces modifications affecteront la visibilité *par défaut* des utilisateurs du domaine à partir de ce moment.
Ces paramètres par défaut s’appliquent à tous les utilisateurs du domaine dont ces modifications *n’ont pas* été apportées à leurs paramètres d’utilisateur individuel.
+ Les paramètres au niveau de l’utilisateur sont prioritaires sur les paramètres au niveau du domaine.
La fonctionnalité de personnalisation de l'interface utilisateur de Studio n'est pas disponible dans Amazon SageMaker Studio Classic.
## Instructions pour masquer les types d’instances et les images au niveau du domaine (console)
**Pour masquer les types d’instances et les images dans l’interface utilisateur de Studio au niveau du domaine (console)**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez le lien vers le domaine que vous souhaitez modifier.
1. Sur la page **Détails du domaine**, choisissez **Paramètres de domaine**.
1. Dans l’onglet **Paramètres de domaine**, vous pouvez consulter les règles du domaine dans la section **Règles de domaine**.
1. Dans la section **Règles de domaine**, choisissez **Gérer les règles**.
1. Sur la page **Gérer les règles de domaine**, choisissez un **type de règle**.
Notez que les types d’instances ne sont pas tous disponibles dans toutes les Régions AWS.
1. Si vous choisissez le **type d'instance**, vous pouvez utiliser l'action **Masquer** pour masquer les types d'instances SageMaker AI que vous choisissez dans la liste déroulante sous **Types d'instances**.
1. Si vous choisissez **Image**, vous pouvez utiliser l'action **Masquer** pour masquer les SageMaker images de votre choix dans la liste déroulante située sous **Image**.
1. (Facultatif) Choisissez **\$1 Ajouter une nouvelle règle** pour ajouter d’autres règles.
1. Une fois que vous avez passé en revue vos modifications, choisissez **Soumettre**.
Une fois que vous avez terminé, une bannière verte contenant un message de réussite s’affiche en haut de la page.
## Instructions pour masquer les types d’instances et les images au niveau du domaine (AWS CLI)
**Note**
Pour utiliser cette fonctionnalité, vous devrez peut-être effectuer une mise à jour vers la dernière AWS CLI version. Pour plus d’informations, consultez [Installation ou mise à jour de la version la plus récente de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Vous pouvez utiliser le AWS CLI pour personnaliser les instances et les images d' SageMaker IA affichées dans l'interface utilisateur de Studio au niveau du domaine, en utilisant [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html). `HiddenInstanceTypes`À utiliser pour masquer les types d'instances et `HiddenSageMakerImageVersionAliases` pour masquer les SageMaker images.
Notez que lorsque vous utilisez `HiddenSageMakerImageVersionAliases` :
+ L’API accepte uniquement les versions mineures `VersionAliases` (telles que `1.9`), et non pas les versions de correctif (telles que `1.9.1`).
+ Vous pouvez saisir des versions non publiées via la CLI ou le kit SDK. Toutefois, ces versions ne seront pas affichées dans la console et seront remplacées une fois les règles modifiées via la console.
Dans l'exemple suivant, pour l'éditeur de code, basé sur Code-OSS, Visual Studio Code - Open Source et JupyterLab les éléments suivants sont masqués par défaut pour les utilisateurs dans le domaine : `domainId`
+ Types d’instances `ml.r6id.24xlarge` et `ml.r6id.32xlarge`.
+ Versions `1.9` et `1.8` de l’image `sagemaker_distribution`.
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
Notez que les types d’instances ne sont pas tous disponibles dans toutes les Régions AWS.
# Masquage des types d’instances et des images au niveau de l’utilisateur
**Avertissement**
La personnalisation d’un profil utilisateur est une action permanente. Si des paramètres personnalisés sont enregistrés, ce profil utilisateur remplacera les paramètres du domaine et ne sera plus mis à jour dynamiquement avec le domaine à l’avenir.
Ce qui suit explique comment utiliser la console pour définir des règles visant à empêcher l'affichage des types d'instances et des images Amazon SageMaker AI dans l'interface utilisateur Amazon SageMaker Studio Classic *au niveau de l'utilisateur*. Pour de plus amples informations, veuillez consulter [Masquer les types d'instances et les images dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-instances-images.md).
Ces paramètres sont prioritaires sur les paramètres au niveau du domaine.
La fonctionnalité de personnalisation de l’interface utilisateur de Studio n’est pas disponible dans Studio Classic.
## Instructions pour masquer les types d’instances et les images au niveau de l’utilisateur (console)
**Pour masquer les types d’instances et les images dans l’interface utilisateur de Studio au niveau de l’utilisateur (console)**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, choisissez le lien vers le domaine que vous souhaitez modifier.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Profils utilisateur**.
1. Dans la section **Profils utilisateur**, choisissez le lien vers le profil utilisateur que vous souhaitez modifier.
1. Dans l’onglet Détails de l’utilisateur, vous pouvez consulter les règles appliquées à l’utilisateur dans la section Règles du profil utilisateur.
1. Dans la section Règles du profil utilisateur, choisissez Gérer les règles.
1. Sur la page Gérer les règles de profil utilisateur, choisissez un type de règle.
Notez que les types d’instances ne sont pas tous disponibles dans toutes les Régions AWS.
1. Si vous choisissez le **type d'instance**, vous pouvez utiliser l'action **Masquer** pour masquer les types d'instances SageMaker AI que vous choisissez dans la liste déroulante sous **Types d'instances**.
1. Si vous choisissez **Image**, vous pouvez utiliser l'action **Masquer** pour masquer les SageMaker images de votre choix dans la liste déroulante située sous **Image**.
1. (Facultatif) Choisissez **\$1 Ajouter une nouvelle règle** pour ajouter d’autres règles.
1. Une fois que vous avez passé en revue vos modifications, choisissez **Soumettre**.
Une fois que vous avez terminé, une bannière verte contenant un message de réussite s’affiche en haut de la page.
## Instructions pour masquer les types d’instances et les images au niveau de l’utilisateur (AWS CLI)
**Note**
Pour utiliser cette fonctionnalité, vous devrez peut-être effectuer une mise à jour vers la dernière AWS CLI version. Pour plus d’informations, consultez [Installation ou mise à jour de la version la plus récente de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Vous pouvez utiliser le AWS CLI pour personnaliser les applications et les outils ML affichés dans Studio au niveau de l'utilisateur, en utilisant [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html). `HiddenInstanceTypes`À utiliser pour masquer les types d'instances et `HiddenSageMakerImageVersionAliases` pour masquer les SageMaker images.
Notez que lorsque vous utilisez `HiddenSageMakerImageVersionAliases` :
+ L’API accepte uniquement les versions mineures `VersionAliases` (telles que `1.9`), et non pas les versions de correctif (telles que `1.9.1`).
+ Vous pouvez saisir des versions non publiées via la CLI ou le kit SDK. Toutefois, ces versions ne seront pas affichées dans la console et seront remplacées une fois les règles modifiées via la console.
Dans l'exemple suivant, pour l'éditeur de code, basé sur Code-OSS, Visual Studio Code - Open Source et JupyterLab les éléments suivants sont masqués pour l'utilisateur du `userProfileName` domaine : `domainId`
+ Types d’instances `ml.r6id.24xlarge` et `ml.r6id.32xlarge`.
+ Versions `1.9` et `1.8` de l’image `sagemaker_distribution`.
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
Notez que les types d’instances ne sont pas tous disponibles dans toutes les Régions AWS.
# Présentation de plusieurs domaines
**Important**
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L’autorisation d’ajouter des balises aux ressources est requise, car Studio et Studio Classic balisent automatiquement toutes les ressources qu’ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter [Fournir des autorisations pour le balisage des ressources d' SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)qui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Le fait de disposer de plusieurs domaines Amazon SageMaker AI simplifie la gestion des flux de travail d'apprentissage automatique pour les administrateurs d'entreprises ayant des unités commerciales, des équipes ou des projets variés. Chaque domaine agit comme un environnement logiquement distinct, doté de ses propres configurations, paramètres et contrôles d’accès utilisateur. Cette compartimentation permet aux organisations d’imposer des limites claires entre les différents groupes, équipes ou cas d’utilisation, améliorant ainsi la capacité à allouer en toute sécurité les ressources et les autorisations AWS à un niveau large et granulaire.
Vous trouverez ci-dessous des informations sur la création de plusieurs domaines.
+ Amazon SageMaker AI prend en charge la création de plusieurs domaines Amazon SageMaker AI en un seul Région AWS pour chaque compte.
+ Les domaines supplémentaires d'un Région AWS ont les mêmes caractéristiques et capacités que le premier domaine d'une région.
+ Chaque domaine peut avoir des paramètres de domaine distincts.
+ Le même profil utilisateur ne peut pas être ajouté à plusieurs domaines d’une même région au sein d’un même compte.
Pour plus d'informations sur les limites de domaine, consultez la section [Points de terminaison et quotas Amazon SageMaker AI](https://docs.aws.amazon.com//general/latest/gr/sagemaker.html).
Les rubriques suivantes fournissent des informations sur l’utilisation des balises pour votre domaine.
**Topics**
+ [Propagation automatique des balises](domain-multiple-tag.md)
+ [Fonctionnement du filtrage de l’affichage des ressources du domaine](domain-multiple-filtering.md)
+ [Remplissage des balises du domaine](domain-multiple-backfill.md)
# Propagation automatique des balises
Les balises vous permettent de classer et d’étiqueter vos ressources en fonction de différents critères, tels que le projet, l’équipe, l’environnement (par exemple, développement, phase intermédiaire et production) ou d’autres métadonnées personnalisées. Vous pouvez baliser automatiquement les ressources en fonction de votre domaine lorsqu’elles sont créées dans votre domaine. Cela facilite l’identification et la gestion de vos ressources dans tous vos domaines. Vous pouvez également utiliser ces balises pour la répartition des coûts en utilisant AWS Billing and Cost Management. Pour plus d'informations, consultez la section [Utilisation des balises de répartition des AWS coûts](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/cost-alloc-tags.html).
Par défaut, toutes les ressources d' SageMaker IA qui prennent en charge le balisage et qui sont créées depuis l'interface utilisateur Amazon SageMaker Studio ou Amazon SageMaker Studio Classic après le 30 novembre 2022 sont automatiquement étiquetées avec une balise ARN de domaine. La balise d’ARN de domaine est basée sur l’ID de domaine du domaine dans lequel la ressource est créée.
Pour compléter vos ressources d' SageMaker IA, vous pouvez ajouter le `sagemaker:domain-arn` tag aux ressources non étiquetées en suivant les étapes décrites dans. [Remplissage des balises du domaine](domain-multiple-backfill.md)
La liste suivante décrit les seules ressources d' SageMaker IA qui *ne prennent pas* en charge la propagation automatique des balises, ainsi que les appels d'API concernés pour lesquels la balise n'est pas renvoyée car elle n'a pas été définie automatiquement.
**Note**
Tous ne prennent SageMaker `List` APIs pas en charge l'isolation des ressources basée sur des balises.
L’application `default`, qui gère l’interface utilisateur de Studio, n’est pas automatiquement balisée.
| SageMaker Ressource d'IA | Appels d’API affectés |
| --- | --- |
| ImageVersionArn | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/domain-multiple-tag.html) |
| ModelCardExportJobArn | [describe-model-card-export-emploi](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-card-export-job.html) |
| ModelPackageArn | [describe-model-package](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-package.html) |
# Fonctionnement du filtrage de l’affichage des ressources du domaine
Amazon SageMaker AI filtre automatiquement les ressources affichées dans Studio ou Studio Classic en fonction du domaine Amazon SageMaker AI. Ce filtrage est effectué à l'aide de la `sagemaker:domain-arn` balise attachée aux ressources d' SageMaker IA. Les ressources créées dans d’autres domaines sont automatiquement masquées.
