翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SageMaker AI ドメインの概要
Amazon SageMaker AI はドメインを使用して、ユーザープロファイル、アプリケーション、関連するリソースを整理します。Amazon SageMaker AI ドメインは、以下で構成されます。
+ 関連する Amazon Elastic File System (Amazon EFS) ボリューム
+ 承認されたユーザーのリスト
+ セキュリティ、アプリケーション、ポリシー、Amazon Virtual Private Cloud (Amazon VPC) に関するさまざまな設定
次の図は、各ドメイン内のプライベートアプリと共有スペースの概要を示しています。
![\[Overview of a domain.\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/images/domains/private-apps-shared-spaces.png)
ほとんどの Amazon SageMaker AI 環境とリソースにアクセスするには、SageMaker AI コンソールまたは AWS CLIで Amazon SageMaker AI ドメインオンボーディングプロセスを完了する必要があります。SageMaker AI へのアクセス方法に基づいて SageMaker AI の使用を開始する方法と、必要に応じてドメインを設定する方法については、「[Amazon SageMaker AI のセットアップガイド](gs.md)」を参照してください。
**Topics**
+ [Amazon SageMaker AI ドメインのエンティティとステータス](sm-domain.md)
+ [Amazon VPC の選択](onboard-vpc.md)
# Amazon SageMaker AI ドメインのエンティティとステータス
Amazon SageMaker AI ドメインは、SageMaker AI 機械学習 (ML) 環境をサポートしています。SageMaker AI ドメインは、以下のエンティティと関連するステータス値で構成されます。ドメインを作成するオンボーディング手順については、「[Amazon SageMaker AI ドメインの概要](gs-studio-onboard.md)」を参照してください。
+ **ドメイン**: ドメインは以下で構成されます。
+ 関連する Amazon Elastic File System (Amazon EFS) ボリューム
+ 認証済みユーザーのリスト
+ セキュリティ、アプリケーション、ポリシー、Amazon Virtual Private Cloud (Amazon VPC) に関するさまざまな設定
ドメイン内のユーザーは、ノートブックファイルやその他のアーティファクトを互いに共有できます。単一のアカウントに複数のドメインを設定できます。複数ドメインの詳細については、「[複数ドメインの概要](domain-multiple.md)」を参照してください。
+ **ユーザープロファイル**: ユーザープロファイルは、ドメイン内の単一のユーザーを説明するものです。これは共有、レポートなどのユーザー指向機能でユーザーを参照する主な方法です。このエンティティは、ユーザーが Amazon SageMaker AI ドメインにオンボードする際に作成されます。ユーザープロファイルの詳細については、「[ドメインのユーザープロファイル](domain-user-profile.md)」を参照してください。
+ **共有スペース**: 共有スペースは、共有される JupyterServer アプリケーションと共有ディレクトリで構成されます。ドメイン内のすべてのユーザーが共有スペースにアクセスできます。ドメイン内のすべてのユーザープロファイルが、ドメイン内のすべての共有スペースへのアクセス権を付与されています。共有スペースの詳細については、「[共有スペースでコラボレーション](domain-space.md)」を参照してください。
+ **アプリ**: アプリは、ユーザーのノートブック、ターミナル、コンソールの読み取りと実行をサポートするアプリケーションを表します。アプリのタイプは、JupyterServer、KernelGateway、RStudioServerPro、または RSession のいずれかです。ユーザーは、複数のアプリを同時にアクティブにできます。
次の表に、`domain`、`UserProfile`、`shared space`、`App` エンティティのステータス値を示します。該当する場合は、トラブルシューティングのステップも記載しています。
ドメインのステータス値
| 値 | 説明 |
| --- | --- |
| [保留中] | ドメインの作成中です。 |
| InService | ドメインの作成が正常に完了しました。 |
| [更新中] | ドメインの更新中です。 |
| 削除 | ドメインの削除中です。 |
| 失敗 | ドメインの作成に失敗しました。ドメイン作成が失敗した理由を確認するには、DescribeDomain API を呼び出します。失敗したドメインを削除して、FailureReason に記載されているエラーを修正した後にドメインをもう一度作成します。 |
| Update\$1Failed | ドメインの更新に失敗しました。ドメイン更新が失敗した理由を確認するには、DescribeDomain API を呼び出します。FailureReason に記載されているエラーを修正した後、UpdateDomain API を呼び出します。 |
| Delete\$1Failed | ドメインの削除に失敗しました。ドメイン削除が失敗した理由を確認するには、DescribeDomain API を呼び出します。削除に失敗したため、まだ実行されているリソースがいくつかある可能性がありますが、ドメインを使用したり更新したりすることはできません。FailureReason に記載されているエラーを修正した後、DeleteDomain API を再度呼び出します。 |
`UserProfile` ステータス値
| 値 | 説明 |
| --- | --- |
| [保留中] | UserProfile の作成中。 |
| InService | UserProfile の作成成功。 |
| [更新中] | UserProfile の更新中。 |
| 削除 | UserProfile の削除中。 |
| 失敗 | UserProfile の作成失敗。DescribeUserProfile API を呼び出して、UserProfile 作成の失敗の理由を確認します。失敗した UserProfile を削除し、FailureReason に記載されているエラーを修正した後に再度作成します。 |
| Update\$1Failed | UserProfile の更新失敗。DescribeUserProfile API を呼び出して、UserProfile 更新の失敗の理由を確認します。FailureReason に記載されているエラーを修正した後に UpdateUserProfile API を再度呼び出します。 |
| Delete\$1Failed | UserProfile の削除失敗。DescribeUserProfile API を呼び出して、UserProfile 削除の失敗の理由を確認します。削除に失敗したため、まだ実行されているリソースがいくつかある可能性がありますが、UserProfile を使用したり更新したりすることはできません。FailureReason に記載されているエラーを修正した後に DeleteUserProfile API を再度呼び出します。 |
共有スペースのステータス値
| 値 | 説明 |
| --- | --- |
| [保留中] | 共有スペースの作成中。 |
| InService | 共有スペースの作成成功。 |
| 削除 | 共有スペースの削除中。 |
| 失敗 | 共有スペースの作成失敗。DescribeSpace API を呼び出して、共有スペース作成の失敗の理由を確認します。失敗した共有スペースを削除し、FailureReason に記載されているエラーを修正した後に再度作成します。 |
| Update\$1Failed | 共有スペースの更新失敗。DescribeSpace API を呼び出して、共有スペース更新の失敗の理由を確認します。FailureReason に記載されているエラーを修正した後に UpdateSpace API を再度呼び出します。 |
| Delete\$1Failed | 共有スペースの削除失敗。DescribeSpace API を呼び出して、共有スペース削除の失敗の理由を確認します。削除に失敗したため、まだ実行されているリソースがいくつかある可能性がありますが、共有スペースを使用したり更新したりすることはできません。FailureReason に記載されているエラーを修正した後、DeleteSpace API を再度呼び出します。 |
| [Deleted] (削除済み) | 共有スペースの削除成功。 |
`App` ステータス値
| 値 | 説明 |
| --- | --- |
| [保留中] | App の作成中。 |
| InService | App の作成成功。 |
| 削除 | App の削除中。 |
| 失敗 | App の作成失敗。DescribeApp API を呼び出して、App 作成の失敗の理由を確認します。FailureReason に記載されているエラーを修正した後、CreateApp API を再度呼び出します。 |
| [Deleted] (削除済み) | App の削除成功。 |
## アプリケーションのメンテナンス
SageMaker AI は、少なくとも 90 日に 1 回、Amazon SageMaker Studio Classic の JupyterServer と KernelGateway、SageMaker Canvas、Amazon SageMaker Data Wrangler などのアプリケーションの基盤となるソフトウェアのセキュリティとパフォーマンスのアップデートを実行します。オペレーティングシステムのアップグレードなどの一部のメンテナンス項目では、SageMaker AI がメンテナンス期間中にアプリケーションを短時間オフラインにする必要があります。このメンテナンスではアプリケーションがオフラインになるため、基盤ソフトウェアの更新中は操作を実行できません。メンテナンスアクティビティの進行中、アプリケーションの状態は **InService** から **Pending** に変わります。メンテナンスが完了すると、アプリケーションのステータスは **InService** に戻ります。パッチ適用に失敗すると、アプリケーションのステータスは **Failed** になります。アプリケーションが **Failed** 状態の場合は、同じタイプの新しいアプリケーションを作成することをお勧めします。Studio Classic アプリケーション作成の詳細については、「[SageMaker Studio Classic とアプリケーションをシャットダウンして更新する](studio-tasks-update.md)」を参照してください。SageMaker Canvas アプリケーションの作成方法については、「[アプリケーション管理](canvas-manage-apps.md)」を参照してください。
詳細については、https://aws.amazon.com/premiumsupport/ にお問い合わせください。
**Topics**
+ [アプリケーションのメンテナンス](#domain-maintenance)
+ [前提条件を満たす](domain-prerequisites.md)
+ [Amazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps.md)
+ [Amazon SageMaker Studio UI でインスタンスタイプとイメージを非表示にする](studio-updated-ui-customize-instances-images.md)
+ [複数ドメインの概要](domain-multiple.md)
+ [ドメインリソースを分離する](domain-resource-isolation.md)
+ [Amazon SageMaker AI ドメインのデフォルト設定](domain-set-defaults.md)
+ [カスタムタグの伝搬](custom-tags.md)
+ [ドメインへのカスタムファイルシステムの追加](domain-custom-file-system.md)
+ [ドメイン環境の詳細を表示する](domain-space-environment.md)
+ [ドメインを表示する](domain-view.md)
+ [ドメイン設定を編集する](domain-edit.md)
+ [Amazon SageMaker AI ドメインを削除する](gs-studio-delete-domain.md)
+ [ドメインのユーザープロファイル](domain-user-profile.md)
+ [ドメインの IAM アイデンティティセンターグループ](domain-groups.md)
+ [ドメインスペースのアクセス許可と実行ロールを理解する](execution-roles-and-spaces.md)
+ [ドメイン内の SageMaker AI リソースを表示する](sm-console-domain-resources-view.md)
+ [ドメイン内の SageMaker AI リソースをシャットダウンする](sm-console-domain-resources-shut-down.md)
+ [SageMaker AI 機能ごとにリソースをシャットダウンする場所](sm-shut-down-resources-per-feature.md)
# 前提条件を満たす
Amazon SageMaker AI ドメインで利用できる機能を使用するには、以下の前提条件を満たす必要があります。
+ ドメインへのオンボードを実行します。詳細については「[Amazon SageMaker AI ドメインにオンボーディングする](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)」を参照してください。
+ (オプション) を使用してドメインを操作する場合は AWS CLI、次の前提条件も満たす必要があります。
+ [現在の AWS CLI バージョンのインストール](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv1.html#install-tool-bundled)の AWS CLI 手順に従って、 を更新します。
+ ローカルマシンから を実行し`aws configure`、 AWS 認証情報を指定します。 AWS 認証情報の詳細については、[AWS 「認証情報の理解と取得](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)」を参照してください。
# Amazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする
**重要**
2023 年 11 月 30 日以降、従来の Amazon SageMaker Studio のエクスペリエンスは Amazon SageMaker Studio Classic と名前が変更されました。以下のセクションは、更新後の Studio のエクスペリエンスに沿った内容になっています。Studio Classic アプリケーションを使用する場合は、「[Amazon SageMaker Studio Classic](studio.md)」を参照してください。
このトピックでは、Amazon SageMaker Studio ユーザーインターフェイス (UI) に表示されるアプリケーションと機械学習 (ML) ツールを非表示にする方法について説明します。Studio UI の詳細については、「[Amazon SageMaker Studio の UI の概要](studio-updated-ui.md)」を参照してください。
このカスタマイズは、これらのリソースへのアクセスをブロックするものではありません。この代わりにアプリケーションへのアクセスをブロックする場合は、「[Amazon SageMaker Role Manager](role-manager.md)」を参照してください。
アプリケーションの詳細については、「[Amazon SageMaker Studio でサポートされているアプリケーション](studio-updated-apps.md)」を参照してください。
[Studio UI をカスタマイズ] の機能は Amazon SageMaker Studio Classic では利用できません。
Studio UI は、ドメインレベルとユーザーレベルでカスタマイズできます。
+ ドメインレベルでカスタマイズすると、ドメイン内のすべてのユーザーのデフォルトを設定することになります。
これらのデフォルト設定は、個別のユーザー設定でこのような変更を行って*いない*、ドメイン内のすべてのユーザーに適用されます。
+ ユーザーレベルでのカスタマイズは、ドメインレベルの設定よりも優先されます。
以降のトピックでは、さまざまなカスタマイズレベルとその適用方法について詳しく説明します。
**Topics**
+ [ドメインレベルで機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps-domain.md)
+ [ユーザーレベルで機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps-user.md)
# ドメインレベルで機械学習ツールとアプリケーションを非表示にする
以下では、コンソールを使用して Studio に表示されるアプリケーションと ML ツールをドメインレベルでカスタマイズする方法について説明します。詳細については、「[Amazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps.md)」を参照してください。
この機能は、Amazon SageMaker Studio Classic がデフォルトのエクスペリエンスとして設定されている場合は使用できません。
## ドメインレベルで機械学習ツールとアプリケーションを非表示にする手順 (コンソール)
**ドメインレベルで Studio UI の機械学習ツールとアプリケーションを非表示にするには (コンソール)**
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、編集するドメインへのリンクをクリックします。
1. **[ドメインの詳細]** ページで、**[アプリケーション設定]** タブを選択します。
1. **[SageMaker Studio]** セクションで、**[Studio UI をカスタマイズ]** をクリックします。
1. **[Studio UI をカスタマイズ]** ページで、Studio に表示されるアプリケーションと ML ツールの表示設定をオフに切り替えて非表示にできます。
リージョンによっては、利用できない ML 機能がある場合があります。
1. 変更内容を確認したら、**[保存]** をクリックします。
完了すると、ページの上部に正常に完了したことを通知するメッセージを記載した緑色のバナーが表示されます。
## ドメインレベルで機械学習ツールとアプリケーションを非表示にする手順 (AWS CLI)
**注記**
この機能を使用するには、 AWS CLI 最新バージョンに更新する必要がある場合があります。詳細については、「[AWS CLIの最新バージョンのインストールまたは更新](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
を使用して AWS CLI 、[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) を使用して、Studio に表示されるアプリケーションと ML ツールをドメインレベルでカスタマイズできます。アプリケーションを非表示にするには `HiddenAppTypes` を、ML ツールを非表示にするには `HiddenMlTools` を使用します。
次の例では、SageMaker Canvas と Code Editor が `domainId` のドメインのユーザーに対して非表示になっています。
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
AWS リージョンによっては、利用できない ML 機能がある場合があります。
# ユーザーレベルで機械学習ツールとアプリケーションを非表示にする
以下では、Studio に表示されるアプリケーションと ML ツールをユーザーレベルでカスタマイズする方法について説明します。詳細については、「[Amazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps.md)」を参照してください。
この機能は、Studio Classic がデフォルトのエクスペリエンスとして設定されている場合は使用できません。
## ユーザーレベルで機械学習ツールとアプリケーションを非表示にする手順 (コンソール)
**ユーザーレベルで Studio UI の機械学習ツールとアプリケーションを非表示にするには (コンソール)**
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、編集するドメインへのリンクをクリックします。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
1. **[ユーザープロファイル]** セクションで、編集するユーザープロファイルのリンクをクリックします。
1. **[アプリケーション設定]** タブを選択します。
1. **[SageMaker Studio]** セクションで、**[Studio UI をカスタマイズ]** をクリックします。
1. **[Studio UI をカスタマイズ]** ページで、Studio に表示されるアプリケーションと ML ツールの表示設定をオフに切り替えて非表示にできます。
リージョンによっては、利用できない ML 機能がある場合があります。
1. 変更内容を確認したら、**[保存]** をクリックします。これにより、ユーザープロファイルの編集フローに戻ります。
1. **[Save changes]** (変更の保存) をクリックします。
完了すると、ページの上部に正常に完了したことを通知するメッセージを記載した緑色のバナーが表示されます。
## ユーザーレベルで機械学習ツールとアプリケーションを非表示にする手順 (AWS CLI)
**注記**
この機能を使用するには、 AWS CLI 最新バージョンに更新する必要がある場合があります。詳細については、「[AWS CLIの最新バージョンのインストールまたは更新](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
を使用して AWS CLI 、[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) を使用して、Studio に表示されるアプリケーションと ML ツールをユーザーレベルでカスタマイズできます。アプリケーションを非表示にするには `HiddenAppTypes` を、ML ツールを非表示にするには `HiddenMlTools` を使用します。
次の例では、SageMaker Canvas と Code Editor が `domainId` のドメインのユーザー *userProfileName* に対して非表示になっています。
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
AWS リージョンによっては、利用できない ML 機能がある場合があります。
# Amazon SageMaker Studio UI でインスタンスタイプとイメージを非表示にする
**重要**
2023 年 11 月 30 日以降、従来の Amazon SageMaker Studio のエクスペリエンスは Amazon SageMaker Studio Classic と名前が変更されました。以下のセクションは、更新後の Studio のエクスペリエンスに沿った内容になっています。Studio Classic アプリケーションを使用する場合は、「[Amazon SageMaker Studio Classic](studio.md)」を参照してください。
このトピックでは、Amazon SageMaker Studio ユーザーインターフェイス (UI) に表示される Amazon SageMaker AI インスタンスタイプとイメージを非表示にする方法について説明します。Studio UI の詳細については、「[Amazon SageMaker Studio の UI の概要](studio-updated-ui.md)」を参照してください。
SageMaker AI インスタンスタイプとイメージを非表示にする場合:
+ この設定が適用されるユーザーは、Studio UI で非表示のリソースを表示することはできません。
+ この設定が適用されるユーザーは、非表示の設定での新しいスペースを実行または作成することはできません。
+ この設定が適用されるユーザーの現在実行中のスペースは影響を受けません。
+ この設定が適用されるユーザーが非表示のリソースでスペースを実行しようとすると、関連するリソースが管理者によって無効になったことが通知されます。
**注記**
*非表示*にする代わりに、 AWS Identity and Access Management ポリシーを介してユーザーが使用できるインスタンスタイプを*制限する*場合は、以下を参照してください。
re AWS :Post [で、データサイエンティストが SageMaker AI のトレーニングジョブ用に起動できるインスタンスのタイプを制限できますか?](https://repost.aws/questions/QUd77APmdHTx-2FZCvZfS6Qg/can-i-limit-the-type-of-instances-that-data-scientists-can-launch-for-training-jobs-in-sagemaker)
StackOverflow の「[Limiting instances types on Amazon SageMaker AI via IAM policy](https://stackoverflow.com/questions/76426316/limiting-instances-types-on-aws-sagemaker-via-iam-policy)」
[Studio UI をカスタマイズ] の機能は Amazon SageMaker Studio Classic では利用できません。
Studio UI は、ドメインレベルとユーザーレベルでカスタマイズできます。
+ ドメインレベルでカスタマイズすると、ドメイン内のすべてのユーザーのデフォルトを設定することになります。
+ ユーザーレベルでのカスタマイズは、ドメインレベルの設定よりも優先されます。
以降のトピックでは、さまざまなカスタマイズレベルとその適用方法について詳しく説明します。
**Topics**
+ [ドメインレベルでインスタンスタイプとイメージを非表示にする](studio-updated-ui-customize-instances-images-domain.md)
+ [ユーザーレベルでインスタンスタイプとイメージを非表示にする](studio-updated-ui-customize-instances-images-user.md)
# ドメインレベルでインスタンスタイプとイメージを非表示にする
以下では、コンソールを使用して、*ドメインレベル*で Amazon SageMaker Studio Classic UI に Amazon SageMaker AI インスタンスタイプとイメージが表示されないようにルールを設定する方法について説明します。詳細については、「[Amazon SageMaker Studio UI でインスタンスタイプとイメージを非表示にする](studio-updated-ui-customize-instances-images.md)」を参照してください。
このような変更がドメインレベルで実行された場合:
+ これらの変更は、現在オープンになっているスペースには影響しません。
+ これらの変更は、その時点以降のドメインユーザーの*デフォルト*の可視性に影響します。
これらのデフォルト設定は、個別のユーザー設定でこのような変更を行って*いない*、ドメイン内のすべてのユーザーに適用されます。
+ ユーザーレベルの設定は、ドメインレベルの設定よりも優先されます。
[Studio UI をカスタマイズ] の機能は Amazon SageMaker Studio Classic では利用できません。
## ドメインレベルでインスタンスタイプとイメージを非表示にする手順 (コンソール)
**ドメインレベルで Studio UI のインスタンスタイプとイメージを非表示にするには (コンソール)**
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、編集するドメインへのリンクをクリックします。
1. **[ドメインの詳細]** ページで、**[ドメインの設定]** を選択します。
1. **[ドメインの設定]** タブの **[ドメインルール]** セクションで、ドメインのルールを確認できます。
1. **[ドメインルール]** セクションで、**[ルールを管理]** をクリックします。
1. **[ドメインルールを管理]** ページで、**[ルールタイプ]** をクリックします。
AWS リージョンによっては、利用できないインスタンスタイプやイメージがある場合があります。
1. **[インスタンスタイプ]** をクリックすると、**[非表示]** アクションを使用して、**[インスタンスタイプ]** のドロップダウンで選択する SageMaker AI インスタンスタイプを非表示にできます。
1. **[イメージ]** をクリックすると、**[非表示]** アクションを使用して、**[イメージ]** のドロップダウンで選択する SageMaker イメージを非表示にできます。
1. (オプション) **[\$1 新しいルールを追加]** をクリックすると、さらにルールを追加できます。
1. 変更内容を確認したら、**[送信]** をクリックします。
完了すると、ページの上部に正常に完了したことを通知するメッセージを記載した緑色のバナーが表示されます。
## ドメインレベルでインスタンスタイプとイメージを非表示にする手順 (AWS CLI)
**注記**
この機能を使用するには、 AWS CLI 最新バージョンに更新する必要がある場合があります。詳細については、「[AWS CLIの最新バージョンのインストールまたは更新](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
を使用して AWS CLI 、[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) を使用して、ドメインレベルで Studio UI に表示される SageMaker AI インスタンスとイメージをカスタマイズできます。インスタンスタイプを非表示にするには `HiddenInstanceTypes` を、SageMaker イメージを非表示にするには `HiddenSageMakerImageVersionAliases` を使用します。
`HiddenSageMakerImageVersionAliases` を使用する場合は、次の点に注意してください。
+ この API で許容されるのは、パッチバージョン (`1.9.1` など) ではなく、マイナーな `VersionAliases` (`1.9` など) のみです。
+ CLI または SDK を使用して、未公開のバージョンを入力できます。ただし、このようなバージョンはコンソールには表示されず、ルールがコンソールで編集されると上書きされます。
次の例では、Code-OSS (Visual Studio Code - Open Source) に基づく Code Editor および JupyterLab に対して、`domainId` ドメインでユーザーに対してデフォルトで以下を非表示にしています。
+ `ml.r6id.24xlarge` と `ml.r6id.32xlarge` のインスタンスタイプ