**Note**
Cela s'applique uniquement à l'interface utilisateur de Studio ou de Studio Classic. SageMaker L'IA ne prend pas en charge le filtrage des ressources à l'aide du AWS CLI par défaut.
Dans Amazon SageMaker Studio ou Amazon SageMaker Studio Classic, vous ne verrez que les ressources qui :
+ ont été créées dans le domaine actuel ;
+ ne sont pas associées à la balise `sagemaker:domain-arn`. Ces ressources non balisées ont été créées en dehors du contexte d’un domaine ou avant le 30/11/2022.
Pour améliorer le filtrage des ressources, vous pouvez ajouter la balise `sagemaker:domain-arn` aux ressources non balisées en suivant les étapes décrites dans [Remplissage des balises du domaine](domain-multiple-backfill.md).
De plus, toutes les ressources créées dans les espaces partagés sont automatiquement filtrées vers cet espace partagé particulier.
# Remplissage des balises du domaine
Vous pouvez améliorer le filtrage des ressources en ajoutant des balises de domaine aux ressources non balisées. Si vous avez des ressources qui ne sont pas balisées, vous pouvez leur associer des balises.
Si vous avez créé des ressources dans un domaine avant le 30 novembre 2022, ces ressources ne sont pas automatiquement balisées avec la balise d’Amazon Resource Name (ARN) du domaine.
Pour attribuer avec précision les ressources à leur domaine respectif, vous devez ajouter la balise de domaine aux ressources existantes à l'aide du AWS CLI, comme suit.
1. Mappez toutes les ressources d' SageMaker IA existantes et leurs ressources respectives ARNs aux domaines qui existent dans votre compte.
1. Exécutez la commande suivante depuis votre ordinateur local pour baliser la ressource avec l’ARN du domaine respectif de la ressource. Cela doit être répété pour chaque ressource d' SageMaker IA de votre compte.
```
aws resourcegroupstaggingapi tag-resources \
--resource-arn-list arn:aws:sagemaker:region:account-id:space/domain-id/space-name \
--tags sagemaker:domain-arn=arn:aws:sagemaker:region:account-id:domain/domain-id
```
# Isolement des ressources de domaine
**Important**
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L’autorisation d’ajouter des balises aux ressources est requise, car Studio et Studio Classic balisent automatiquement toutes les ressources qu’ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter [Fournir des autorisations pour le balisage des ressources d' SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)qui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Vous pouvez isoler les ressources entre chacun des domaines de votre compte à Région AWS l'aide d'une politique Gestion des identités et des accès AWS (IAM). Les ressources isolées ne seront plus accessibles depuis d’autres domaines. Dans cette rubrique, nous aborderons les conditions requises pour la politique IAM et la manière de les appliquer.
Les ressources qui peuvent être isolées par cette politique sont les types de ressources dont les clés de condition contiennent `aws:ResourceTag/${TagKey}` ou `sagemaker:ResourceTag/${TagKey}`. Pour une référence sur les ressources d' SageMaker IA et les clés de condition associées, consultez [Actions, ressources et clés de condition pour Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html).
**Avertissement**
Les types de ressources qui *ne contiennent pas* les clés de condition ci-dessus (et donc les [actions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) qui utilisent les types de ressources) *ne sont pas* affectés par cette politique d’isolement des ressources. Par exemple, le type de ressource [pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) *ne contient pas* les clés de condition ci-dessus et *n’est pas* affecté par cette politique. Par conséquent, les quelques actions suivantes, avec le type de ressource pipeline-execution, *ne sont pas* prises en charge pour l’isolement des ressources :
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
La rubrique suivante explique comment créer une nouvelle politique IAM qui limite l’accès aux ressources du domaine aux profils utilisateur dotés de la balise de domaine, et comment attacher cette politique au rôle d’exécution IAM du domaine. Vous devez répéter ce processus pour chaque domaine de votre compte. Pour plus d’informations sur les balises de domaine et le remplissage de ces balises, consultez [Présentation de plusieurs domaines](domain-multiple.md).
## Console
La section suivante explique comment créer une nouvelle politique IAM qui limite l'accès aux ressources du domaine aux profils utilisateur dotés de la balise de domaine, ainsi que comment associer cette politique au rôle d'exécution IAM du domaine, à partir de la console Amazon SageMaker AI.
**Note**
Cette politique ne fonctionne que dans les domaines qui utilisent Amazon SageMaker Studio Classic comme expérience par défaut.
1. Créez une politique IAM nommée `StudioDomainResourceIsolationPolicy-domain-id` à l’aide du document de politique JSON ci-dessous en suivant les étapes décrites dans [Création de politiques de rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Attachez la politique `StudioDomainResourceIsolationPolicy-domain-id` au rôle d’exécution du domaine en suivant les étapes décrites dans [Modification d’un rôle (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy).
## AWS CLI
La section suivante explique comment créer une nouvelle politique IAM qui limite l’accès aux ressources du domaine aux profils utilisateur dotés de la balise de domaine, et comment attacher cette politique au rôle d’exécution du domaine depuis l’ AWS CLI.
**Note**
Cette politique ne fonctionne que dans les domaines qui utilisent Amazon SageMaker Studio Classic comme expérience par défaut.
1. À partir de votre machine locale, créez un fichier nommé `StudioDomainResourceIsolationPolicy-domain-id` avec le contenu suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Créez une nouvelle politique IAM à l'aide du fichier `StudioDomainResourceIsolationPolicy-domain-id`.
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. Attachez la nouvelle politique à un rôle nouveau ou existant qui est utilisé comme rôle d’exécution du domaine.
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```
# Paramètres par défaut pour les domaines Amazon SageMaker AI
Avec SageMaker l'IA, vous pouvez définir des paramètres par défaut pour vos ressources au niveau du domaine Amazon SageMaker AI. Ces paramètres par défaut sont utilisés lors de la création de ressources au sein du domaine. Les sections suivantes répertorient les paramètres par défaut du domaine et fournissent des informations sur l’utilisation des clés de contexte lors de la définition des valeurs par défaut.
**Topics**
+ [Paramètres par défaut du domaine](#domain-set-defaults-domains)
+ [Clés de contexte](#domain-set-defaults-context)
## Paramètres par défaut du domaine
Vous pouvez définir les valeurs par défaut suivantes lors de la création ou de la mise à jour d’un domaine. Les valeurs transmises au niveau du profil utilisateur et de l’espace partagé remplacent les valeurs par défaut définies au niveau du domaine.
+ [ DefaultUserSettings ](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UserSettings.html)
+ DefaultSpaceSettings
**Note**
`DefaultSpaceSettings`ne prend en charge que l'utilisation de JupyterLab 3 images ARNs pour`SageMakerImageArn`. Pour de plus amples informations, veuillez consulter [JupyterLab Gestion des versions dans Amazon SageMaker Studio Classic](studio-jl.md).
```
"DefaultSpaceSettings": {
"ExecutionRole": "string",
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"KernelGatewayAppSettings": {
"CustomImages": [
{
"AppImageConfigName": "string",
"ImageName": "string",
"ImageVersionNumber": number
}
],
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"SecurityGroups": [ "string" ]
}
```
## Clés de contexte
Vous pouvez ajouter des clés de contexte à la politique IAM qui crée un domaine. Cela limite les valeurs que les utilisateurs peuvent transmettre pour ces champs. La liste suivante indique les clés de contexte prises en charge par le domaine et où elles sont implémentées.
+ `sagemaker:ImageArns`
+ **Mis en œuvre dans le cadre de `DefaultUserSettings` :**`SagemakerImageArn` dans `DefaultUserSettings.JupyterServerAppSettings` et `DefaultUserSettings.KernelGatewayAppSettings`. `CustomImages` dans `DefaultUserSettings.KernelGatewayAppSettings`.
+ **Mis en œuvre dans le cadre de `DefaultSpaceSettings` :**`SagemakerImageArn` dans `DefaultSpaceSettings.JupyterServerAppSettings` et `DefaultSpaceSettings.KernelGatewayAppSettings`. `CustomImages` dans `DefaultSpaceSettings.KernelGatewayAppSettings`.
+ `sagemaker:VpcSecurityGroupIds`
+ **Mis en œuvre dans le cadre de `DefaultUserSettings` :**`SecurityGroups` dans `DefaultUserSettings`.
+ **Mis en œuvre dans le cadre de `DefaultSpaceSettings` :**`SecurityGroups` dans `DefaultSpaceSettings`.
+ `sagemaker:DomainSharingOutputKmsKey`
**Mis en œuvre dans le cadre de `DefaultUserSettings` :**`S3KmsKeyId` dans `DefaultSpaceSettings.SharingSettings`.
Vous ne pouvez pas empêcher les utilisateurs de transmettre des valeurs incompatibles lorsqu'ils utilisent des clés de contexte pour les valeurs par défaut. Par exemple, les valeurs définies pour `SageMakerImageArn` dans le cadre de `DefaultUserSettings` et `DefaultSpaceSettings` doivent être compatibles. Vous ne pouvez pas définir des valeurs par défaut incompatibles.
# Propagation des balises personnalisées
Amazon SageMaker AI permet de propager des balises personnalisées définies au niveau du domaine, du profil utilisateur et de l'espace vers toutes les ressources d' SageMaker IA créées dans le contexte d'Amazon SageMaker Studio, éditeur de code JupyterLab, basé sur Code-OS, Visual Studio Code - Open Source et Amazon Canvas. SageMaker Grâce à la propagation des balises personnalisées, les utilisateurs peuvent propager leurs propres balises personnalisées aux ressources afin d’améliorer le suivi des coûts et de lier les ressources à des projets et à des équipes spécifiques.
Pour activer cette fonctionnalité, utilisez l'`TagPropagation`attribut dans le champ [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)et [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs. La propagation personnalisée des balises ne peut être définie qu’au niveau du domaine, ce qui signifie que tous les utilisateurs et espaces d’un domaine utilisent cette fonctionnalité lorsqu’elle est activée. Il n’est pas possible de modifier les paramètres de propagation des balises personnalisées au niveau du profil utilisateur ou de l’espace. Pour plus d’informations sur l’utilisation de la propagation des balises personnalisées, consultez [Ajout de balises personnalisées aux ressources](custom-tags-add.md).
**Note**
Les balises système ajoutées par AWS les services sur un domaine, un profil utilisateur et un espace ne sont pas propagées.
## Exemples de cas d’utilisation
La propagation des balises personnalisées est particulièrement utile pour les cas d’utilisation suivants.
+ Suivez les coûts de toutes les ressources d' SageMaker IA créées dans Amazon SageMaker Studio.
+ Suivez le coût des ressources d' SageMaker IA créées dans Amazon SageMaker Canvas. Cela inclut les modèles déployés sur un point de terminaison SageMaker AI.
+ Suivez les coûts engagés pour un DataZone projet Amazon en propageant l'ID du DataZone projet Amazon à toutes les ressources créées par Amazon SageMaker Studio.
## Fusion des balises
Lorsque la propagation des balises personnalisées est activée, les ressources créées au niveau du profil utilisateur et de l’espace obtiennent les balises spécifiées au niveau du domaine, ainsi que celles spécifiées lors de la création du profil utilisateur ou de l’espace.
SageMaker Les ressources d'IA sont limitées à 50 balises. Si le nombre de balises ajoutées à une ressource dépasse 50, SageMaker AI renvoie une erreur lors de la création de la ressource. Nous recommandons de limiter le nombre de balises afin d’éviter cela. Supposons, par exemple, qu’un utilisateur possède 25 balises pour son domaine et 30 balises pour son profil utilisateur. Lorsque l’utilisateur crée une ressource, 55 balises au total sont propagées vers la ressource. Le total des balises étant supérieur à 50, la création de la ressource échouera tant que l’utilisateur n’aura pas supprimé au moins 5 balises.