+ `sagemaker_distribution` の `1.9` バージョンと `1.8` バージョンのイメージ
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
AWS リージョンによっては、利用できないインスタンスタイプやイメージがある場合があります。
# ユーザーレベルでインスタンスタイプとイメージを非表示にする
**警告**
ユーザープロファイルのカスタマイズは永続的なアクションです。カスタム設定が保存されると、このユーザープロファイルはドメイン設定を上書きし、その後はドメインと連動した動的更新が実行されなくなります。
以下では、コンソールを使用して、*ユーザーレベル*で Amazon SageMaker Studio Classic UI に Amazon SageMaker AI インスタンスタイプとイメージが表示されないようにルールを設定する方法について説明します。詳細については、「[Amazon SageMaker Studio UI でインスタンスタイプとイメージを非表示にする](studio-updated-ui-customize-instances-images.md)」を参照してください。
この設定は、ドメインレベルの設定よりも優先されます。
[Studio UI をカスタマイズ] の機能は Studio Classic では利用できません。
## ユーザーレベルでインスタンスタイプとイメージを非表示にする手順 (コンソール)
**ユーザーレベルで Studio UI のインスタンスタイプとイメージを非表示にするには (コンソール)**
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、編集するドメインへのリンクをクリックします。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
1. **[ユーザープロファイル]** セクションで、編集するユーザープロファイルのリンクをクリックします。
1. [ユーザーの詳細] タブの [ユーザープロファイルルール] セクションでユーザーに適用されるルールを確認できます。
1. [ユーザプロファイルルール] セクションで、[ルールを管理] をクリックします。
1. [ユーザープロファイルルールを管理] ページで、[ルールタイプ] をクリックします。
AWS リージョンによっては、利用できないインスタンスタイプやイメージがある場合があります。
1. **[インスタンスタイプ]** をクリックすると、**[非表示]** アクションを使用して、**[インスタンスタイプ]** のドロップダウンで選択する SageMaker AI インスタンスタイプを非表示にできます。
1. **[イメージ]** をクリックすると、**[非表示]** アクションを使用して、**[イメージ]** のドロップダウンで選択する SageMaker イメージを非表示にできます。
1. (オプション) **[\$1 新しいルールを追加]** をクリックすると、さらにルールを追加できます。
1. 変更内容を確認したら、**[送信]** をクリックします。
完了すると、ページの上部に正常に完了したことを通知するメッセージを記載した緑色のバナーが表示されます。
## ユーザーレベルでインスタンスタイプとイメージを非表示にする手順 (AWS CLI)
**注記**
この機能を使用するには、 AWS CLI 最新バージョンに更新する必要がある場合があります。詳細については、「[AWS CLIの最新バージョンのインストールまたは更新](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
を使用して AWS CLI 、[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) を使用して、Studio に表示されるアプリケーションと ML ツールをユーザーレベルでカスタマイズできます。インスタンスタイプを非表示にするには `HiddenInstanceTypes` を、SageMaker イメージを非表示にするには `HiddenSageMakerImageVersionAliases` を使用します。
`HiddenSageMakerImageVersionAliases` を使用する場合は、次の点に注意してください。
+ この API で許容されるのは、パッチバージョン (`1.9.1` など) ではなく、マイナーな `VersionAliases` (`1.9` など) のみです。
+ CLI または SDK を使用して、未公開のバージョンを入力できます。ただし、このようなバージョンはコンソールには表示されず、ルールがコンソールで編集されると上書きされます。
次の例では、Code-OSS (Visual Studio Code - Open Source) に基づく Code Editor および JupyterLab に対して、`domainId` ドメインで `userProfileName` ユーザーに対して以下を非表示にしています。
+ `ml.r6id.24xlarge` と `ml.r6id.32xlarge` のインスタンスタイプ
+ `sagemaker_distribution` の `1.9` バージョンと `1.8` バージョンのイメージ
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
AWS リージョンによっては、利用できないインスタンスタイプやイメージがある場合があります。
# 複数ドメインの概要
**重要**
Amazon SageMaker Studio または Amazon SageMaker Studio Classic に Amazon SageMaker リソースの作成を許可するカスタム IAM ポリシーでは、これらのリソースにタグを追加するアクセス許可も付与する必要があります。Studio と Studio Classic は、作成したリソースに自動的にタグ付けするため、リソースにタグを追加するアクセス許可が必要になります。IAM ポリシーで Studio と Studio Classic によるリソースの作成が許可されていても、タグ付けが許可されていない場合は、リソースを作成しようとしたときに「AccessDenied」エラーが発生する可能性があります。詳細については、「[SageMaker AI リソースにタグ付けのアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-tagging-permissions)」を参照してください。
SageMaker リソースを作成するためのアクセス許可を付与する [AWS Amazon SageMaker AI の マネージドポリシー](security-iam-awsmanpol.md) には、それらのリソースの作成中にタグを追加するためのアクセス許可もあらかじめ含まれています。
複数の Amazon SageMaker AI ドメインを使用すると、多様なビジネスユニット、チーム、またはプロジェクトを抱える企業の管理者の機械学習ワークフローの管理が簡素化されます。各ドメインは、独自の構成、設定、ユーザーアクセスコントロールを持つ論理的に独立した環境として機能します。このような区分化により、組織はさまざまなグループ、チーム、ユースケースの間で明確な境界を適用して、 AWS リソースとアクセス許可を広範かつきめ細かなレベルで安全に割り当てる機能を強化できます。
複数のドメインの作成に関する情報は、以下のとおりです。
+ Amazon SageMaker AI では、アカウントごとに複数の Amazon SageMaker AI ドメインを 1 つの に作成 AWS リージョン できます。
+ の追加ドメイン AWS リージョン には、リージョンの最初のドメインと同じ機能があります。
+ ドメインごとに独自のドメイン設定を指定することができます。
+ 同一のアカウント内の単一のリージョン内で、同じユーザープロファイルを複数のドメインに追加することはできません。
ドメインの制限の詳細については、「[Amazon SageMaker AI endpoints and quotas](https://docs.aws.amazon.com//general/latest/gr/sagemaker.html)」を参照してください。
以降のトピックでは、ドメインでタグを使用する方法について説明します。
**Topics**
+ [タグの自動伝播](domain-multiple-tag.md)
+ [ドメインリソースのフィルタリング表示の仕組み](domain-multiple-filtering.md)
+ [ドメインタグのバックフィル](domain-multiple-backfill.md)
# タグの自動伝播
タグを使用すると、プロジェクト、チーム、環境 (開発、ステージング、本番稼働など)、または任意のその他のカスタムメタデータなど、さまざまな基準に基づいてリソースを分類してラベル付けできます。リソースをドメイン内で作成する際に、ドメインごとに自動的にタグ付けできます。これにより、ドメイン全体にわたってリソースを簡単に特定して管理できます。 AWS Billing and Cost Managementを使用してこれらのタグをコスト配分に使用することもできます。詳細については、 [AWS 「コスト配分タグの使用](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)」を参照してください。
デフォルトでは、タグ付けをサポートし、2022 年 11 月 30 日以降に Amazon SageMaker Studio または Amazon SageMaker Studio Classic UI で作成された SageMaker AI リソースはすべて、自動的にドメイン ARN タグでタグ付けされています。ドメイン ARN タグは、リソースが作成されたドメインのドメイン ID に基づいています。
SageMaker AI リソースをバックフィルするには、「[ドメインタグのバックフィル](domain-multiple-backfill.md)」の手順に従って、`sagemaker:domain-arn` タグをタグのないリソースに追加できます。
次のリストでは、タグの自動伝播をサポートしていない唯一の SageMaker AI リソースと、タグが自動的に設定*されなかった*ためにタグが返されないという影響が及ぶ API コールについて説明します。
**注記**
すべての SageMaker `List` API が、タグベースのリソースの分離をサポートしているわけではありません。
Studio UI を管理する `default` アプリには自動的なタグ付けは行われません。
| SageMaker AI リソース | 影響を受ける API コール |
| --- | --- |
| ImageVersionArn | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/domain-multiple-tag.html) |
| ModelCardExportJobArn | [describe-model-card-export-job](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-card-export-job.html) |
| ModelPackageArn | [describe-model-package](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-package.html) |
# ドメインリソースのフィルタリング表示の仕組み
Amazon SageMaker AI は、Amazon SageMaker AI ドメインに基づいて Studio または Studio Classic に表示されるリソースを自動的にフィルタリングします。このようなフィルタリングは、SageMaker AI リソースにアタッチされた `sagemaker:domain-arn` タグを使用して実行されます。他のドメインで作成されたリソースは自動的に非表示となります。
**注記**
これは Studio UI または Studio Classic UI でのみ適用されます。SageMaker AI は AWS CLI 、デフォルトでは を使用したリソースフィルタリングをサポートしていません。
Amazon SageMaker Studio または Amazon SageMaker Studio Classic では、以下のリソースのみが表示されます。
+ 現在のドメイン内で作成されたリソース
+ `sagemaker:domain-arn` タグが関連付けられていないリソース これらのタグ付けされていないリソースは、ドメインのコンテキスト外で作成されたものか、2022 年 11 月 30 日より前に作成されたものです。
リソースのフィルタリングを改善するには、「[ドメインタグのバックフィル](domain-multiple-backfill.md)」の手順に従って、`sagemaker:domain-arn` タグをタグのないリソースに追加できます。
さらに、共有スペースで作成されたリソースはすべて、その特定の共有スペースに自動的にフィルタリングされます。
# ドメインタグのバックフィル
タグ付けされていないリソースにドメインタグを追加することで、リソースのフィルタリングを改善できます。タグが付けられていないリソースがある場合は、バックフィルできます。
2022 年 11 月 30 日より前にドメインで作成したリソースには、ドメインの Amazon リソースネーム (ARN) タグでの自動タグ付けが行われていません。
リソースをそれぞれのドメインに正確に属性付けるには、 AWS CLI次のように を使用してドメインタグを既存のリソースに追加する必要があります。
1. 既存の SageMaker AI リソースとそれぞれの ARN をすべて、アカウントに配置されているドメインにマップします。
1. ローカルマシンで以下のコマンドを実行して、リソースそれぞれのドメインの ARN をリソースにタグ付けします。アカウント内の SageMaker AI リソースごとにこれを繰り返す必要があります。
```
aws resourcegroupstaggingapi tag-resources \
--resource-arn-list arn:aws:sagemaker:region:account-id:space/domain-id/space-name \
--tags sagemaker:domain-arn=arn:aws:sagemaker:region:account-id:domain/domain-id
```
# ドメインリソースを分離する
**重要**
Amazon SageMaker Studio または Amazon SageMaker Studio Classic に Amazon SageMaker リソースの作成を許可するカスタム IAM ポリシーでは、これらのリソースにタグを追加するアクセス許可も付与する必要があります。Studio と Studio Classic は、作成したリソースに自動的にタグ付けするため、リソースにタグを追加するアクセス許可が必要になります。IAM ポリシーで Studio と Studio Classic によるリソースの作成が許可されていても、タグ付けが許可されていない場合は、リソースを作成しようとしたときに「AccessDenied」エラーが発生する可能性があります。詳細については、「[SageMaker AI リソースにタグ付けのアクセス許可を付与する](security_iam_id-based-policy-examples.md#grant-tagging-permissions)」を参照してください。
SageMaker リソースを作成するためのアクセス許可を付与する [AWS Amazon SageMaker AI の マネージドポリシー](security-iam-awsmanpol.md) には、それらのリソースの作成中にタグを追加するためのアクセス許可もあらかじめ含まれています。
( AWS Identity and Access Management IAM) ポリシーを使用して、アカウント AWS リージョン 内の各ドメイン間でリソースを分離できます。分離したリソースは、その他のドメインからアクセスできなくなります。このトピックでは、IAM ポリシーに必要な条件とポリシーの適用方法について説明します。
このポリシーで分離できるリソースは、`aws:ResourceTag/${TagKey}` または `sagemaker:ResourceTag/${TagKey}` を含む条件キーを持つリソースタイプです。SageMaker AI リソースおよび関連する条件キーのリファレンスについては、「[Actions, resources, and condition keys for Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)」を参照してください。
**警告**
上記の条件キーを含ま*ない*リソースタイプ (つまり、リソースタイプを使用する[アクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions)) は、このリソース分離ポリシーの影響を受け*ません*。例えば、[pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) リソースタイプには上記の条件キーが含まれて*いない*ため、このポリシーの影響は受け*ません*。したがって、pipeline-execution リソースタイプでは、以下のとおり、リソースの分離がサポートされて*いない*アクションがいくつかあります。
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
以下のトピックでは、ドメイン内のリソースへのアクセスをドメインタグを持つユーザープロファイルに制限する新しい IAM ポリシーを作成する方法と、このポリシーをドメインの IAM 実行ロールにアタッチする方法について説明します。このプロセスは、アカウント内のドメインごとに繰り返す必要があります。ドメインタグとこのようなタグのバックフィルの詳細については、「[複数ドメインの概要](domain-multiple.md)」を参照してください。
## コンソール
以下のセクションでは、Amazon SageMaker AI コンソールから、ドメイン内のリソースへのアクセスをドメインタグを持つユーザープロファイルに制限する新しい IAM ポリシーを作成する方法と、このポリシーをドメインの IAM 実行ロールにアタッチする方法について説明します。
**注記**
このポリシーは、Amazon SageMaker Studio Classic をデフォルトのエクスペリエンスとして使用するドメインでのみ機能します。
1. 「[IAM ポリシーの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」のステップを実行して、次の JSON ポリシードキュメントを使用して `StudioDomainResourceIsolationPolicy-domain-id` という名前の IAM ポリシーを作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. 「[ロールの修正 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)」の手順を実行して、`StudioDomainResourceIsolationPolicy-domain-id` ポリシーをドメインの実行ロールにアタッチします。
## AWS CLI
以下のセクションでは、 AWS CLIから、ドメイン内のリソースへのアクセスをドメインタグを持つユーザープロファイルに制限する新しい IAM ポリシーを作成する方法と、このポリシーをドメインの IAM 実行ロールにアタッチする方法について説明します。
**注記**
このポリシーは、Amazon SageMaker Studio Classic をデフォルトのエクスペリエンスとして使用するドメインでのみ機能します。
1. ローカルマシンで、次の内容の `StudioDomainResourceIsolationPolicy-domain-id` というファイルを作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. `StudioDomainResourceIsolationPolicy-domain-id` ファイルを使用して新しい IAM ポリシーを作成します。
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. 新しく作成したポリシーを、ドメインの実行ロールとして使用する新しいロールまたは既存のロールにアタッチします。
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```
# Amazon SageMaker AI ドメインのデフォルト設定
SageMaker AI を使用すると、Amazon SageMaker AI ドメインレベルでリソースのデフォルト設定を指定できます。このようなデフォルト設定は、ドメイン内でのリソースの作成で使用されます。以下のセクションでは、ドメインのデフォルト設定の一覧を提供し、デフォルト設定時のコンテキストキーの使用について説明します。
**Topics**
+ [ドメインのデフォルト設定](#domain-set-defaults-domains)
+ [コンテキストキー](#domain-set-defaults-context)
## ドメインのデフォルト設定
ドメインを作成または更新する際に、以下のデフォルト設定を指定できます。ユーザープロファイルと共有スペースレベルで渡された値は、ドメインレベルで設定されたデフォルトよりも優先されます。
+ [ DefaultUserSettings ](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UserSettings.html)
+ DefaultSpaceSettings
**注記**
`DefaultSpaceSettings` では、`SageMakerImageArn` の JupyterLab 3 イメージ ARN の使用のみをサポートします。詳細については、「[Amazon SageMaker Studio Classic での JupyterLab のバージョニング](studio-jl.md)」を参照してください。
```
"DefaultSpaceSettings": {
"ExecutionRole": "string",
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"KernelGatewayAppSettings": {
"CustomImages": [
{
"AppImageConfigName": "string",
"ImageName": "string",
"ImageVersionNumber": number
}
],
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"SecurityGroups": [ "string" ]
}
```
## コンテキストキー
ドメインを作成する IAM ポリシーにはコンテキストキーを追加できます。これにより、ユーザーがこのフィールドに渡せる値が制限されます。ドメインがサポートするコンテキストキーと、その実装場所は、以下の一覧のとおりです。
+ `sagemaker:ImageArns`
+ **`DefaultUserSettings` の一部として実装:** `DefaultUserSettings.JupyterServerAppSettings` と `DefaultUserSettings.KernelGatewayAppSettings` の `SagemakerImageArn`。`DefaultUserSettings.KernelGatewayAppSettings` の `CustomImages`。
+ **`DefaultSpaceSettings` の一部として実装:** `DefaultSpaceSettings.JupyterServerAppSettings` と `DefaultSpaceSettings.KernelGatewayAppSettings` の `SagemakerImageArn`。`DefaultSpaceSettings.KernelGatewayAppSettings` の `CustomImages`。
+ `sagemaker:VpcSecurityGroupIds`
+ **`DefaultUserSettings` の一部として実装:** `DefaultUserSettings` の `SecurityGroups`。
+ **`DefaultSpaceSettings` の一部として実装:** `DefaultSpaceSettings` の `SecurityGroups`。
+ `sagemaker:DomainSharingOutputKmsKey`
**`DefaultUserSettings` の一部として実装:** `DefaultSpaceSettings.SharingSettings` の `S3KmsKeyId`。
デフォルトとしてコンテキストキーを使用する場合、互換性のない値を渡すようにユーザーを制限することはできません。例えば、`DefaultUserSettings` と `DefaultSpaceSettings` の一部として設定される `SageMakerImageArn` の値には互換性がなければなりません。互換性のないデフォルト値は設定できません。
# カスタムタグの伝搬
Amazon SageMaker AI では、ドメイン、ユーザープロファイル、スペースのレベルで設定されたカスタムタグを、Amazon SageMaker Studio、JupyterLab、Code-OSS (Visual Studio Code - Open Source) に基づく Code Editor、Amazon SageMaker Canvas のコンテキストで作成されたすべての SageMaker AI リソースに伝播する機能をサポートしています。カスタムタグ伝搬を使用すると、ユーザーは独自のカスタムタグをリソースに伝播して、コスト追跡を改善し、リソースを特定のプロジェクトやチームに関連付けることができます。
この機能を有効にするには、[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API と [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) API の `TagPropagation` 属性を使用します。カスタムタグ伝搬を設定できるのは、ドメインレベルでのみです。つまり、カスタムタグ伝搬を有効にすると、ドメイン内のすべてのユーザーとスペースがこの機能を使用することになります。ユーザープロファイルまたはスペースレベルでカスタムタグ伝搬の設定を変更することはできません。カスタムタグ伝搬の使用の詳細については、「[リソースにカスタムタグを追加する](custom-tags-add.md)」を参照してください。
**注記**
ドメイン、ユーザープロファイル、スペース AWS のサービスによって追加されたシステムタグは伝播されません。
## ユースケースの例
カスタムタグ伝搬は、以下のユースケースで特に役立ちます。
+ Amazon SageMaker Studio で作成されたすべての SageMaker AI リソースにわたるコストを追跡する。
+ Amazon SageMaker Canvas で作成された SageMaker AI リソースのコストを追跡する。これには、SageMaker AI エンドポイントにデプロイされたモデルも含まれる。
+ Amazon DataZone プロジェクト ID を Amazon SageMaker Studio で作成したすべてのリソースに伝播して、Amazon DataZone プロジェクトで発生するコストを追跡する。
## タグのマージ
カスタムタグ伝搬を有効にすると、ユーザープロファイルやスペースレベルで作成されたリソースは、ドメインレベルで指定されたタグのみでなく、ユーザープロファイルまたはスペースの作成中に指定されたタグも引き受けます。
SageMaker AI リソースには、50 個までのタグ制限があります。リソースに追加されたタグの数が 50 個を超えると、SageMaker AI はリソースの作成中にエラーを返します。エラーを回避するために、タグの数を制限することをお勧めします。例えば、ユーザーにドメインのタグが 25 個、ユーザープロファイルのタグが 30 個あるとします。ユーザーがリソースを作成すると、合計 55 個のタグがリソースに伝播されます。集計されたタグの合計が 50 個を超えるため、ユーザーが少なくとも 5 個のタグを削除するまでリソースの作成は失敗します。
**注記**
デフォルトでは、SageMaker AI は `sagemaker:user-profile-arn` タグ、`sagemaker:domain-arn` タグ、または `sagemaker:space-arn` タグを SageMaker AI リソースに自動的に追加します。SageMaker AI は、ドメインでカスタムタグ伝搬を使用しているかどうかを問わず、ARN タグを追加します。このような ARN タグも、タグの 50 個の制限に含まれます。
# リソースにカスタムタグを追加する
次のページでは、カスタムタグ伝搬を使用するために必要なステップについて説明します。カスタムタグ伝搬には、次のステップが必要となります。
+ カスタムタグ伝搬にオプトインする。
+ リソースにカスタムタグを追加する。
既存のドメインでカスタムタグ伝搬を有効にしても、既存のアプリケーションではアプリケーションを再起動するまで、タグ伝搬は機能しません。同様に、新しいカスタムタグが追加されても、既存のリソースのタグは更新されません。例えば、ドメインに 2 つのタグがあり、ユーザーがこのドメインでリソースを作成するとします。作成されたリソースには 2 つのタグが追加されます。ドメインに新しいタグが追加された場合、その新しいタグは既存のリソースには追加されません。ただし、新しく作成されるリソースには、この新しいタグがリソースにアタッチされます。
## 前提条件
+ ユーザーがリソースを作成するには、`sagemaker:AddTags` アクセス許可が付与されている必要があります。
+ `SageMakerFullAccess` マネージドポリシーまたは SageMaker Role Manager を使用して作成される新しいドメインの場合は、`sagemaker:AddTags` アクセス許可は事前入力されます。
+ カスタム AWS Identity and Access Management ポリシーを使用する既存のドメインの場合、ユーザーがリソースを作成できるようにするアクセス許可を含める `sagemaker:AddTags`ようにポリシーを更新する必要があります。
## カスタムタグ伝搬にオプトインする
カスタムタグ伝搬にオプトインするプロセスは、コンソールからオプトインするか、 AWS CLIからオプトインするかによって異なります。コンソールからは、既存のドメインを更新することによってのみ、カスタムタグ伝搬にオプトインできます。から AWS CLI、ドメインの作成時または既存のドメインの更新時に、カスタムタグ伝達にオプトインできます。
### コンソールからオプトインする
次の手順では、コンソールからカスタムタグ伝搬にオプトインする方法を概説します。コンソールからは、既存のドメインを更新することによってのみ、カスタムタグ伝搬にオプトインできます。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左側のナビゲーションペインで、**[管理者設定]** を選択します。**[管理者設定]** で、**[ドメイン]** を選択します。
1. **[ドメイン]** ページで、カスタムタグ伝搬を有効にするドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ドメインの設定]** タブを選択します。
1. **[ドメインの設定]** タブで、**[カスタムタグ伝搬]** に移動します。
1. **[Edit]** (編集) を選択します。
1. **[カスタムタグ伝搬を編集]** ページで、**[カスタムタグを自動的に伝搬]** を選択します。
1. **[送信]** を選択します。