**Note**
Par défaut, l' SageMaker IA ajoute automatiquement le `sagemaker:space-arn` tag `sagemaker:user-profile-arn``sagemaker:domain-arn`, ou aux ressources SageMaker AI. SageMaker L'IA ajoute la balise ARN, que le domaine utilise ou non la propagation de balises personnalisées. Ces balises d’ARN sont également comptabilisées dans la limite de 50 balises.
# Ajout de balises personnalisées aux ressources
La page suivante décrit les étapes nécessaires à l’utilisation de la propagation des balises personnalisées. La propagation des balises personnalisées nécessite les étapes suivantes :
+ Inscription à la propagation des balises personnalisées
+ Ajout de balises personnalisées aux ressources
Lorsque vous activez la propagation des balises personnalisées dans un domaine existant, la propagation des balises ne fonctionne pas pour les applications existantes tant que l’application n’est pas redémarrée. De même, les balises ne sont pas mises à jour sur une ressource existante lorsque de nouvelles balises personnalisées sont ajoutées. Supposons, par exemple, qu’un domaine possède deux balises et qu’un utilisateur crée une ressource dans ce domaine. La ressource possède alors deux balises. Si une nouvelle balise est ajoutée au domaine, elle n’est pas ajoutée à la ressource existante. Toutefois, la nouvelle balise sera attachée à toute nouvelle ressource créée.
## Conditions préalables
+ Les utilisateurs doivent disposer de l’autorisation `sagemaker:AddTags` pour toute création de ressource.
+ Pour les nouveaux domaines créés avec la politique `SageMakerFullAccess` gérée ou à l'aide du gestionnaire de SageMaker rôles, l'`sagemaker:AddTags`autorisation est préremplie.
+ Pour les domaines existants utilisant des Gestion des identités et des accès AWS politiques personnalisées, vous devez mettre à jour les politiques afin d'inclure l'`sagemaker:AddTags`autorisation permettant aux utilisateurs de créer des ressources.
## Inscription à la propagation des balises personnalisées
Le processus d’inscription à la propagation des balises personnalisées varie selon que vous vous inscrivez depuis la console ou depuis l’ AWS CLI. Depuis la console, vous ne pouvez vous inscrire à la propagation des balises personnalisées qu’en mettant à jour un domaine existant. À partir du AWS CLI, vous pouvez opter pour la propagation personnalisée des balises lors de la création d'un domaine ou de la mise à jour d'un domaine existant.
### Inscription à partir de la console
Les étapes suivantes expliquent comment s’inscrire à la propagation des balises personnalisées depuis la console. Vous ne pouvez vous inscrire à la propagation des balises personnalisées qu’en mettant à jour un domaine existant.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, sélectionnez **Configurations d’administrateur**. Sous **Configurations d’administrateur**, sélectionnez **Domaines**.
1. Sur la page **Domaines**, sélectionnez le domaine pour lequel vous souhaitez activer la propagation des balises personnalisées.
1. Sur la page **Domain details** (Détails du domaine), sélectionnez l’onglet **Domain settings** (Paramètres du domaine).
1. Dans l’onglet **Paramètres du domaine**, accédez à **Propagation des balises personnalisées**.
1. Tâche de sélection **Modifier**.
1. Sur la page **Modifier la propagation des balises personnalisées**, sélectionnez **Propagation automatique des balises personnalisées**
1. Sélectionnez **Soumettre**.
### Inscrivez-vous à l'aide du AWS CLI
Pour activer la propagation personnalisée des balises à l'aide de AWS CLI, utilisez l'`TagPropagation`attribut dans le [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)et [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs. Par défaut, la valeur de ce champ est `DISABLED`. Une valeur vide définit également par défaut `DISABLED`. L’exemple suivant montre comment activer la propagation des balises personnalisées.
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation ENABLED
```
## Ajout de balises personnalisées
Le processus d’ajout de la propagation des balises personnalisées varie selon que vous les ajoutez depuis la console ou depuis l’ AWS CLI.
### Ajout depuis la console
Les étapes suivantes expliquent comment ajouter des balises personnalisées à un domaine depuis la console.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, sélectionnez **Configurations d’administrateur**. Sous **Configurations d’administrateur**, sélectionnez **Domaines**.
1. Sur la page **Domaines**, sélectionnez le domaine auquel vous souhaitez ajouter des balises personnalisées.
1. Sur la page **Domain details** (Détails du domaine), sélectionnez l’onglet **Domain settings** (Paramètres du domaine).
1. Dans l’onglet **Paramètres du domaine**, accédez à **Balises**.
1. Tâche de sélection **Modifier**.
1. Sur la page **Balises**, sélectionnez **Ajouter une balise**. Ajoutez une paire clé/valeur pour la balise personnalisée.
1. Cliquez sur **Enregistrer**. Cette balise personnalisée est désormais propagée aux ressources d' SageMaker IA créées dans le domaine.
Les étapes suivantes expliquent comment ajouter des balises personnalisées à un profil utilisateur depuis la console.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, sélectionnez **Configurations d’administrateur**. Sous **Configurations d’administrateur**, sélectionnez **Domaines**.
1. Sur la page **Domaines**, sélectionnez le domaine contenant le profil utilisateur auquel vous souhaitez ajouter des balises personnalisées.
1. Sur la page **Détails du domaine**, sélectionnez l’onglet **Profils utilisateur**.
1. Dans l’onglet **Profils utilisateur**, sélectionnez le profil utilisateur auquel vous souhaitez ajouter des balises personnalisées.
1. Dans l’onglet **Détails de l’utilisateur**, accédez à la section **Détails**.
1. Tâche de sélection **Modifier**.
1. Dans la section **Balises**, sélectionnez **Ajouter une balise**. Ajoutez une paire clé/valeur pour la balise personnalisée.
1. Sélectionnez **Soumettre**. Cette balise personnalisée est désormais propagée aux ressources d' SageMaker IA créées dans le domaine.
### Ajoutez à l'aide du AWS CLI
Après avoir activé la propagation des balises personnalisées, vous pouvez ajouter des balises personnalisées AWS CLI au niveau du domaine, du profil utilisateur ou de l'espace lors de la création ou de la mise à jour. La méthode d’ajout des balises personnalisées varie selon que vous créez une nouvelle ressource ou que vous ajoutez des balises à une ressource existante.
L’exemple suivant montre comment ajouter des balises personnalisées au niveau du domaine lors de la création.
```
aws sagemaker create-domain \
--domain-name domain-id \
--auth-mode IAM \
--default-user-settings '{"ExecutionRole": "execution-role"}' \
--subnet-ids subnet-id \
--vpc-id vpc-id \
--tags Key=key,Value=value \
--tag-propagation ENABLED
```
Vous devez utiliser l'[AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)API pour ajouter des balises personnalisées pour le domaine, le profil utilisateur et les espaces existants, comme suit.
```
aws sagemaker add-tags \
--resource-arn resource-arn-to-attach-tags \
--tags Key=key, Value=value
```
# Annulation de l’inscription à la propagation des balises personnalisées
Le processus de désactivation de la propagation des balises personnalisées varie selon que vous le désactivez depuis la console ou depuis l’ AWS CLI.
## Désactivation à partir de la console
Les étapes suivantes expliquent comment désactiver la propagation des balises personnalisées depuis la console. Vous ne pouvez désactiver la propagation des balises personnalisées qu’en mettant à jour un domaine existant.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, sélectionnez **Configurations d’administrateur**. Sous **Configurations d’administrateur**, sélectionnez **Domaines**.
1. Sur la page **Domaines**, sélectionnez le domaine pour lequel vous souhaitez désactiver la propagation des balises personnalisées.
1. Sur la page **Domain details** (Détails du domaine), sélectionnez l’onglet **Domain settings** (Paramètres du domaine).
1. Dans l’onglet **Paramètres du domaine**, accédez à **Propagation des balises personnalisées**.
1. Tâche de sélection **Modifier**.
1. Sur la page **Modifier la propagation des balises personnalisées**, sélectionnez **Propagation automatique des balises personnalisées**
1. Sélectionnez **Soumettre**.
## Désinscrivez-vous en utilisant le AWS CLI
Pour désactiver la propagation des balises personnalisées, définissez l'`TagPropagation`attribut dans le [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)et [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs sur, `DISABLED` comme indiqué dans l'exemple suivant. Par défaut, la valeur de ce champ est`DISABLED`. Une valeur vide définit également par défaut `DISABLED`.
**Note**
La propagation des balises n’est pas automatiquement désactivée pour les applications existantes lorsque `TagPropagation` a pour valeur `DISABLED`. Les applications doivent être redémarrées pour que la désactivation soit prise en compte pour les applications existantes.
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation DISABLED
```
# Ajout d’un système de fichiers personnalisé à un domaine
Lorsque vous créez un domaine, Amazon SageMaker AI ajoute un volume par défaut Amazon Elastic File System (Amazon EFS) au domaine. SageMaker AI crée ce volume pour vous. Vous avez également la possibilité d'ajouter un système de fichiers Amazon EFS personnalisé ou Amazon FSx for Lustre personnalisé que vous avez créé. Une fois que vous l’avez ajouté, votre système de fichiers est mis à la disposition des utilisateurs appartenant à votre domaine. Vos utilisateurs peuvent accéder au système de fichiers lorsqu'ils utilisent Amazon SageMaker Studio. Ils peuvent attacher le système de fichiers aux espaces qu’ils créent pour les applications prises en charge suivantes :
+ JupyterLab
+ Éditeur de code
Après avoir exécuté un espace et démarré l’application, vos utilisateurs peuvent accéder à toutes les données, codes ou autres artefacts contenus dans votre système de fichiers.
Vous pouvez permettre à vos utilisateurs d’accéder à votre système de fichiers de différentes manières :
+ Par le biais d’*espaces partagés* : un espace partagé peut être créé par n’importe quel utilisateur appartenant à votre domaine. Il peut ensuite être utilisé par n’importe quel utilisateur appartenant à votre domaine.
+ Par le biais d’*espaces privés* : un espace privé peut être créé par n’importe quel utilisateur appartenant à votre domaine. Ensuite, il ne peut être utilisé que par cet utilisateur.
+ Exclusivement en tant qu’utilisateur individuel : si vous ne souhaitez pas permettre à tous vos utilisateurs d’accéder au système de fichiers, vous pouvez permettre à un seul utilisateur spécifique d’y accéder. Dans ce cas, le système de fichiers n’est disponible que dans les espaces privés créés par cet utilisateur spécifique.
Vous pouvez ajouter un système de fichiers personnalisé en utilisant l' SageMaker API Amazon, le AWS SDKs, ou le AWS CLI. Vous ne pouvez pas ajouter de système de fichiers personnalisé à l'aide de la console SageMaker AI.
## Conditions préalables
Pour pouvoir ajouter un système de fichiers personnalisé à un domaine, vous devez remplir les conditions suivantes :
+ Vous avez un domaine en SageMaker IA. Avant de pouvoir ajouter un système de fichiers, vous avez besoin de l’ID du domaine. Vous pouvez rechercher l'identifiant à l'aide de la console SageMaker AI. Vous pouvez également exécuter la commande [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html) avec l’ AWS CLI.
+ Vous avez un système de fichiers Amazon EFS ou FSx for Lustre dans votre Compte AWS.
------
#### [ For Amazon EFS ]
+ Pour connaître les étapes de création d’un Amazon EFS, consultez [Création de votre système de fichiers Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/gs-step-two-create-efs-resources.html) dans le *Guide de l’utilisateur Amazon Elastic File System*.
+ Avant que Studio puisse accéder à votre système de fichiers, il doit disposer d’une cible de montage dans chacun des sous-réseaux que vous associez au domaine. Pour plus d’informations sur l’attribution de cibles de montage à des sous-réseaux, consultez [Création et gestion de cibles de montage et de groupes de sécurité](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) dans le *Guide de l’utilisateur Amazon Elastic File System*.