### を使用したオプトイン AWS CLI
を使用してカスタムタグ伝達にオプトインするには AWS CLI、[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API および [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs で `TagPropagation` 属性を使用します。このフィールドのデフォルト値は、`DISABLED` です。空の値もデフォルトで `DISABLED` になります。次の例は、カスタムタグ伝搬を有効にする方法について説明しています。
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation ENABLED
```
## カスタムタグを追加する
カスタムタグ伝搬を追加するプロセスは、コンソールから追加するか、 AWS CLIから追加するかによって異なります。
### コンソールから追加する
次の手順では、コンソールからカスタムタグをドメインに追加する方法を概説します。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左側のナビゲーションペインで、**[管理者設定]** を選択します。**[管理者設定]** で、**[ドメイン]** を選択します。
1. **[ドメイン]** ページで、カスタムタグを追加するドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ドメインの設定]** タブを選択します。
1. **[ドメインの設定]** タブで、**[タグ]** に移動します。
1. **[Edit]** (編集) を選択します。
1. **[タグ]** ページで、**[タグの追加]** をクリックします。タグにキー値のペアを追加します。
1. **[保存]** を選択します。これで、このドメインで作成された SageMaker AI リソースにこのカスタムタグが伝播されるようになりました。
次の手順では、コンソールからカスタムタグをユーザープロファイルに追加する方法を概説します。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左側のナビゲーションペインで、**[管理者設定]** を選択します。**[管理者設定]** で、**[ドメイン]** を選択します。
1. **[ドメイン]** ページで、カスタムタグを追加するユーザープロファイルがあるドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
1. **[ユーザープロファイル]** ページで、カスタムタグを追加するユーザープロファイルを選択します。
1. **[ユーザーの詳細]** タブで、**[詳細]** セクションに移動します。
1. **[Edit]** (編集) を選択します。
1. **[タグ]** セクションで、**[タグの追加]** をクリックします。タグにキー値のペアを追加します。
1. **[送信]** を選択します。これで、このドメインで作成された SageMaker AI リソースにこのカスタムタグが伝播されるようになりました。
### を使用して を追加する AWS CLI
カスタムタグの伝播を有効にしたら、作成または更新時に AWS CLI ドメイン、ユーザープロファイル、またはスペースレベルで を使用してカスタムタグを追加できます。カスタムタグを追加する方法は、新しいリソースを作成する場合か、既存のリソースにタグを追加する場合かによって異なります。
次の例では、作成時にカスタムタグをドメインレベルで追加する方法について説明します。
```
aws sagemaker create-domain \
--domain-name domain-id \
--auth-mode IAM \
--default-user-settings '{"ExecutionRole": "execution-role"}' \
--subnet-ids subnet-id \
--vpc-id vpc-id \
--tags Key=key,Value=value \
--tag-propagation ENABLED
```
既存のドメイン、ユーザープロファイル、スペースにカスタムタグを追加するには、次のとおり [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html) API を使用する必要があります。
```
aws sagemaker add-tags \
--resource-arn resource-arn-to-attach-tags \
--tags Key=key, Value=value
```
# カスタムタグ伝搬のオプトアウト
カスタムタグ伝搬をオプトアウトするプロセスは、コンソールからオプトアウトするか、 AWS CLIからオプトアウトするかによって異なります。
## コンソールからオプトアウトする
次の手順では、コンソールからカスタムタグ伝搬をオプトアウトする方法を概説します。コンソールからは、既存のドメインを更新することによってのみ、カスタムタグ伝搬をオプトアウトできます。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左側のナビゲーションペインで、**[管理者設定]** を選択します。**[管理者設定]** で、**[ドメイン]** を選択します。
1. **[ドメイン]** ページで、カスタムタグ伝搬をオプトアウトするドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ドメインの設定]** タブを選択します。
1. **[ドメインの設定]** タブで、**[カスタムタグ伝搬]** に移動します。
1. **[Edit]** (編集) を選択します。
1. **[カスタムタグ伝搬を編集]** ページで、**[カスタムタグを自動的に伝搬]** を選択します。
1. **[送信]** を選択します。
## を使用してオプトアウトする AWS CLI
カスタムタグ伝搬をオプトアウトするには、次の例に示されるとおり、[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API と [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) API の `TagPropagation` 属性を `DISABLED` に設定します。このフィールドの値は、デフォルトで、`DISABLED` となっています。空の値もデフォルトで `DISABLED` になります。
**注記**
`TagPropagation` が `DISABLED` に設定されている場合、既存のアプリケーションでのタグ伝搬は自動的にオフにはなりません。既存のアプリケーションでのオプトアウトを有効にするには、アプリケーションを再起動する必要があります。
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation DISABLED
```
# ドメインへのカスタムファイルシステムの追加
ドメインを作成する際、Amazon SageMaker AI はデフォルトの Amazon Elastic File System (Amazon EFS) ボリュームをドメインに追加します。SageMaker AI は、このボリュームを自動的に作成します。作成したカスタム Amazon EFS ファイルシステムまたはカスタム Amazon Lustre ファイルシステム用 FSx を追加することもできます。追加したファイルシステムは、ドメインに属するユーザーが使用できるようになります。ユーザーは、Amazon SageMaker Studio を使用する際に、追加したファイルシステムにアクセスできます。ファイルシステムは、以下のサポートされているアプリケーション用に作成するスペースにアタッチできます。
+ JupyterLab
+ コードエディタ
スペースを実行してアプリケーションを起動すると、ユーザーはファイルシステムに含まれるデータ、コード、またはその他のアーティファクトにアクセスできます。
ユーザーは、以下の方法でファイルシステムにアクセスできます。
+ *共有スペース*経由 – 共有スペースは、ドメインに属するすべてのユーザーが作成できます。作成された共有スペースは、ドメインに属するすべてのユーザーが利用できます。
+ *プライベートスペース*経由 – プライベートスペースは、ドメインに属するすべてのユーザーが作成できます。作成されたプライベートスペースは、作成したユーザーのみが使用できます。
+ 個別のユーザー専用 – すべてのユーザーがファイルシステムにアクセスできるようにする必要がない場合は、特定のユーザーのみがファイルシステムにアクセスできるように指定できます。このように指定すると、ファイルシステムは、特定のユーザーが作成したプライベートスペースでのみ使用できます。
Amazon SageMaker API、 AWS SDKs、または を使用して、カスタムファイルシステムを追加できます AWS CLI。カスタムファイルシステムの追加には、SageMaker AI コンソールは使用できません。
## 前提条件
ドメインにカスタムファイルシステムを追加する前に、以下の要件を満たす必要があります。
+ SageMaker AI にドメインが配置されていること。ファイルシステムを追加する前に、ドメイン ID が必要です。ID の検索には、SageMaker AI コンソールを使用できます。 AWS CLIで [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html) コマンドを実行することもできます。
+ AWS アカウント内に Amazon EFS または Lustre ファイルシステム用 FSx があること。
------
#### [ For Amazon EFS ]
+ Amazon EFS の作成手順については、「*Amazon Elastic File System ユーザーガイド*」の「[Create your Amazon EFS file system](https://docs.aws.amazon.com/efs/latest/ug/gs-step-two-create-efs-resources.html)」を参照してください。
+ Studio がファイルシステムにアクセスできるようにするには、ドメインに関連付ける各サブネットにマウントターゲットが必要となります。サブネットへのマウントターゲットの割り当ての詳細については、「*Amazon Elastic File System ユーザーガイド*」の「[Creating and managing mount targets and security groups](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)」を参照してください。
+ マウントターゲットごとに、ドメインの作成 AWS アカウント 時に Amazon SageMaker AI が で作成したセキュリティグループを追加する必要があります。セキュリティグループ名は `security-group-for-inbound-nfs-domain-id` の形式をとります。ドメイン ID を取得する手順については、「[ドメインを表示する](domain-view.md)」を参照してください。
+ IAM 許可で `elasticfilesystem:DescribeMountTargets` アクションの使用が許可されている必要があります。このアクションの詳細については、「*サービス認可リファレンス*」の「[Actions, resources, and condition keys for Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)」を参照してください。
------
#### [ For FSx for Lustre ]
+ FSx for Lustre ファイルシステムの作成手順については、「*Amazon FSx for Lustre ユーザーガイド*」の「[Amazon FSx for Lustre の使用開始](https://docs.aws.amazon.com/fsx/latest/LustreGuide/getting-started.html.html)」を参照してください。Lustre ファイルシステム用 FSx が以下に配置されていることを確認します。
+ ドメインと同じ Amazon VPC
+ ドメイン内に配置されたサブネットのいずれか
+ Studio が FSx for Lustre ファイルシステムにアクセスする前に、Lustre ファイルシステム用 FSx のすべての Elastic Network Interface (ENI) にドメインのセキュリティグループを追加する必要があります。このステップを実行しないと、アプリケーションの作成はエラーで失敗します。次の手順に従って、Lustre ファイルシステム用 FSx の ENI にドメインセキュリティグループを追加します。
**Lustre ファイルシステム用 FSx の ENI にドメインセキュリティグループを追加する (コンソール)**
1. [Amazon FSx コンソール](https://console.aws.amazon.com/fsx)に移動します。
1. [**File Systems (ファイルシステム)**] を選択します。
1. **[ファイルシステム ID]** の対応するリンクを使って、Lustre ファイルシステム用 FSx を選択します。
1. まだ選択されていない場合は、**[ネットワークとセキュリティ]** タブを選択します。
1. **[サブネット]** で、**[すべての ENI を確認するには、Amazon EC2 コンソールを参照してください]** を選択します。これにより、Amazon EC2 コンソールが開き、Lustre ファイルシステム用 FSx にリンクされたすべての ENI が表示されます。
1. 各 ENI について:
1. **[ネットワークインターフェイス ID]** の対応するリンクをクリックして、ENI を選択します。
1. 概要ページの右上にある **[アクション]** をクリックして、ドロップダウンメニューを展開します。
1. ドロップダウンメニューで、**[セキュリティグループを選択してください]** を選択します。
1. ドメインセキュリティグループを検索します。
セキュリティグループ名は `security-group-for-inbound-nfs-domain-id` の形式をとります。ドメイン ID を取得する手順については、「[ドメインを表示する](domain-view.md)」を参照してください。
1. **[セキュリティグループを追加]** をクリックします。
------
## を使用してドメインにカスタムファイルシステムを追加する AWS CLI
を使用してドメインまたはユーザープロファイルにカスタムファイルシステムを追加するには AWS CLI、次のいずれかのコマンドを使用するときに`CustomFileSystemConfigs`定義を渡します。
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html)
次の例は、既存のドメインまたはユーザープロファイルにファイルシステムを追加する方法について説明しています。
**共有スペースでアクセスできるファイルシステムを追加するには**
+ ドメインのデフォルトのスペース設定を更新します。次の例では、ファイルシステム設定をデフォルトのスペース設定に追加します。
```
aws sagemaker update-domain --domain-id domain-id \
--default-space-settings file://file-system-settings.json
```
この例では、ファイルシステム設定を JSON ファイルとして渡します。このファイルについては、後の例で説明します。
**プライベートスペースでアクセスできるファイルシステムを追加するには**
+ ドメインのデフォルトのユーザー設定を更新します。次の例では、ファイルシステム設定をデフォルトのユーザー設定に追加します。
```
aws sagemaker update-domain --domain-id domain-id \
--default-user-settings file://file-system-settings.json
```
この例では、ファイルシステム設定を JSON ファイルとして渡します。このファイルについては、後の例で説明します。
**個別のユーザーのみがアクセスできるファイルシステムを追加するには**
+ 該当するユーザーのユーザープロファイルを更新します。次の例では、ファイルシステム設定をユーザープロファイルに追加します。
```
aws sagemaker update-user-profile --domain-id domain-id \
--user-profile-name user-profile-name \
--user-settings file://file-system-settings.json
```
この例では、ファイルシステム設定を JSON ファイルとして渡します。このファイルについては、次の例で説明します。
**Example ファイルシステム設定ファイル**
上記の例のファイルである `file-system-settings.json` には、次の設定があります。
```
{
"CustomFileSystemConfigs":
[
{
"FSxLustreFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
この例の設定では、以下のキーを使用しています。
`CustomFileSystemConfigs`
カスタムファイルシステムの設定です (Amazon EFS ファイルシステムのみをサポートします)。
`FSxLustreFileSystemConfig`
Lustre ファイルシステム用 FSx ファイルシステムの設定 です。
`FileSystemId`
Amazon EFS ファイルシステムの ID です。
`FileSystemPath`
Studio のスペース内でドメインユーザーがアクセスできるファイルシステムディレクトリへのパスです。許可済みのユーザーは、このディレクトリとディレクトリ内にのみアクセスできます。デフォルトのパスは、ファイルシステムのルートである `/` です。
```
{
"CustomFileSystemConfigs":
[
{
"EFSFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
この例の設定では、以下のキーを使用しています。
`CustomFileSystemConfigs`
カスタムファイルシステムの設定です (Amazon EFS ファイルシステムのみをサポートします)。
`EFSFileSystemConfig`
カスタム Amazon EFS ファイルシステムの設定です。
`FileSystemId`
Amazon EFS ファイルシステムの ID です。
`FileSystemPath`
Studio のスペース内でドメインユーザーがアクセスできるファイルシステムディレクトリへのパスです。許可済みのユーザーは、このディレクトリとディレクトリ内にのみアクセスできます。デフォルトのパスは、ファイルシステムのルートである `/` です。
ファイルシステムをドメインのデフォルトスペース設定に割り当てる場合は、設定に実行ロールも含める必要があります。
```
{
"ExecutionRole": "execution-role-arn"
}
```
この例の設定では、以下のキーを使用しています。
`ExecutionRole`
ドメインのユーザーのデフォルトの実行ロールです。
ファイルシステムに POSIX アクセス許可を適用する場合は、以下の設定を `create-domain` コマンドまたは `create-user-profile` コマンドに渡すこともできます。
```
{
"CustomPosixUserConfig":
{
"Uid": UID,
"Gid": GID
}
}
```
この例の設定では、以下のキーを使用しています。
`CustomPosixUserConfig`
ファイルシステムのオペレーションに使用されるデフォルトの POSIX ID です。このような設定を使用して、カスタムファイルシステムにアクセスするユーザープロファイルに既存の POSIX アクセス許可構造を適用できます。POSIX アクセス許可レベルでは、ファイルシステムにアクセスできるユーザーや、ユーザーがアクセスできるファイルまたはデータを制御できます。
`create-user-profile` コマンドを使用してユーザープロファイルを作成する際に、`CustomPosixUserConfig` 設定を適用することもできます。ユーザープロファイルに適用する設定は、関連付けられたドメインに適用される設定よりも優先されます。
`create-domain` コマンドや `create-user-profile` コマンドを使用する際に、`CustomPosixUserConfig` 設定を適用できます。ただし、以下を実行する場合は、このような設定を適用できません。
+ 既に任意のユーザープロファイルに関連付けられているドメインに対して `update-domain` コマンドを使用する場合。これらの設定は、ユーザープロファイルがないドメインにのみ適用できます。
+ `update-user-profile` コマンドを使用します。これらの設定を既に作成したプロファイルに適用するには、プロファイルを削除して、更新した設定を持つ新しいプロファイルを作成します。
`Uid`
POSIX ユーザー ID です。デフォルトは 200001 です。
`Gid`
POSIX グループ ID です。デフォルトは 1001 です。
## を使用してスペースにカスタムファイルシステムをアタッチする AWS CLI
ドメインにカスタムファイルシステムを追加すると、ドメインユーザーは作成したスペースにファイルシステムをアタッチできます。例えば、Studio または AWS CLIの [create-space](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-space.html) コマンドを使用する際にファイルシステムをアタッチできます。
**カスタムファイルシステムをスペースにアタッチするには**
+ ファイルシステム設定をスペース設定に追加します。次のコマンド例では、ファイルシステムを新しいスペースにアタッチします。
```
aws sagemaker create-space \
--space-name space-name \
--domain-id domain-id \
--ownership-settings "OwnerUserProfileName=user-profile-name" \
--space-sharing-settings "SharingType=Private" \
--space-settings file://space-settings.json
```
この例のファイル `space-settings.json` には、`FileSystemId` キーを使用した `CustomFileSystems` 設定など、次のとおりの設定があります。
------
#### [ For your FSx for Lustre file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"FSxLustreFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
#### [ For your Amazon EFS file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"EFSFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
SageMaker AI は、`/home/sagemaker-user/custom-file-systems/file-system-type/file-system-id` というパスでシンボリックリンクを作成します。これにより、ドメインユーザーはホームディレクトリの `/home/sagemaker-user` 内からカスタムファイルシステムに移動できます。
# ドメイン環境の詳細を表示する
このページでは、Amazon SageMaker AI ドメインの環境への変更に関する情報を提供します。ドメインの環境にアタッチされたカスタムイメージ、ライフサイクル設定、Git リポジトリを表示するには、以下の手順を実行します。
**[環境] ページを開く**
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストからドメインを選択して、**[環境]** ページを開きます。
1. **[ドメインの詳細]** ページで、**[環境]** タブを選択します。
Amazon SageMaker Studio Classic の独自のカスタムイメージを使用する方法の詳細については、「[Bring your own SageMaker image](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html)」を参照してください。
RStudio のカスタムイメージを持ち込む方法の詳細については、「[Bring your own image to RStudio on SageMaker](https://docs.aws.amazon.com/sagemaker/latest/dg/rstudio-byoi.html)」を参照してください。
Studio Classic でライフサイクル設定を使用する手順については、「[Use Lifecycle Configurations with Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lcc.html)」を参照してください。
Git リポジトリをドメインにアタッチする方法については、「[Attach Suggested Git Repos to SageMaker AI](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-git-attach.html)」を参照してください。
これらは、 `space-settings`パラメータを使用して [create-space](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/create-space.html) コマンドに値を渡す AWS CLI ことで、 を使用して共有スペースにアタッチすることもできます。
# ドメインを表示する
以下のセクションでは、SageMaker AI コンソールまたは AWS CLIからドメインを一覧表示したり、個別のドメインの詳細を表示したりする方法について説明します。
## コンソール
コンソールのドメイン概要ページには、ドメインの構造に関する情報とドメインの一覧が表示されます。このページのドメイン構造図は、ドメインのコンポーネントとコンポーネント間の相互連携を説明しています。
以下の手順では、SageMaker AI コンソールからドメインを一覧表示する方法について説明します。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
ドメインの詳細を表示するには、次の手順を実行します。このページには、ドメイン名、ドメイン ID、ドメインの作成に使用される実行ロール、ドメインの認証方法など、ドメインの一般的な設定に関する情報が表示されます。
1. ドメインのリストから、**[ドメインの設定]** ページを開くドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ドメインの設定]** タブを選択します。
## AWS CLI
ローカルマシンのターミナルで以下のコマンドを実行すると、 AWS CLIからドメインを一覧表示できます。
```
aws sagemaker list-domains --region region
```
# ドメイン設定を編集する
ドメインの設定は、SageMaker AI コンソールまたは AWS CLIから編集できます。ドメインの設定を更新する場合、次の考慮事項が適用されます。
+ `DefaultUserSettings` と `DefaultSpaceSettings` が設定されている場合、設定を解除することはできません。
+ `DefaultUserSettings.ExecutionRole` は、ドメイン内のいずれのユーザープロファイルでもアプリケーションが実行されていない場合にのみ更新できます。この値は設定解除できません。
+ `DefaultSpaceSettings.ExecutionRole` は、ドメイン内のいずれの共有スペースでもアプリケーションが実行されていない場合にのみ更新できます。この値は設定解除できません。
+ **[VPC のみ]** モードで作成されたドメインの場合、SageMaker AI はドメインに定義されているセキュリティグループ設定への更新をドメイン内に作成されるすべての共有スペースに自動的に適用します。
+ `DomainId` と `DomainName` は編集できません。
以下のセクションでは、SageMaker AI コンソールまたは AWS CLIからドメイン設定を編集する方法について説明します。
## コンソール
ドメインは、SageMaker AI コンソールから以下の手順で編集できます。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、**[ドメインの設定]** ページを開くドメインを選択します。
1. **[ドメインの詳細]** ページで適切なタブをクリックして、ドメインの詳細を設定して管理できます。
1. 全般設定を指定するには、**[ドメインの詳細]** ページの **[ドメインの設定]** タブをクリックしてから、**[編集]** をクリックします。
## AWS CLI
ローカルマシンのターミナルで以下のコマンドを実行すると、 AWS CLIからドメインを更新できます。`default-user-settings` の構造の詳細については、[CreateDomain](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateDomain.html#API_CreateDomain_RequestSyntax) を参照してください。
```
aws sagemaker update-domain \
--domain-id domain-id \
--default-user-settings default-user-settings \
--default-space-settings default-space-settings \
--domain-settings-for-update settings-for-update \
--region region
```
# Amazon SageMaker AI ドメインを削除する
このページでは、ドメインを削除する方法と必要な要件について説明します。ドメインは、認証済みユーザーのリスト、設定、Amazon Elastic File System (Amazon EFS) ボリュームで構成されます。Amazon EFS ボリュームには、ノートブック、リソース、アーティファクトなど、ユーザーのデータが含まれています。ユーザーは、ユーザーのノートブック、ターミナル、コンソールの読み取りと実行をサポートする複数のアプリケーション (アプリ) を持つことができます。ドメインは、次のいずれかを使用して削除できます。
+ AWS コンソール
+ AWS Command Line Interface (AWS CLI)
+ SageMaker SDK
## 要件
ドメインを削除するには、以下の要件を満たす必要があります。
+ ドメインを削除するには、管理者権限が必要です。
+ 削除できるのは、ドメインで `InService` ステータスが **[準備完了]** と表示されているアプリケーションのみです。アプリケーションを含むドメインを削除するためにステータスが `Failed` のアプリケーションを削除する必要はありません。ドメインでは、失敗した状態のアプリケーションを削除しようとすると、エラーが発生します。
+ ドメインにユーザープロファイルや共有スペースが含まれていると、ドメインは削除できません。障害が発生していないアプリがユーザープロファイルや共有スペースに含まれていると、プロファイルやスペースを削除できません。