+ Pour chaque cible de montage, vous devez ajouter le groupe de sécurité créé par Amazon SageMaker AI Compte AWS lors de la création du domaine. Le nom du groupe de sécurité est au format `security-group-for-inbound-nfs-domain-id`. Pour obtenir des instructions sur la façon d’obtenir l’ID de votre domaine, consultez [Visualisation des domaines](domain-view.md).
+ Vos autorisations IAM doivent vous permettre d’utiliser l’action `elasticfilesystem:DescribeMountTargets`. Pour plus d’informations sur cette action, consultez [Actions, ressources et clés de condition pour Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html) dans la *Référence de l’autorisation de service*.
------
#### [ For FSx for Lustre ]
+ Pour connaître les étapes de création d'un système de fichiers FSx pour Lustre, consultez [Getting started with Amazon FSx for Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/getting-started.html.html) dans le *guide de l'utilisateur d'Amazon FSx for Lustre*. Assurez-vous que le système de fichiers FSx for Lustre existe dans :
+ le même réseau Amazon VPC que votre domaine ;
+ l’un des sous-réseaux présents dans votre domaine.
+ Avant que Studio puisse accéder au système de fichiers FSx for Lustre, vous devez ajouter le groupe de sécurité de votre domaine à toutes les interfaces réseau élastiques (ENIs) de votre système de fichiers FSx for Lustre. Sans cette étape, la création de l’application échoue et renvoie une erreur. Suivez les instructions ci-dessous pour ajouter le groupe de sécurité de domaine à votre système de fichiers FSx for Lustre ENIs.
**Ajoutez votre groupe de sécurité de domaine au système FSx de fichiers Lustre ENIs (console)**
1. Accédez à la [ FSxconsole Amazon](https://console.aws.amazon.com/fsx).
1. Choisissez **File Systems (Systèmes de fichiers)**.
1. Choisissez votre système de fichiers FSx for Lustre en utilisant le lien correspondant sous **ID du système de fichiers**.
1. Si ce n’est pas déjà fait, choisissez l’onglet **Réseau et sécurité**.
1. Sous **Sous-réseau**, choisissez **Pour voir toutes les ENI, consultez la console Amazon EC2**. Cela vous mènera à la console Amazon EC2 et affichera tous les ENIs liens vers votre système de fichiers FSx for Lustre.
1. Pour chaque interface ENI :
1. Choisissez l’ENI en choisissant le lien correspondant sous **ID d’interface réseau**.
1. Choisissez **Actions** en haut à droite de la page de résumé pour développer un menu déroulant.
1. Dans le menu déroulant, choisissez **Choisir un groupe de sécurité**.
1. Recherchez votre groupe de sécurité de domaine.
Le nom du groupe de sécurité est au format `security-group-for-inbound-nfs-domain-id`. Pour obtenir des instructions sur la façon d’obtenir l’ID de votre domaine, consultez [Visualisation des domaines](domain-view.md).
1. Choisissez **Ajouter un groupe de sécurité**.
------
## Ajouter un système de fichiers personnalisé à un domaine avec AWS CLI
Pour ajouter un système de fichiers personnalisé à un domaine ou à un profil utilisateur avec le AWS CLI, vous devez transmettre une `CustomFileSystemConfigs` définition lorsque vous utilisez l'une des commandes suivantes :
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html)
Les exemples suivants montrent comment ajouter un système de fichiers à un domaine ou un profil utilisateur existant.
**Pour ajouter un système de fichiers accessible dans les espaces partagés**
+ Mettez à jour les paramètres d’espace par défaut pour votre domaine. L’exemple suivant ajoute les paramètres du système de fichiers aux paramètres d’espace par défaut :
```
aws sagemaker update-domain --domain-id domain-id \
--default-space-settings file://file-system-settings.json
```
Cet exemple transmet la configuration du système de fichiers sous forme de fichier JSON, comme indiqué dans un exemple ultérieur.
**Pour ajouter un système de fichiers accessible dans les espaces privés**
+ Mettez à jour les paramètres d’utilisateur par défaut pour votre domaine. L’exemple suivant ajoute les paramètres du système de fichiers aux paramètres d’utilisateur par défaut :
```
aws sagemaker update-domain --domain-id domain-id \
--default-user-settings file://file-system-settings.json
```
Cet exemple transmet la configuration du système de fichiers sous forme de fichier JSON, comme indiqué dans un exemple ultérieur.
**Pour ajouter un système de fichiers accessible uniquement à un utilisateur individuel**
+ Mettez à jour le profil utilisateur de cet utilisateur. L’exemple suivant ajoute les paramètres du système de fichiers à un profil utilisateur :
```
aws sagemaker update-user-profile --domain-id domain-id \
--user-profile-name user-profile-name \
--user-settings file://file-system-settings.json
```
Cet exemple transmet la configuration du système de fichiers sous forme de fichier JSON, comme indiqué dans l’exemple suivant.
**Example fichier de paramètres du système de fichiers**
Le fichier des exemples précédents, `file-system-settings.json`, possède les paramètres suivants :
```
{
"CustomFileSystemConfigs":
[
{
"FSxLustreFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
Cet exemple de configuration possède les clés suivantes :
`CustomFileSystemConfigs`
Paramètres pour les systèmes de fichiers personnalisés (seuls les systèmes de fichiers Amazon EFS sont pris en charge).
`FSxLustreFileSystemConfig`
Paramètres personnalisés FSx pour les systèmes de fichiers Lustre.
`FileSystemId`
ID de votre système de fichiers Amazon EFS.
`FileSystemPath`
Le chemin d’accès au répertoire du système de fichiers accessible aux utilisateurs du domaine dans leurs espaces dans Studio. Les utilisateurs autorisés ne peuvent accéder qu’à ce répertoire et aux répertoires ci-dessous. Le chemin par défaut est la racine du système de fichiers : `/`.
```
{
"CustomFileSystemConfigs":
[
{
"EFSFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
Cet exemple de configuration possède les clés suivantes :
`CustomFileSystemConfigs`
Paramètres pour les systèmes de fichiers personnalisés (seuls les systèmes de fichiers Amazon EFS sont pris en charge).
`EFSFileSystemConfig`
Paramètres des systèmes de fichiers Amazon EFS personnalisés.
`FileSystemId`
ID de votre système de fichiers Amazon EFS.
`FileSystemPath`
Le chemin d’accès au répertoire du système de fichiers accessible aux utilisateurs du domaine dans leurs espaces dans Studio. Les utilisateurs autorisés ne peuvent accéder qu’à ce répertoire et aux répertoires ci-dessous. Le chemin par défaut est la racine du système de fichiers : `/`.
Lorsque vous attribuez un système de fichiers aux paramètres d’espace par défaut d’un domaine, vous devez également inclure le rôle d’exécution dans les paramètres :
```
{
"ExecutionRole": "execution-role-arn"
}
```
Cet exemple de configuration possède la clé suivante :
`ExecutionRole`
Rôle d’exécution par défaut pour les utilisateurs du domaine.
Si vous souhaitez appliquer des autorisations POSIX à votre système de fichiers, vous pouvez également transmettre les paramètres suivants aux commandes `create-domain` et `create-user-profile` :
```
{
"CustomPosixUserConfig":
{
"Uid": UID,
"Gid": GID
}
}
```
Cet exemple de configuration possède les clés suivantes :
`CustomPosixUserConfig`
Identités POSIX par défaut utilisées pour les opérations du système de fichiers. Vous pouvez utiliser ces paramètres pour appliquer votre structure d’autorisation POSIX existante aux profils utilisateur qui accèdent au système de fichiers personnalisé. Au niveau des autorisations POSIX, vous pouvez contrôler quels utilisateurs peuvent accéder au système de fichiers, et à quels fichiers ou données ils peuvent accéder.
Vous pouvez également appliquer les paramètres `CustomPosixUserConfig` lorsque vous créez un profil utilisateur à l’aide de la commande `create-user-profile`. Les paramètres que vous appliquez à un profil utilisateur remplacent ceux que vous appliquez au domaine associé.
Vous pouvez appliquer les paramètres `CustomPosixUserConfig` lorsque vous utilisez les commandes `create-domain` et `create-user-profile`. Toutefois, vous ne pouvez pas appliquer ces paramètres lorsque vous effectuez les opérations suivantes :
+ Vous utilisez la commande `update-domain` pour un domaine déjà associé à un ou plusieurs profils utilisateur. Vous pouvez appliquer ces paramètres uniquement aux domaines sans profil utilisateur.
+ Utilisez la commande `update-user-profile`. Pour appliquer ces paramètres au profil que vous avez déjà créé, supprimez le profil et créez-en un nouveau avec les paramètres mis à jour.
`Uid`
L’ID utilisateur POSIX. La valeur par défaut est 200001.
`Gid`
L’ID du groupe POSIX. La valeur par défaut est 1001.
## Associer un système de fichiers personnalisé à un espace à l'aide du AWS CLI
Après avoir ajouté un système de fichiers personnalisé à un domaine, les utilisateurs du domaine peuvent attacher le système de fichiers aux espaces qu’ils créent. Par exemple, ils peuvent attacher le système de fichiers lorsqu’ils utilisent Studio ou la commande [create-space](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-space.html) avec l’ AWS CLI.
**Pour attacher un système de fichiers personnalisé à un espace**
+ Ajoutez la configuration du système de fichiers aux paramètres d’espace. L’exemple de commande suivant attache un système de fichiers à un nouvel espace.
```
aws sagemaker create-space \
--space-name space-name \
--domain-id domain-id \
--ownership-settings "OwnerUserProfileName=user-profile-name" \
--space-sharing-settings "SharingType=Private" \
--space-settings file://space-settings.json
```
Dans cet exemple, le fichier `space-settings.json` possède les paramètres suivants, qui incluent la configuration `CustomFileSystems` avec la clé `FileSystemId`.
------
#### [ For your FSx for Lustre file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"FSxLustreFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
#### [ For your Amazon EFS file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"EFSFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
SageMaker L'IA crée un lien symbolique au chemin suivant :`/home/sagemaker-user/custom-file-systems/file-system-type/file-system-id`. Ainsi, les utilisateurs du domaine peuvent accéder au système de fichiers personnalisé à partir de leur répertoire personnel, `/home/sagemaker-user`.
# Visualisation des détails de l’environnement de domaine
Cette page fournit des informations sur les modifications apportées à l'environnement de domaine Amazon SageMaker AI. Suivez la procédure ci-dessous pour visualiser les images personnalisées, les configurations de cycle de vie et les référentiels Git attachés à un environnement de domaine.
**Ouvrir la page Environment (Environnement)**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, sélectionnez un domaine pour ouvrir la page **Environnement**.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Environnement**.
Pour plus d'informations sur l'importation d'une image Amazon SageMaker Studio Classic personnalisée, consultez la section [Apportez votre propre SageMaker image](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html).
Pour plus d'informations sur l'ajout d'une RStudio image personnalisée, voir [Apporter votre propre image à RStudio on SageMaker](https://docs.aws.amazon.com/sagemaker/latest/dg/rstudio-byoi.html).
Pour obtenir des instructions sur l'utilisation d'une configuration de cycle de vie avec Studio Classic, consultez [Utiliser les configurations de cycle de vie avec Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lcc.html).
Pour plus d'informations sur l'attachement d'un dépôt Git à un domaine, voir [Attacher des dépôts Git suggérés à SageMaker AI](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-git-attach.html).
Ils peuvent également être attachés à un espace partagé en AWS CLI passant des valeurs à la commande [create-space](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/create-space.html) à l'aide du `space-settings` paramètre.
# Visualisation des domaines
La section suivante explique comment afficher la liste de vos domaines et les détails d'un domaine individuel à partir de la console SageMaker AI ou du AWS CLI.