これらのリソースを削除すると、次のようになります。
+ アプリ - ユーザーのホームディレクトリのデータ (ファイルとノートブック) が保存されます。保存されていないノートブックデータは失われます。
+ ユーザープロファイル – ユーザーはその後ドメインにサインインできなくなります。ユーザーはホームディレクトリにアクセスできなくなりますが、データは削除されません。管理者は、ユーザーの AWS アカウントに保存されている Amazon EFS ボリュームからデータを取得できます。
+ 認証モードを IAM から IAM アイデンティティセンターに切り替えるには、ドメインを削除する必要があります。
## EFS ファイル
ファイルは、バックアップとして Amazon EFS ボリュームに保持されます。このバックアップには、マウントされたディレクトリのファイルが含まれます。Amazon SageMaker Studio Classic の場合は `/home/sagemaker-user` ディレクトリ、カーネルの場合は `/root` ディレクトリです。
これらのマウントされたディレクトリからファイルを削除すると、カーネルまたはアプリケーションにより、削除したファイルが非表示のゴミ箱フォルダに移動されることがあります。ゴミ箱フォルダがマウントされたディレクトリ内にある場合、それらのファイルは Amazon EFS ボリュームにコピーされ、料金が発生します。これらの Amazon EFS 料金を回避するには、ゴミ箱フォルダの場所を特定して消去する必要があります。デフォルトのアプリケーションとカーネルのゴミ箱フォルダの場所は `~/.local/` です。これは、カスタムのアプリケーションやカーネルに使用する Linux ディストリビューションによって異なる場合があります。Amazon EFS ボリュームの詳細については、「[SageMaker Studio Classic で Amazon EFS ストレージボリュームを管理する](studio-tasks-manage-storage.md)」を参照してください。
SageMaker AI コンソールを使用してドメインを削除すると、Amazon EFS ボリュームはデタッチされます。削除はされません。 AWS CLI または SageMaker Python SDK を使ってドメインを削除する場合も、デフォルトで同じ動作となります。ただし、 AWS CLI または SageMaker Python SDK を使用する場合は、 `RetentionPolicy`を に設定できます`HomeEfsFileSystem=Delete`。これにより、ドメインとともに Amazon EFS ボリュームが削除されます。
## Amazon SageMaker AI ドメインを削除する (コンソール)
**重要**
ユーザー、スペース、またはドメインを削除すると、対応するデータを含む Amazon EFS ボリュームは失われます。これには、ノートブックやその他のアーティファクトが含まれます。
**ドメインを削除するには**
1. [SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker/)を開きます。
1. オプションが既に展開されていない場合は、左側のナビゲーションペインで、**[管理者設定]** を選択して、オプションを展開します。
1. **[管理設定]** で、**[ドメイン]** を選択します。
1. 削除するドメイン名のリンクをクリックします。
1. **[ユーザープロファイル]** タブを選択します。
1. **[ユーザープロファイル]** リストの各ユーザーに対して、以下の手順を繰り返します。
1. ユーザー名のリンクをクリックします。
1. 選択されていない場合は、**[ユーザーの詳細]** タブをクリックします。
1. 任意のアプリケーションとスペースを検索し、対応する **[アクション]** 列で、**[削除]** を選択します。
1. 削除手順に従います。
1. すべてのアプリとスペースの **[ステータス]** が **[削除済み]** になったら、ページの右上にある **[削除]** をクリックします。
1. 削除手順に従います。
1. ユーザーをすべて削除したら、**[スペースの管理]** タブを選択します。
1. **[スペース]** リストのスペースごとに、以下の手順を繰り返します。
1. スペースに対応するバブルを選択します。
1. **[削除]** を選択します。
1. 削除手順に従います。
1. ユーザーとスペースをすべて削除したら、**[ドメインの設定]** タブを選択します。
1. **[ドメインを削除]** セクションを探します。
1. [**Delete domain (ドメインの削除)**] を選択します。このボタンが使用できない場合は、前の手順を繰り返して、すべてのスペースとユーザーを削除する必要があります。
1. 削除手順に従います。
## Amazon SageMaker AI ドメインを削除する (AWS CLI)
**ドメインを削除するには**
1. アカウント内のドメインのリストを取得します。
```
aws --region Region sagemaker list-domains
```
1. 削除するドメインのアプリケーションのリストを取得します。
```
aws --region Region sagemaker list-apps \
--domain-id-equals DomainId
```
1. リストの各アプリケーションを削除します。
```
aws --region Region sagemaker delete-app \
--domain-id DomainId \
--app-name AppName \
--app-type AppType \
--user-profile-name UserProfileName
```
1. ドメインのユーザープロファイルのリストを取得します。
```
aws --region Region sagemaker list-user-profiles \
--domain-id-equals DomainId
```
1. リストの各ユーザープロファイルを削除します。
```
aws --region Region sagemaker delete-user-profile \
--domain-id DomainId \
--user-profile-name UserProfileName
```
1. ドメインの共有スペースのリストを取得します。
```
aws --region Region sagemaker list-spaces \
--domain-id DomainId
```
1. リストの各共有スペースを削除します。
```
aws --region Region sagemaker delete-space \
--domain-id DomainId \
--space-name SpaceName
```
1. ドメインを削除します。Amazon EFS ボリュームも削除する場合は、`HomeEfsFileSystem=Delete` を指定します。
```
aws --region Region sagemaker delete-domain \
--domain-id DomainId \
--retention-policy HomeEfsFileSystem=Retain
```
# ドメインのユーザープロファイル
ユーザープロファイルは、Amazon SageMaker AI ドメイン内の単一のユーザーを説明するものです。ユーザープロファイルは共有、レポート、その他のユーザー指向機能でユーザーを参照する主な方法です。このエンティティは、ユーザーが Amazon SageMaker AI ドメインにオンボードする際に作成されます。ユーザープロファイルには、共有スペースのコンテキスト外に JupyterServer アプリケーションを最大でも 1 つしか含めることができません。ユーザープロファイルの Studio Classic アプリケーションは、ユーザープロファイルに直接関連付けられており、ユーザープロファイルには、分離された Amazon EFS ディレクトリ、ユーザープロファイルに関連付けられた実行ロール、Kernel Gateway アプリケーションがあります。ユーザープロファイルは、コンソールまたは Amazon SageMaker Studio から他のアプリケーションを作成することもできます。
**Topics**
+ [ユーザープロファイルの追加](domain-user-profile-add.md)
+ [ユーザープロファイルの削除](domain-user-profile-remove.md)
+ [ドメイン内のユーザープロファイルを表示する](domain-user-profile-view.md)
+ [ユーザープロファイルの詳細の表示](domain-user-profile-describe.md)
# ユーザープロファイルの追加
以下のセクションでは、SageMaker AI コンソールまたは AWS CLIを使用して、ユーザープロファイルを追加する方法について説明します。
ユーザープロファイルをドメインに追加すると、ユーザーは URL を使用してログインできます。ドメインが認証 AWS IAM アイデンティティセンター に を使用する場合、ユーザーはドメインにサインインするための URL を含む E メールを受け取ります。ドメインが を使用している場合は AWS Identity and Access Management、[CreatePresignedDomainUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) を使用してユーザープロファイルの URL を作成できます。
## コンソールからユーザープロファイルを追加する
以下の手順で、SageMaker AI コンソールからドメインにユーザープロファイルを追加できます。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメイン一覧から、ユーザープロファイルを追加するドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
1. **[ユーザーを追加]** を選択します。新しいページが開きます。
1. ユーザープロファイルにデフォルト名を使用するか、カスタム名を追加します。
1. [**Execution role (実行ロール)**] で、ロールセレクターからオプションを選択します。**[カスタム IAM ロールの ARN の入力]** を選択する場合は、少なくとも、ロールを引き受けるための SageMaker AI アクセス許可を付与する信頼ポリシーをロールにアタッチする必要があります。詳細については、「[SageMaker AI ロール](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html)」を参照してください。
**[新しいロールの作成]** を選択すると、**[IAM ロールの作成]** ダイアログボックスが開きます。
1. **[指定する S3 バケット]** で、ノートブックのユーザーがアクセスできる追加の Amazon S3 バケットを指定します。アクセスできるバケットを追加しない場合は、[**なし**] を選択します。
1. [**ロールの作成**] を選択してください。SageMaker AI によって、[AmazonSageMakerFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess) ポリシーがアタッチされた新しい IAM ロール、`AmazonSageMaker-ExecutionPolicy` が作成されます。
1. (オプション) ユーザープロファイルにタグを追加します。ユーザープロファイルが作成するすべてのリソースに、ドメイン ARN タグとユーザープロファイル ARN タグが追加されます。ドメイン ARN タグはドメイン ID に基づいており、ユーザープロファイルの ARN タグはユーザープロファイル名に基づいています。
1. [**次へ**] を選択します。
1. **[SageMaker Studio]** セクションでは、デフォルトのエクスペリエンスとして、Studio の最新バージョンを使用するか Classic バージョンを使用するかを選択できます。
+ **[SageMaker Studio]** をデフォルトのエクスペリエンスとして選択した場合 (推奨設定)、Studio Classic IDE がデフォルト設定を提供します。デフォルト設定の詳細については、「[デフォルト設定](onboard-quick-start.md#onboard-quick-start-defaults)」を参照してください。
Studio の詳細については、「[Amazon SageMaker Studio](studio-updated.md)」を参照してください。
+ **[Studio Classic]** をデフォルトのエクスペリエンスとして選択した場合は、ノートブックリソース共有を有効にするか無効にするかを選択できます。ノートブックリソースには、セル出力や Git リポジトリなどのアーティファクトなどがあります。ノートブックリソースの詳細については、「[Amazon SageMaker Studio Classic ノートブックを共有、使用する](notebooks-sharing.md)」を参照してください。
1. **[SageMaker Canvas]** では、SageMaker Canvas の設定を指定できます。オンボーディングの手順と設定の詳細については、「[Amazon SageMaker Canvas の開始方法](canvas-getting-started.md)」を参照してください。
1. **[Canvas の基本アクセス許可の設定]** では、SageMaker Canvas アプリケーションを使用するために最低限必要なアクセス許可を設定するかどうかを選択します。
1. RStudio ライセンスの場合は、**[RStudio]** で、次のいずれかのアクセス許可が付与されたユーザーを作成するかどうかを選択します。
+ Unauthorized
+ RStudio 管理者
+ RStudio ユーザー
1. [**次へ**] を選択します。
1. **[Studio UI をカスタマイズ]** ページでは、Studio に表示される表示可能なアプリケーションと機械学習 (ML) ツールをカスタマイズできます。このカスタマイズでは、Studio の左側のナビゲーションペインでアプリケーションと ML ツールの非表示を設定するのみです。Studio UI の詳細については、「[Amazon SageMaker Studio の UI の概要](studio-updated-ui.md)」を参照してください。
アプリケーションの詳細については、「[Amazon SageMaker Studio でサポートされているアプリケーション](studio-updated-apps.md)」を参照してください。
[Studio UI をカスタマイズ] の機能は Studio Classic では利用できません。Studio をデフォルトのエクスペリエンスとして設定する場合は、**[前へ]** と [戻る] をクリックして、前のステップに戻ります。
1. [**次へ**] を選択します。
1. 変更内容を確認したら、**[ユーザープロファイルを作成]** をクリックします。
## からユーザープロファイルを作成する AWS CLI
からドメインにユーザープロファイルを作成するには AWS CLI、ローカルマシンのターミナルから次のコマンドを実行します。使用できる JupyterLab バージョンの ARN の詳細については、「[JupyterLab のデフォルトバージョンを設定する](studio-jl.md#studio-jl-set)」を参照してください。
```
aws --region region \
sagemaker create-user-profile \
--domain-id domain-id \
--user-profile-name user-name \
--user-settings '{
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"SageMakerImageArn": "sagemaker-image-arn",