## Console
La page de présentation des domaines de la console fournit des informations sur la structure d’un domaine et fournit la liste de vos domaines. Le diagramme de structure du domaine sur cette page décrit les composants du domaine et la manière dont ils interagissent les uns avec les autres.
La procédure suivante montre comment afficher la liste de vos domaines à partir de la console SageMaker AI.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
Pour afficher les détails du domaine, appliquez la procédure suivante. Cette page fournit des informations sur les paramètres généraux du domaine, notamment le nom, l’ID de domaine, le rôle d’exécution utilisé pour créer le domaine et la méthode d’authentification du domaine.
1. Dans la liste des domaines, sélectionnez le domaine pour lequel vous souhaitez ouvrir la page des **paramètres du domaine**.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Paramètres du domaine**.
## AWS CLI
Exécutez la commande suivante à partir du terminal de votre ordinateur local pour afficher la liste des domaines depuis l’ AWS CLI.
```
aws sagemaker list-domains --region region
```
# Modification des paramètres du domaine
Vous pouvez modifier les paramètres d'un domaine à partir de la console SageMaker AI ou du AWS CLI. Les considérations suivantes s’appliquent lors de la mise à jour des paramètres d’un domaine.
+ Si `DefaultUserSettings` et `DefaultSpaceSettings` sont définis, ils ne peuvent pas être désactivés.
+ `DefaultUserSettings.ExecutionRole` ne peut être mis à jour que si aucune application n’est en cours d’exécution dans un profil utilisateur au sein du domaine. Cette valeur ne peut pas être désactivée.
+ `DefaultSpaceSettings.ExecutionRole` ne peut être mis à jour que si aucune application n’est en cours d’exécution dans un espace partagé au sein du domaine. Cette valeur ne peut pas être désactivée.
+ Si le domaine a été créé en mode **VPC uniquement**, SageMaker AI applique automatiquement les mises à jour des paramètres du groupe de sécurité définis pour le domaine à tous les espaces partagés créés dans le domaine.
+ `DomainId` et `DomainName` ne peuvent pas être modifiés.
La section suivante explique comment modifier les paramètres de domaine à partir de la console SageMaker AI ou du AWS CLI.
## Console
Vous pouvez modifier le domaine à partir de la console SageMaker AI en suivant la procédure suivante.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, sélectionnez le domaine pour lequel vous souhaitez ouvrir la page des **paramètres du domaine**.
1. Sur la page des **détails du domaine**, vous pouvez configurer et gérer les détails de votre domaine en choisissant l’onglet approprié.
1. Pour configurer les paramètres généraux, sur la page des **détails du domaine**, choisissez l’onglet **Paramètres du domaine**, puis choisissez **Modifier**.
## AWS CLI
Exécutez la commande suivante à partir du terminal de votre ordinateur local pour mettre à jour un domaine depuis l’ AWS CLI. Pour plus d'informations sur la structure de`default-user-settings`, voir [CreateDomain](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateDomain.html#API_CreateDomain_RequestSyntax).
```
aws sagemaker update-domain \
--domain-id domain-id \
--default-user-settings default-user-settings \
--default-space-settings default-space-settings \
--domain-settings-for-update settings-for-update \
--region region
```
# Supprimer un domaine Amazon SageMaker AI
Cette page explique comment supprimer un domaine et les exigences requises. Un domaine se compose d’une liste d’utilisateurs autorisés, de paramètres de configuration et d’un volume Amazon Elastic File System (Amazon EFS). Le volume Amazon EFS contient des données destinées aux utilisateurs, notamment des blocs-notes, des ressources et des artefacts. Un utilisateur peut disposer de plusieurs applications prenant en charge l’expérience de lecture et d’exécution des blocs-notes, terminaux et consoles de l’utilisateur. Vous pouvez supprimer votre domaine à l'aide de l'une des options suivantes :
+ AWS console
+ AWS Command Line Interface (AWS CLI)
+ SageMaker SDK
## Exigences
Pour supprimer un domaine, vous devez satisfaire aux exigences suivantes.
+ Vous devez disposer de l’autorisation d’administrateur pour supprimer un domaine.
+ Vous ne pouvez supprimer qu’une application dont le statut `InService` s’affiche en tant que **Prêt** dans le domaine. Pour supprimer le domaine contenant, vous n’avez pas besoin de supprimer une application dont le statut est `Failed`. Dans le domaine, une tentative de suppression d’une application en état d’échec entraîne une erreur.
+ Pour supprimer un domaine, ce dernier ne doit pas contenir de profils utilisateur ni d’espaces partagés. Pour supprimer un profil utilisateur ou un espace partagé, le profil utilisateur ou l'espace ne peut contenir aucune application n'ayant pas échoué.
Lorsque vous supprimez ces ressources, il se produit les événements suivants :
+ App (Appli) – Les données (fichiers et blocs-notes) du répertoire de base d'un utilisateur sont enregistrées. Les données de bloc-notes non enregistrées sont perdues.
+ Profil utilisateur : l’utilisateur ne peut plus se connecter au domaine. L'utilisateur perd l'accès à son répertoire de base, mais les données ne sont pas supprimées. Un administrateur peut récupérer les données à partir du volume Amazon EFS où elles sont stockées sous le Compte AWS de l'utilisateur.
+ Pour basculer des modes d’authentification IAM vers IAM Identity Center, vous devez supprimer le domaine.
## Fichiers EFS
Vos fichiers sont conservés dans un volume Amazon EFS en tant que sauvegarde. Cette sauvegarde inclut les fichiers du répertoire monté, qui est `/home/sagemaker-user` destiné à Amazon SageMaker Studio Classic et `/root` aux noyaux.
Lorsque vous supprimez des fichiers de ces répertoires montés, le noyau ou l’application peut déplacer les fichiers supprimés dans un dossier corbeille caché. Si le dossier de la corbeille se trouve dans le répertoire monté, ces fichiers sont copiés dans le volume Amazon EFS et entraîneront des frais. Pour éviter ces frais Amazon EFS, vous devez identifier et nettoyer l'emplacement du dossier de la corbeille. L'emplacement du dossier de corbeille des applications et des noyaux par défaut est `~/.local/`. Cela peut varier en fonction de la distribution Linux utilisée pour les applications ou les noyaux personnalisés. Pour plus d’informations sur le volume Amazon EFS, reportez-vous à la section [Gérez votre volume de stockage Amazon EFS dans Amazon SageMaker Studio Classic](studio-tasks-manage-storage.md).
Lorsque vous utilisez la console SageMaker AI pour supprimer le domaine, le volume Amazon EFS est détaché mais pas supprimé. Le même comportement se produit par défaut lorsque vous utilisez le SDK AWS CLI ou le SDK SageMaker Python pour supprimer le domaine. Toutefois, lorsque vous utilisez le SDK AWS CLI ou le SDK SageMaker Python, vous pouvez `RetentionPolicy` définir `HomeEfsFileSystem=Delete` le sur. Cela supprime le volume Amazon EFS ainsi que le domaine.
## Supprimer un domaine Amazon SageMaker AI (console)
**Important**
Lorsqu’un utilisateur, un espace ou un domaine est supprimé, le volume Amazon EFS contenant les données correspondantes est perdu. Cela inclut les blocs-notes et d’autres artefacts.
**Pour supprimer un domaine**
1. Ouvrez la [console SageMaker AI](https://console.aws.amazon.com/sagemaker/).
1. Dans le volet de navigation de gauche, choisissez **Configurations d’administrateur** pour développer les options, si ce n’est pas déjà fait.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Sélectionnez le lien du nom du domaine que vous voulez supprimer.
1. Choisissez l’onglet **Profils utilisateurs**.
1. Répétez les étapes suivantes pour chaque utilisateur de la liste **User profiles** (Profils utilisateur).
1. Choisissez le lien du nom de l’utilisateur.
1. Choisissez l’onglet **Détails de l’utilisateur** s’il n’est pas déjà sélectionné.
1. Recherchez des applications et des espaces, puis choisissez **Supprimer** dans la colonne **Action** correspondante.
1. Suivez les instructions de suppression.
1. Une fois que l’ensemble des applications et des espaces ont le **statut** **Supprimé**, choisissez **Supprimer** en haut à droite de la page.
1. Suivez les instructions de suppression.
1. Lorsque tous les utilisateurs sont supprimés, sélectionnez l’onglet **Space management** (Gestion de l’espace).
1. Répétez les étapes suivantes pour chaque espace de la liste **Espaces**.
1. Sélectionnez la bulle correspondant à l’espace.
1. Sélectionnez **Delete (Supprimer)**.
1. Suivez les instructions de suppression.
1. Lorsque tous les utilisateurs et les espaces sont supprimés, choisissez l’onglet **Paramètres du domaine**.
1. Recherchez la section **Supprimer le domaine**.
1. Choisissez **Delete domain (Supprimer le domaine)**. Si ce bouton n’est pas disponible, vous devez répéter les étapes précédentes pour supprimer tous les espaces et tous les utilisateurs.
1. Suivez les instructions de suppression.
## Supprimer un domaine Amazon SageMaker AI (AWS CLI)
**Pour supprimer un domaine**
1. Récupérez la liste des domaines dans votre compte.
```
aws --region Region sagemaker list-domains
```
1. Récupérez la liste des applications du domaine à supprimer.
```
aws --region Region sagemaker list-apps \
--domain-id-equals DomainId
```
1. Supprimez chaque application de la liste.
```
aws --region Region sagemaker delete-app \
--domain-id DomainId \
--app-name AppName \
--app-type AppType \
--user-profile-name UserProfileName
```
1. Récupérez la liste des profils utilisateur dans le domaine.
```
aws --region Region sagemaker list-user-profiles \
--domain-id-equals DomainId
```
1. Supprimez chaque profil utilisateur de la liste.
```
aws --region Region sagemaker delete-user-profile \
--domain-id DomainId \
--user-profile-name UserProfileName
```
1. Récupérez la liste des espaces partagés dans le domaine.
```
aws --region Region sagemaker list-spaces \
--domain-id DomainId
```
1. Supprimez chaque espace partagé de la liste.
```
aws --region Region sagemaker delete-space \
--domain-id DomainId \
--space-name SpaceName
```
1. Supprimez le domaine. Pour supprimer également le volume Amazon EFS, spécifiez `HomeEfsFileSystem=Delete`.
```
aws --region Region sagemaker delete-domain \
--domain-id DomainId \
--retention-policy HomeEfsFileSystem=Retain
```
# Profils utilisateur d’un domaine
Un profil utilisateur représente un utilisateur unique au sein d'un domaine Amazon SageMaker AI. Le profil utilisateur est le principal moyen de référencer un utilisateur à des fins de partage, de création de rapports et d’autres fonctions orientées utilisateur. Cette entité est créée lorsqu'un utilisateur intègre le domaine Amazon SageMaker AI. Un profil utilisateur peut avoir (au maximum) une seule JupyterServer application en dehors du contexte d'un espace partagé. L’application Studio Classic du profil utilisateur est directement associée au profil utilisateur et possède un répertoire Amazon EFS isolé, un rôle d’exécution associé au profil utilisateur et des applications Kernel Gateway. Un profil utilisateur peut également créer d'autres applications à partir de la console ou d'Amazon SageMaker Studio.
**Topics**
+ [Ajouter des profils utilisateur](domain-user-profile-add.md)
+ [Supprimer des profils utilisateur](domain-user-profile-remove.md)
+ [Visualisation des profils utilisateur dans un domaine](domain-user-profile-view.md)
+ [Afficher les détails du profil utilisateur](domain-user-profile-describe.md)
# Ajouter des profils utilisateur
La section suivante explique comment ajouter des profils utilisateur à un domaine à l'aide de la console SageMaker AI ou du AWS CLI.
Une fois qu’un profil utilisateur a été ajouté au domaine, les utilisateurs peuvent se connecter à l’aide d’une URL. Si le domaine utilise AWS IAM Identity Center l'authentification, les utilisateurs reçoivent un e-mail contenant l'URL pour se connecter au domaine. Si le domaine utilise Gestion des identités et des accès AWS, vous pouvez créer une URL pour un profil utilisateur à l'aide de [CreatePresignedDomainUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)
## Ajouter des profils utilisateur depuis la console
Vous pouvez ajouter des profils utilisateur à un domaine depuis la console SageMaker AI en suivant cette procédure.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste de domaines, sélectionnez le domaine auquel vous souhaitez ajouter un profil utilisateur.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Profils utilisateur**.
1. Sélectionnez **Ajouter un utilisateur**. Une nouvelle page s’ouvre.
1. Utilisez le nom par défaut de votre profil utilisateur ou ajoutez un nom personnalisé.
1. Pour **Execution role (Rôle d’exécution)**, choisissez une option dans le sélecteur de rôle. Si vous choisissez **Entrez un ARN de rôle IAM personnalisé**, le rôle doit au minimum être associé à une politique de confiance autorisant l' SageMaker IA à assumer le rôle. Pour plus d'informations, consultez la section [Rôles de l'SageMaker IA](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html).
Si vous choisissez **Créer un rôle**, la boîte de dialogue **Créer un rôle IAM** s’ouvre :
1. Pour **S3 buckets you specify** (Compartiments S3 que vous spécifiez), indiquez des compartiments Amazon S3 supplémentaires auxquels les utilisateurs de vos blocs-notes peuvent accéder. Si vous ne souhaitez pas ajouter d’accès à d’autres compartiments, choisissez **None (Aucun)**.
1. Choisissez **Créer un rôle**. SageMaker L'IA crée un nouveau rôle IAM`AmazonSageMaker-ExecutionPolicy`, auquel est attachée la [AmazonSageMakerFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)politique.
1. (Facultatif) Ajoutez des balises au profil utilisateur. Toutes les ressources créées par le profil utilisateur auront une balise ARN de domaine et une balise ARN de profil utilisateur. La balise ARN de domaine est basée sur l’ID de domaine, tandis que la balise ARN de profil utilisateur est basée sur le nom du profil utilisateur.
1. Choisissez **Suivant**.
1. Dans la section **SageMaker Studio**, vous avez la possibilité de choisir entre la version la plus récente et la version classique de Studio comme expérience par défaut.
+ Si vous choisissez **SageMaker Studio** (recommandé) comme expérience par défaut, l'IDE Studio Classic possède des paramètres par défaut. Pour obtenir des informations sur les paramètres par défaut, consultez [Paramètres par défaut](onboard-quick-start.md#onboard-quick-start-defaults).
Pour obtenir des informations sur Studio, consultez [Amazon SageMaker Studio](studio-updated.md).
+ Si vous choisissez **Studio Classic** comme expérience par défaut, vous pouvez choisir d’activer ou de désactiver le partage des ressources de bloc-notes. Les ressources de bloc-notes incluent des artefacts tels que la sortie des cellules et les référentiels Git. Pour plus d’informations sur les ressources de bloc-notes, consultez [Partager et utiliser un bloc-notes Amazon SageMaker Studio Classic](notebooks-sharing.md).
1. Sous **SageMaker Canvas**, vous pouvez configurer vos paramètres SageMaker Canvas. Pour les instructions et les détails de configuration relatifs à l’intégration, consultez [Commencer à utiliser Amazon SageMaker Canvas](canvas-getting-started.md).
1. Pour la **configuration des autorisations de base Canvas**, indiquez si vous souhaitez établir les autorisations minimales requises pour utiliser l'application SageMaker Canvas.
1. Sous **RStudio**, s'il s'agit d'une RStudio licence, indiquez si vous souhaitez créer l'utilisateur avec l'une des autorisations suivantes :
+ Non autorisé
+ RStudio Administrateur
+ RStudio User
1. Choisissez **Suivant**.
1. Sur la page **Personnaliser l’interface utilisateur de Studio**, vous pouvez personnaliser les applications visualisables et les outils de machine learning (ML) affichés dans Studio. Cette personnalisation masque uniquement les applications et les outils ML dans le volet de navigation de gauche de Studio. Pour obtenir des informations sur l’interface utilisateur de Studio, consultez [Présentation de l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui.md).
Pour en savoir plus sur les applications, consultez [Applications prises en charge dans Amazon SageMaker Studio](studio-updated-apps.md).
La fonctionnalité de personnalisation de l’interface utilisateur de Studio n’est pas disponible dans Studio Classic. Si vous souhaitez définir Studio comme expérience par défaut, choisissez **Précédent** et revenez à l’étape précédente.
1. Choisissez **Suivant**.
1. Après avoir examiné vos modifications, choisissez **Créer un profil utilisateur**.
## Créez des profils d'utilisateurs à partir du AWS CLI
Pour créer un profil utilisateur dans un domaine à partir du AWS CLI, exécutez la commande suivante depuis le terminal de votre machine locale. Pour plus d'informations sur la JupyterLab version disponible ARNs, consultez[Configuration d'une JupyterLab version par défaut](studio-jl.md#studio-jl-set).
```
aws --region region \
sagemaker create-user-profile \
--domain-id domain-id \
--user-profile-name user-name \
--user-settings '{
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"SageMakerImageArn": "sagemaker-image-arn",
"InstanceType": "system"
}
}
}'
```
Vous pouvez utiliser le AWS CLI pour personnaliser les applications et les outils ML affichés dans Studio pour l'utilisateur, en utilisant [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html). Utilisez `HiddenAppTypes` pour masquer les applications et `HiddenMlTools` pour masquer les outils ML. Pour plus d’informations sur la personnalisation de la navigation gauche de l’interface utilisateur de Studio, consultez [Masquer les outils et applications de machine learning dans l'interface utilisateur d'Amazon SageMaker Studio](studio-updated-ui-customize-tools-apps.md). Cette fonctionnalité n’est pas disponible pour Studio Classic.
# Supprimer des profils utilisateur
Toutes les applications lancées par un profil utilisateur et tous les espaces détenus par le profil utilisateur doivent être supprimés pour supprimer le profil utilisateur. La section suivante explique comment supprimer des profils utilisateur d'un domaine à l'aide de la console SageMaker AI ou AWS CLI.
## Supprimer des profils utilisateur depuis la console
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste de domaines, sélectionnez le domaine dans lequel vous souhaitez supprimer un profil utilisateur.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Profils utilisateur**.
1. Sélectionnez le profil utilisateur que vous souhaitez supprimer.
1. Dans la page **Détails de l’utilisateur**, pour chaque application n’ayant pas échoué figurant dans la liste **Applications**, choisissez **Action**.
1. Dans la liste déroulante, choisissez **Delete** (Supprimer).
1. Dans la boîte de dialogue **Delete app** (Supprimer l'application), choisissez **Yes, delete app** (Oui, supprimer l'application). Saisissez *delete* dans le champ de confirmation, puis choisissez **Delete** (Supprimer).
1. Lorsque **Statut** indique **Supprimé** pour toutes les applications, revenez à la page des **détails du domaine** et choisissez l’onglet **Gestion de l’espace**.
1. Supprimez tous les espaces appartenant au profil utilisateur. Pour chaque espace où le profil utilisateur est le propriétaire, sélectionnez l’espace et choisissez **Supprimer**. Pour connaître les étapes détaillées, consultez [Supprimer un espace Studio](studio-updated-running-stop.md#studio-updated-running-stop-space).
1. Retournez à l’onglet **Profils utilisateur** et choisissez **Modifier**.
1. Sur la page **Modifier l’utilisateur**, choisissez **Supprimer l’utilisateur**.
1. Dans la fenêtre contextuelle **Supprimer l’utilisateur**, choisissez **Supprimer un utilisateur**.
1. Saisissez *delete* dans le champ pour confirmer la suppression.
1. Sélectionnez **Delete (Supprimer)**.
## Supprimez les profils utilisateur de AWS CLI
Pour supprimer un profil utilisateur du AWS CLI, supprimez d'abord tous les espaces appartenant au profil utilisateur, puis supprimez le profil utilisateur. Exécutez les commandes suivantes à partir du terminal de votre ordinateur local.
```
# Delete spaces owned by the user profile
aws sagemaker delete-space \
--region region \
--domain-id domain-id \
--space-name space-name
# Delete the user profile
aws sagemaker delete-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# Visualisation des profils utilisateur dans un domaine
La section suivante explique comment afficher une liste de profils utilisateur dans un domaine à partir de la console SageMaker AI ou du AWS CLI.
## Afficher des profils utilisateur depuis la console
Procédez comme suit pour afficher la liste des profils utilisateur du domaine à partir de la console SageMaker AI.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, sélectionnez le domaine dont vous souhaitez afficher la liste des profils utilisateur.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Profils utilisateur**.
## Consultez les profils des utilisateurs à partir du AWS CLI
Pour afficher les profils utilisateur d'un domaine depuis le AWS CLI, exécutez la commande suivante depuis le terminal de votre machine locale.
```
aws sagemaker list-user-profiles \
--region region \
--domain-id domain-id
```
# Afficher les détails du profil utilisateur
La section suivante explique comment afficher les détails d'un profil utilisateur depuis la console SageMaker AI ou le AWS CLI.
## Afficher les détails d’un profil utilisateur depuis la console
Suivez la procédure ci-dessous pour afficher les détails d'un profil utilisateur depuis la console SageMaker AI.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, sélectionnez le domaine dont vous souhaitez afficher la liste des profils utilisateur.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Profils utilisateur**.
1. Sélectionnez le profil utilisateur pour lequel vous souhaitez afficher les détails.
## Consultez les détails du profil utilisateur à partir du AWS CLI
Pour décrire un profil utilisateur à partir du AWS CLI, exécutez la commande suivante depuis le terminal de votre machine locale.
```
aws sagemaker describe-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# Groupes IAM Identity Center dans un domaine
AWS IAM Identity Center est le AWS service recommandé pour gérer l'accès des utilisateurs humains aux AWS ressources. Il s’agit d’un emplacement unique où vous pouvez attribuer à vos utilisateurs un accès cohérent à plusieurs Comptes AWS et applications. Pour plus d’informations sur l’authentification IAM Identity Center, consultez [Qu’est-ce qu’IAM Identity Center ?](https://docs.aws.amazon.com//singlesignon/latest/userguide/what-is.html).
Si vous utilisez AWS IAM Identity Center l'authentification pour votre domaine Amazon SageMaker AI, vous pouvez utiliser les rubriques suivantes pour savoir comment afficher, ajouter et supprimer des groupes et des utilisateurs IAM Identity Center dans un domaine.
**Topics**
+ [Afficher les groupes et les utilisateurs](domain-groups-view.md)
+ [Ajouter des groupes et des utilisateurs](domain-groups-add.md)
+ [Supprimer des groupes](domain-groups-remove.md)
# Afficher les groupes et les utilisateurs
Suivez la procédure ci-dessous pour afficher la liste des groupes et des utilisateurs d'IAM Identity Center depuis la console Amazon SageMaker AI.
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, sélectionnez le domaine pour lequel vous souhaitez ouvrir la page **Paramètres du domaine**.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Groupes**.
# Ajouter des groupes et des utilisateurs
Les sections suivantes montrent comment ajouter des groupes et des utilisateurs à un domaine depuis la console SageMaker AI ou AWS CLI.
**Note**
Si le domaine a été créé avant le 1er octobre 2023, vous ne pouvez ajouter des groupes et des utilisateurs au domaine qu'à partir de la console SageMaker AI.
## SageMaker Console d'IA
Suivez la procédure ci-dessous pour ajouter des groupes et des utilisateurs à votre domaine depuis la console SageMaker AI.
1. Dans l’onglet **Groupes**, choisissez **Attribuer des utilisateurs et des groupes**.
1. Sur la page **Assign users and groups** (Attribuer des utilisateurs et des groupes), sélectionnez les utilisateurs et les groupes que vous souhaitez ajouter.
1. Choisissez **Assign users and groups** (Attribuer des utilisateurs et des groupes).
## AWS CLI
Suivez la procédure ci-dessous pour ajouter des groupes et des utilisateurs à votre domaine à partir de l’AWS CLI.
1. Récupérez le nom `SingleSignOnApplicationArn` du domaine en appelant [describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html). `SingleSignOnApplicationArn` est l’ARN de l’application gérée dans IAM Identity Center.
```
aws sagemaker describe-domain \
--region region \
--domain-id domain-id
```
1. Associez l’utilisateur ou le groupe au domaine. Pour ce faire, transmettez la `SingleSignOnApplicationArn` valeur renvoyée par la commande [describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) en tant que `application-arn` paramètre dans un appel à [create-application-assignment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/create-application-assignment.html).Vous devez également transmettre le type et l'ID de l'entité à associer.
```
aws sso-admin create-application-assignment \
--application-arn application-arn \
--principal-id principal-id \
--principal-type principal-type
```
# Supprimer des groupes
Suivez la procédure ci-dessous pour supprimer des groupes de votre domaine depuis la console SageMaker AI. Pour plus d’informations sur la suppression d’un utilisateur, consultez [Supprimer des profils utilisateur](domain-user-profile-remove.md).
1. Dans l'onglet **Groups** (Groupes), choisissez le groupe que vous voulez supprimer.
1. Choisissez **Unassign groups** (Désaffecter des groupes).
1. Dans la fenêtre contextuelle, choisissez **Yes, unassign groups** (Oui, désaffecter les groupes).
1. Saisissez *unassign* dans le champ.
1. Choisissez **Unassign groups** (Désaffecter des groupes).
# Comprendre les autorisations d’espace de domaine et les rôles d’exécution
Pour de nombreuses applications d' SageMaker IA, lorsque vous démarrez une application d' SageMaker IA dans un domaine, un espace est créé pour l'application. Lorsqu’un profil utilisateur crée un espace, celui-ci assume un rôle Gestion des identités et des accès AWS (IAM) qui définit les autorisations accordées à cet espace. La page suivante fournit des informations sur les types d’espace et les rôles d’exécution qui définissent les autorisations pour l’espace.
Un [rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.
**Note**
Lorsque vous démarrez Amazon SageMaker Canvas or RStudio, il ne crée pas d'espace assumant un rôle IAM. Au lieu de cela, vous modifiez le rôle associé au profil utilisateur pour gérer ses autorisations pour l’application. Pour plus d'informations sur l'obtention du rôle d'un profil utilisateur SageMaker AI, consultez[Obtention du rôle d’exécution d’un utilisateur](sagemaker-roles.md#sagemaker-roles-get-execution-role-user).
Pour SageMaker Canvas, voir[Configuration d'Amazon SageMaker Canvas et gestion des autorisations (pour les administrateurs informatiques)](canvas-setting-up.md).
Pour RStudio, voir[Créez un domaine Amazon SageMaker AI avec RStudio l'application](rstudio-create-cli.md#rstudio-create-cli-domain).
Les utilisateurs peuvent accéder à leurs applications d' SageMaker IA dans un espace partagé ou privé.
**Espaces partagés**
+ Il ne peut y avoir qu’un espace associé à une application. Tous les profils utilisateur du domaine peuvent accéder à un espace partagé. Cela permet à tous les profils utilisateur du domaine d’accéder au même système de stockage de fichiers sous-jacent pour l’application.
+ L’espace partagé bénéficiera des autorisations définies par le **rôle d’exécution par défaut de l’espace**. Si vous souhaitez modifier le rôle d’exécution de l’espace partagé, vous devez modifier le rôle d’exécution par défaut de l’espace.
Pour obtenir des informations sur l’obtention du rôle d’exécution par défaut de l’espace, consultez [Obtention du rôle d’exécution d’un espace](sagemaker-roles.md#sagemaker-roles-get-execution-role-space).
Pour obtenir des informations sur la modification de votre rôle d’exécution, consultez [Modification des autorisations d’accès au rôle d’exécution](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role).
+ Pour en savoir plus sur les espaces partagés, consultez [Collaboration avec des espaces partagés](domain-space.md).
+ Pour créer un espace partagé, consultez [Création d’un espace partagé](domain-space-create.md#domain-space-create-app).
**Espaces privés**
+ Il ne peut y avoir qu’un espace associé à une application. Un espace privé n’est accessible qu’au profil utilisateur qui l’a créé. Cet espace ne peut pas être partagé avec d’autres utilisateurs.
+ L’espace privé assumera le **rôle d’exécution de profil utilisateur** du profil utilisateur qui l’a créé. Si vous souhaitez modifier le rôle d’exécution de l’espace privé, vous devez modifier le rôle d’exécution du profil utilisateur.
Pour obtenir des informations sur l’obtention du rôle d’exécution du profil utilisateur, consultez [Obtention du rôle d’exécution d’un utilisateur](sagemaker-roles.md#sagemaker-roles-get-execution-role-user).
Pour obtenir des informations sur la modification de votre rôle d’exécution, consultez [Modification des autorisations d’accès au rôle d’exécution](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role).
+ Toutes les applications qui prennent en charge les espaces prennent également en charge les espaces privés.
+ Un espace privé pour Studio Classic est déjà créé par défaut pour chaque profil utilisateur.
**Topics**
+ [SageMaker Rôles d'exécution de l'IA](#sagemaker-execution-roles)
+ [Exemple d’autorisations flexibles avec les rôles d’exécution](#sagemaker-execution-roles-example)
## SageMaker Rôles d'exécution de l'IA
Un rôle d'exécution SageMaker AI est un rôle [AWS Identity and Access Management (IAM) attribué à une identité IAM qui effectue des exécutions dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) AI. SageMaker Une [identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) donne accès à un AWS compte et représente un utilisateur humain ou une charge de travail programmatique qui peut être authentifié puis autorisé à effectuer des actions AWS, qui accorde des autorisations à l' SageMaker IA pour accéder à d'autres AWS ressources en votre nom. Ce rôle permet à l' SageMaker IA d'effectuer des actions telles que le lancement d'instances de calcul, l'accès aux données et aux artefacts de modèles stockés dans Amazon S3, ou l'écriture de journaux sur CloudWatch. SageMaker L'IA assume le rôle d'exécution au moment de l'exécution et se voit accorder temporairement les autorisations définies dans la politique du rôle. Le rôle doit contenir les autorisations nécessaires qui définissent les actions que l’identité peut effectuer et les ressources auxquelles elle a accès. Vous pouvez attribuer des rôles à différentes identités afin de proposer une approche souple et précise de la gestion des autorisations et des accès au sein de votre domaine. Pour plus d’informations sur les domaines, consultez [Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md). Par exemple, vous pouvez attribuer des rôles IAM aux éléments suivants :
+ Au **rôle d’exécution du domaine** pour accorder des autorisations étendues à tous les profils utilisateur du domaine.
+ Au **rôle d’exécution de l’espace** pour accorder des autorisations étendues pour un espace partagé au sein du domaine. Tous les profils utilisateur du domaine peuvent accéder aux espaces partagés et utilisent le rôle d’exécution de l’espace lorsqu’ils se trouvent dans l’espace partagé.
+ Au **rôle d’exécution du profil utilisateur** pour accorder des autorisations précises pour les profils utilisateur spécifiques. Un espace privé créé par un profil utilisateur assumera le rôle d’exécution de ce profil utilisateur.
Cela vous permet d’accorder les autorisations nécessaires au domaine tout en respectant le principe des autorisations de moindre privilège pour les profils utilisateur, afin de respecter les [bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) décrites dans le *Guide de l’utilisateur AWS IAM Identity Center *.
Toute modification apportée aux rôles d’exécution peut prendre quelques minutes pour se propager. Pour plus d’informations, consultez [Changement de rôle d’exécution](sagemaker-roles.md#sagemaker-roles-change-execution-role) ou [Modification des autorisations d’accès au rôle d’exécution](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role), respectivement.
## Exemple d’autorisations flexibles avec les rôles d’exécution
Avec les [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), vous pouvez gérer et accorder des autorisations à des niveaux étendus et précis. L’exemple suivant inclut l’octroi d’autorisations au niveau de l’espace et au niveau de l’utilisateur.
Supposons que vous soyez un administrateur configurant un domaine pour une équipe de scientifiques des données. *Vous pouvez autoriser les profils utilisateur du domaine à avoir un accès complet aux compartiments Amazon Simple Storage Service (Amazon S3), à SageMaker exécuter des tâches de formation et à déployer des modèles à l'aide d'une application dans un espace partagé.* Dans cet exemple, vous pouvez créer un rôle IAM appelé « DataScienceTeamRole » avec des autorisations étendues. Vous pouvez ensuite attribuer « DataScienceTeamRole » comme *rôle d'exécution par défaut à l'espace*, en accordant des autorisations étendues à votre équipe. Lorsqu’un profil utilisateur crée un *espace partagé*, cet espace assume le *rôle d’exécution par défaut de l’espace*. Pour obtenir des informations sur l’attribution d’un rôle d’exécution à un domaine existant, consultez [Obtention du rôle d’exécution d’un espace](sagemaker-roles.md#sagemaker-roles-get-execution-role-space).
Au lieu d’autoriser un profil utilisateur individuel quelconque qui travaille dans son propre *espace privé* à avoir un accès complet aux compartiments Amazon S3, vous pouvez restreindre les autorisations d’un profil utilisateur et ne pas l’autoriser à modifier les compartiments Amazon S3. Dans cet exemple, vous pouvez leur donner un accès en lecture aux compartiments Amazon S3 pour récupérer des données, exécuter des tâches de SageMaker formation et déployer des modèles dans leur *espace privé*. Vous pouvez créer un rôle d'exécution au niveau utilisateur appelé DataScientistRole « » avec des autorisations relativement limitées. Vous pouvez ensuite attribuer « DataScientistRole » au *rôle d'exécution du profil utilisateur*, en lui accordant les autorisations nécessaires pour effectuer ses tâches spécifiques de science des données dans le cadre défini. Lorsqu’un profil utilisateur crée un *espace privé*, cet espace assume le *rôle d’exécution de l’utilisateur*. Pour obtenir des informations sur l’attribution d’un rôle d’exécution à un profil utilisateur existant, consultez [Obtention du rôle d’exécution d’un utilisateur](sagemaker-roles.md#sagemaker-roles-get-execution-role-user).
Pour plus d'informations sur les rôles d'exécution de l' SageMaker IA et sur l'ajout d'autorisations supplémentaires à ces rôles, consultez[Comment utiliser les rôles d'exécution de l' SageMaker IA](sagemaker-roles.md).
# Afficher les ressources d' SageMaker IA dans votre domaine
## Utilisez la console SageMaker AI pour consulter les ressources de votre domaine
Vous pouvez consulter les ressources Amazon SageMaker AI dans votre domaine Amazon SageMaker AI à l'aide de la console SageMaker AI. Suivez les instructions ci-dessous pour découvrir comment visualiser les ressources balisées par l’ARN du domaine.
Les SageMaker ressources affichées suivant cette procédure sont celles auxquelles le `sagemaker:domain-arn` tag correspondant est associé. Les ressources non balisées peuvent avoir été créées en dehors du contexte d’un domaine ou avant le 30/11/2022, lorsque les ressources n’étaient pas automatiquement balisées avec l’ARN du domaine. Vous pouvez ajouter une balise aux ressources non balisées pour un meilleur filtrage en suivant les étapes décrites dans [Remplissage des balises du domaine](domain-multiple-backfill.md). Les ressources créées dans d’autres domaines sont automatiquement éliminées par filtrage.
**Note**
Il ne s’agit pas de la liste complète des ressources actives sur votre domaine. Pour toutes les SageMaker ressources actives, voir [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/).
**Pour afficher les ressources d' SageMaker IA de votre domaine à l'aide de la console**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Développez le volet de navigation de gauche, si ce n’est pas déjà fait.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Dans la liste des domaines, sélectionnez le domaine pour lequel vous souhaitez ouvrir la page **Paramètres du domaine**.
1. Sur la page **Détails du domaine**, choisissez l’onglet **Ressources**.
1. Sur la page **Ressources du domaine**, vous pouvez visualiser les détails des ressources balisées avec l’ARN du domaine correspondant. Les ressources en cours d’exécution sont affichées par défaut.
1. (Facultatif) Vous pouvez filtrer les ressources affichées pour chaque type de ressource en utilisant l’icône de recherche ou **Statut du filtre** en haut de chaque type de ressource.
## Utilisez le AWS CLI pour afficher les espaces d' SageMaker IA de votre domaine
La section suivante fournit des instructions de visualisation des espaces dans votre domaine à l’aide de l’ AWS CLI.
Vous aurez besoin de connaître votre*domain-id*. Pour obtenir les détails de votre domaine, consultez [Visualisation des domaines](domain-view.md).
```
aws sagemaker list-spaces \
--region region
--domain-id domain-id
```
## Utilisez le AWS CLI pour afficher les applications d' SageMaker IA de votre domaine
La section suivante fournit des instructions de visualisation des applications dans votre domaine à l’aide de l’ AWS CLI.
Vous aurez besoin de connaître votre*domain-id*. Pour obtenir les détails de votre domaine, consultez [Visualisation des domaines](domain-view.md).
```
aws sagemaker list-apps \
--domain-id-equals domain-id
```
Si vous ne voyez pas les applications ou votre domaine, vous devrez peut-être modifier votre Région AWS. Pour ce faire, utilisez `aws configure` pour mettre à jour vos AWS informations d'identification. Pour plus d’informations, consultez [configure](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configure/index.html).
# Arrêtez les ressources d' SageMaker IA de votre domaine
Vous pouvez arrêter les ressources Amazon SageMaker AI dans votre domaine Amazon SageMaker AI à l'aide de la console SageMaker AI. Suivez les instructions ci-dessous pour découvrir comment arrêter les ressources balisées par l’ARN du domaine.
Les SageMaker ressources affichées suivant cette procédure sont celles auxquelles le `sagemaker:domain-arn` tag correspondant est associé. Les ressources non balisées peuvent avoir été créées en dehors du contexte d’un domaine ou avant le 30/11/2022, lorsque les ressources n’étaient pas automatiquement balisées avec l’ARN du domaine. Vous pouvez ajouter une balise aux ressources non balisées pour un meilleur filtrage en suivant les étapes décrites dans [Remplissage des balises du domaine](domain-multiple-backfill.md). Les ressources créées dans d’autres domaines sont automatiquement éliminées par filtrage.
**Note**
Il ne s’agit pas de la liste complète des ressources actives sur votre domaine. Pour toutes les SageMaker ressources actives, voir [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/).
**Pour arrêter les ressources d' SageMaker IA de votre domaine à l'aide de la console**
1. [Afficher les ressources d' SageMaker IA dans votre domaine](sm-console-domain-resources-view.md)
1. Dans une section relative au type de ressource, cochez les cases correspondant aux ressources que vous souhaitez arrêter.
1. Une fois les ressources sélectionnées, une option d’arrêt sera disponible en haut de la section relative au type de ressource. Choisissez l’option et suivez les instructions pour arrêter les ressources sélectionnées.
Pour obtenir des instructions sur la façon de supprimer vos ressources par fonctionnalité d' SageMaker IA, consultez[Où arrêter les ressources en fonction des fonctionnalités de SageMaker l'IA](sm-shut-down-resources-per-feature.md).
# Où arrêter les ressources en fonction des fonctionnalités de SageMaker l'IA
Vous pouvez arrêter vos ressources Amazon SageMaker AI pour éviter d'encourir des frais indésirables. Dans le tableau suivant, nous listons les fonctionnalités ou les ressources de l' SageMaker IA et fournissons des liens vers la documentation expliquant comment arrêter les ressources d' SageMaker IA.
Vous pouvez également utiliser celui [APIs, CLI, et SDKs](api-and-sdk-reference-overview.md) fourni par l' SageMaker IA. Par exemple, vous pouvez rechercher dans le [Amazon SageMaker API Reference](https://docs.aws.amazon.com/sagemaker/latest/APIReference/Welcome.html) des `Delete*` commandes permettant de supprimer certaines des ressources que vous avez créées. Plus précisément, vous pouvez rechercher l'[DeleteDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html)API pour savoir comment supprimer un domaine Amazon SageMaker AI.
**Note**
Il ne s’agit pas de la liste complète des ressources actives sur votre domaine. Pour toutes les ressources d' SageMaker IA actives, voir [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/).
| SageMaker Fonctionnalité, infrastructure et ressources de l'IA | Instructions d’arrêt |
| --- | --- |
| [Canevas](canvas.md) | [Déconnexion d'Amazon SageMaker Canvas](canvas-log-out.md) |
| [Éditeur de code](code-editor.md) | [Arrêt des ressources de l’éditeur de code](code-editor-use-log-out.md) |
| [Domaine](sm-domain.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [EMR dans Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html) | [Résiliation d’un cluster Amazon EMR depuis Studio ou Studio Classic](terminate-emr-clusters.md) |
| [Expériences](mlflow.md) | [Nettoyer les MLflow ressources](mlflow-cleanup.md) |
| [HyperPod](sagemaker-hyperpod.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Point de terminaison d’inférence](realtime-endpoints-options.md) | [Supprimer les points de terminaison et les ressources](realtime-endpoints-delete-resources.md) |
| [JupyterLab](studio-updated-jl.md) | [Suppression des ressources inutilisées](studio-updated-jl-admin-guide-clean-up.md) |
| [MLOps](mlops.md) | [Supprimer un MLOps projet à l'aide d'Amazon SageMaker Studio ou de Studio Classic](sagemaker-projects-delete.md) |
| [Instances de bloc-notes](nbi.md) | [Nettoyez les ressources des instances Amazon SageMaker Notebook](ex1-cleanup.md) |
| [Pipelines](pipelines.md) | [Arrêt d’un pipeline](pipelines-studio-stop.md) |
| [Projets](sagemaker-projects.md) | [Supprimer un MLOps projet à l'aide d'Amazon SageMaker Studio ou de Studio Classic](sagemaker-projects-delete.md) |
| [RStudio sur Amazon SageMaker AI](rstudio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Studio](studio-updated.md) | [Visualisation de vos instances, applications et espaces Studio en cours d’exécution](studio-updated-running.md) |
| [Studio Classic](studio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Piles dans AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) | [Supprimer une pile sur la AWS CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) |
| [TensorBoard en SageMaker IA](tensorboard-on-sagemaker.md) | [Supprimer les TensorBoard applications inutilisées](debugger-htb-delete-app.md) |
# Choix d’un réseau Amazon VPC
Cette rubrique fournit des informations détaillées sur le choix d'un Amazon Virtual Private Cloud (Amazon VPC) lorsque vous intégrez un domaine Amazon SageMaker AI. Pour plus d'informations sur l'intégration au domaine SageMaker AI, consultez[Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md).
Par défaut, le domaine SageMaker AI utilise deux Amazon VPCs. Un Amazon VPC est géré par Amazon SageMaker AI et fournit un accès direct à Internet. Vous spécifiez l’autre réseau Amazon VPC, qui fournit le trafic chiffré entre le domaine et votre volume Amazon Elastic File System (Amazon EFS).
Vous pouvez modifier ce comportement afin que l' SageMaker IA envoie tout le trafic via le VPC Amazon que vous avez spécifié. Lorsque vous choisissez cette option, vous devez fournir les sous-réseaux, les groupes de sécurité et les points de terminaison d'interface nécessaires pour communiquer avec l' SageMaker API et l'environnement d'exécution de l' SageMaker IA, ainsi que divers AWS services, tels qu'Amazon Simple Storage Service (Amazon S3) et CloudWatch Amazon, utilisés par Studio.
**Lorsque vous intégrez un domaine SageMaker AI, vous demandez à SageMaker AI d'envoyer tout le trafic via votre Amazon VPC en définissant le type d'accès au réseau sur VPC uniquement.**
**Pour spécifier les informations Amazon VPC**
Lorsque vous spécifiez les entités Amazon VPC (c’est-à-dire le réseau Amazon VPC, le sous-réseau ou le groupe de sécurité) dans la procédure suivante, trois options différentes peuvent être présentées en fonction du nombre d’entités que vous possédez dans la Région AWS actuelle. Le comportement est le suivant :
+ Une entité : SageMaker l'IA utilise cette entité. Cette valeur ne peut pas être modifiée.
+ Multiple entities (Entités multiples) – Vous devez choisir les entités dans la liste déroulante.
+ Aucune entité : vous devez créer une ou plusieurs entités pour pouvoir utiliser le domaine. Choisissez **Create (Créer )** pour ouvrir la console VPC dans un nouvel onglet du navigateur. Après avoir créé les entités, revenez à la page **Mise en route** du domaine pour poursuivre le processus d’intégration.
Cette procédure fait partie du processus d'intégration du domaine Amazon SageMaker AI lorsque vous choisissez **Configurer pour les organisations**. Les informations de votre réseau Amazon VPC sont spécifiées sous la section **Réseau**.
1. Sélectionnez le type d’accès réseau.
**Note**
Si **VPC uniquement** est sélectionné, SageMaker AI applique automatiquement les paramètres du groupe de sécurité définis pour le domaine à tous les espaces partagés créés dans le domaine. Si **Internet public uniquement** est sélectionné, SageMaker AI n'applique pas les paramètres du groupe de sécurité aux espaces partagés créés dans le domaine.
+ **Internet public uniquement** : le trafic autre qu'Amazon EFS passe par un Amazon VPC géré par l' SageMaker IA, qui permet d'accéder à Internet. Le trafic entre le domaine et votre volume Amazon EFS passe par le réseau Amazon VPC spécifié.
+ **VPC uniquement** : tout le trafic d' SageMaker IA passe par le VPC Amazon et les sous-réseaux spécifiés. Vous devez utiliser un sous-réseau ne disposant pas d’un accès direct à Internet en mode **VPC uniquement.** L’accès à Internet est désactivé par défaut.
1. Choisissez le réseau Amazon VPC.
1. Sélectionnez un ou plusieurs sous-réseaux. Si vous ne choisissez aucun sous-réseau, SageMaker AI utilise tous les sous-réseaux d'Amazon VPC. Nous vous recommandons d’utiliser plusieurs sous-réseaux qui ne sont pas créés dans les zones de disponibilité restreintes. L’utilisation de sous-réseaux dans ces zones de disponibilité restreintes peut entraîner des erreurs de capacité insuffisante et des délais de création d’applications plus longs. Pour plus d’informations sur les zones de disponibilité restreintes, consultez [Zones de disponibilité restreintes](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-availability-zones.html#constrained-zones) dans le *Guide de l’utilisateur des Régions AWS et des zones de disponibilité*.
1. Choisissez les groupes de sécurité. Si vous avez choisi **Public internet only (Internet public uniquement**, cette étape est facultative. Si vous avez choisi **VPC only (VPC uniquement)**, cette étape est obligatoire.
**Note**
Pour connaître le nombre maximal de groupes de sécurité autorisés, consultez [UserSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UserSettings.html).
Pour les exigences d'Amazon VPC en mode **VPC uniquement**, consultez [Connexion des blocs-notes Studio d’un VPC à des ressources externes](studio-notebooks-and-internet-access.md).