"InstanceType": "system"
}
}
}'
```
を使用して AWS CLI 、[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) を使用して、Studio に表示されるアプリケーションと ML ツールをカスタマイズできます。アプリケーションを非表示にするには `HiddenAppTypes` を、ML ツールを非表示にするには `HiddenMlTools` を使用します。Studio UI の左側のナビゲーションのカスタマイズの詳細については、「[Amazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps.md)」を参照してください。この機能は、Studio Classic では利用できません。
# ユーザープロファイルの削除
ユーザープロファイルを削除するには、ユーザープロファイルで起動したアプリケーションすべてと、ユーザープロファイルが所有するすべてのスペースを削除する必要があります。以下のセクションでは、SageMaker AI コンソールまたは AWS CLIを使用して、ドメインからユーザープロファイルを削除する方法について説明します。
## コンソールからユーザープロファイルを削除する
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理者設定]** で、**[ドメイン]** を選択します。
1. ドメイン一覧から、ユーザープロファイルを削除するドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
1. 削除するユーザープロファイルを選択します。
1. **[User Details]**] (ユーザーの詳細) ページで、**[Apps]** (アプリケーション) リストの失敗していないアプリケーションごとに、**[Action]** (アクション) を選択します。
1. ドロップダウンメニューから **[Delete]** (削除) を選択します。
1. **[アプリケーションを削除]** ダイアログボックスで、**[はい、アプリケーションを削除します]** を選択します。確認フィールドで、「削除」と入力し、**[削除]** を選択します。**
1. **[ステータス]** がすべてのアプリケーションで **[削除済み]** と表示されたら、**[ドメインの詳細]** ページに戻り、**[スペースの管理]** タブを選択します。
1. ユーザープロファイルが所有するスペースをすべて削除します。ユーザープロファイルが所有者であるスペースごとに、スペースを選択し、**[削除]** をクリックします。詳細な手順については、「[Studio スペースを削除する](studio-updated-running-stop.md#studio-updated-running-stop-space)」を参照してください。
1. **[ユーザープロファイル]** タブに戻り、**[編集]** をクリックします。
1. **[ユーザーの編集]** ページで、**[ユーザーを削除]** を選択します。
1. **[ユーザーを削除]** ポップアップで、**[はい、ユーザーを削除します]** を選択します。
1. フィールドに「削除」と入力して、削除を確認します。**
1. **[削除]** を選択します。
## からユーザープロファイルを削除する AWS CLI
からユーザープロファイルを削除するには AWS CLI、まずユーザープロファイルが所有するスペースを削除してから、ユーザープロファイルを削除します。ローカルマシンのターミナルで以下のコマンドを実行します。
```
# Delete spaces owned by the user profile
aws sagemaker delete-space \
--region region \
--domain-id domain-id \
--space-name space-name
# Delete the user profile
aws sagemaker delete-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# ドメイン内のユーザープロファイルを表示する
以下のセクションでは、SageMaker AI コンソールまたは AWS CLIを使用して、ユーザープロファイルを一覧表示する方法について説明します。
## コンソールからユーザープロファイルを追加する
SageMaker AI コンソールからドメイン内のユーザープロファイルを一覧表示するには、以下の手順を実行します。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、ユーザープロファイルのリストを表示するドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
## からユーザープロファイルを表示する AWS CLI
からドメイン内のユーザープロファイルを表示するには AWS CLI、ローカルマシンのターミナルから次のコマンドを実行します。
```
aws sagemaker list-user-profiles \
--region region \
--domain-id domain-id
```
# ユーザープロファイルの詳細の表示
以下のセクションでは、SageMaker AI コンソールまたは AWS CLIでユーザープロファイルの詳細を表示する方法を説明します。
## コンソールでユーザープロファイルを追加する
SageMaker AI コンソールでユーザープロファイルの詳細を表示するには、次の手順を実行します。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、ユーザープロファイルのリストを表示するドメインを選択します。
1. **[ドメインの詳細]** ページで、**[ユーザープロファイル]** タブを選択します。
1. 詳細を表示するユーザープロファイルを選択します。
## からユーザープロファイルの詳細を表示する AWS CLI
からユーザープロファイルを記述するには AWS CLI、ローカルマシンのターミナルから次のコマンドを実行します。
```
aws sagemaker describe-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# ドメインの IAM アイデンティティセンターグループ
AWS IAM アイデンティティセンター は、 リソースへの AWS ヒューマンユーザーアクセスを管理するために推奨される AWS サービスです。複数の AWS アカウント とアプリケーションへの一貫したアクセスを一か所でユーザーに割り当てることができます。IAM Identity Center の詳細については、「[What is IAM Identity Center?](https://docs.aws.amazon.com//singlesignon/latest/userguide/what-is.html)」を参照してください。
Amazon SageMaker AI ドメインに AWS IAM アイデンティティセンター 認証を使用する場合は、次のトピックを使用して、IAM Identity Center グループとユーザーをドメインに対して表示、追加、削除する方法について説明します。
**Topics**
+ [グループとユーザーの表示](domain-groups-view.md)
+ [ユーザーとグループの追加](domain-groups-add.md)
+ [グループの削除](domain-groups-remove.md)
# グループとユーザーの表示
Amazon SageMaker AI コンソールから IAM アイデンティティセンターのグループとユーザーのリストを表示する手順は、以下のとおりです。
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. 左のナビゲーションペインで、**[管理設定]** を選択します。
1. **[管理設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、**[ドメインの設定]** ページを開くドメインを選択します。
1. **[ドメインの詳細]** ページで、**[グループ]** タブをクリックします。
# ユーザーとグループの追加
次のセクションでは、SageMaker AI コンソールまたは AWS CLIからグループとユーザーをドメインに追加する方法について説明します。
**注記**
ドメインが 2023 年 10 月 1 日より前に作成された場合は、SageMaker AI コンソールからドメインに追加できるのは、グループとユーザーのみです。
## SageMaker AI コンソール
SageMaker AI コンソールからドメインにグループとユーザーを追加するには、以下の手順を実行します。
1. **[グループ]** タブで **[ユーザーとグループの割り当て]** を選択します。
1. **[ユーザーとグループの割り当て]** ページで、追加するユーザーとグループを選択します。
1. **[ユーザーとグループの割り当て]** を選択します。
## AWS CLI
AWS CLIからドメインにグループとユーザーを追加するには、以下の手順を実行します。
1. [describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) を呼び出して、ドメインの `SingleSignOnApplicationArn` を取得します。`SingleSignOnApplicationArn` は、IAM アイデンティティセンターで管理されるアプリケーションの ARN です。
```
aws sagemaker describe-domain \
--region region \
--domain-id domain-id
```
1. ユーザーまたはグループをドメインに関連付けます。これを行うには、[describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) コマンドから返される `SingleSignOnApplicationArn` 値を [create-application-assignment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/create-application-assignment.html) の呼び出しで `application-arn` パラメータとして渡します。また、関連付けるエンティティのタイプと ID も渡す必要があります。
```
aws sso-admin create-application-assignment \
--application-arn application-arn \
--principal-id principal-id \
--principal-type principal-type
```
# グループの削除
SageMaker AI コンソールからドメインのグループを削除するには、以下の手順を実行します。ユーザーの削除については、「[ユーザープロファイルの削除](domain-user-profile-remove.md)」を参照してください。
1. **[グループ]** タブで、削除するグループを選択します。
1. **[グループの割り当てを解除]** を選択します。
1. ポップアップウィンドウで **[はい、グループの割り当てを解除します]** を選択します。
1. フィールドに「割り当てを解除」 と入力します。**
1. **[グループの割り当てを解除]** を選択します。
# ドメインスペースのアクセス許可と実行ロールを理解する
多くの SageMaker AI アプリケーションでは、ドメイン内で SageMaker AI アプリケーションを起動すると、アプリケーション用のスペースが作成されます。ユーザープロファイルがスペースを作成すると、そのスペースは、そのスペースに付与されたアクセス許可を定義する AWS Identity and Access Management (IAM) ロールを引き受けます。次のページでは、スペースタイプと、スペースのアクセス許可を定義する実行ロールについて説明します。
IAM [ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。その代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。
**注記**
Amazon SageMaker Canvas または RStudio を起動しても、IAM ロールを引き受けるスペースは作成されません。代わりに、ユーザープロファイルに関連付けられたロールを変更して、アプリケーションのアクセス許可を管理します。SageMaker AI ユーザープロファイルのロールを取得する方法については、「[ユーザーの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)」を参照してください。
SageMaker Canvas については、「[Amazon SageMaker Canvas の設定と権限の管理 (IT 管理者向け)](canvas-setting-up.md)」を参照してください。
RStudio については、「[RStudio アプリケーションで Amazon SageMaker AI ドメインを作成する](rstudio-create-cli.md#rstudio-create-cli-domain)」を参照してください。
ユーザーは、共有スペースまたはプライベートスペース内で SageMaker AI アプリケーションにアクセスできます。
**共有スペース**
+ アプリケーションに関連付けられたスペースは 1 つのみです。共有スペースには、ドメイン内のすべてのユーザープロファイルからアクセスできます。これにより、ドメイン内のすべてのユーザープロファイルに、アプリケーションと同じ基盤となるファイルストレージシステムへのアクセスが付与されます。
+ 共有スペースには、**スペースのデフォルトの実行ロール**で定義されたアクセス許可が付与されます。共有スペースの実行ロールを変更する場合は、スペースのデフォルトの実行ロールを変更する必要があります。
スペースのデフォルトの実行ロールを取得する方法については、「[スペースの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)」を参照してください。
実行ロールを変更する方法については、「[実行ロールのアクセス許可を変更する](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)」を参照してください。
+ 共有スペースの詳細については、「[共有スペースでコラボレーション](domain-space.md)」を参照してください。
+ 共有スペース作成するには、「[共有スペースの作成](domain-space-create.md#domain-space-create-app)」を参照してください。
**プライベートスペース**
+ アプリケーションに関連付けられたスペースは 1 つのみです。プライベートスペースにアクセスできるのは、プライベートスペースを作成したユーザープロファイルのみです。このスペースを他のユーザーと共有することはできません。
+ プライベートスペースは、スペースを作成したユーザープロファイルの**ユーザープロファイルの実行ロール**を引き受けます。プライベートスペースの実行ロールを変更する場合は、ユーザープロファイルの実行ロールを変更する必要があります。
ユーザープロファイルの実行ロールを取得する方法については、「[ユーザーの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)」を参照してください。
実行ロールを変更する方法については、「[実行ロールのアクセス許可を変更する](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)」を参照してください。
+ スペースをサポートするすべてのアプリケーションは、プライベートスペースもサポートします。
+ Studio Classic 用のプライベートスペースは、デフォルトではユーザープロファイルごとに既に作成されています。
**Topics**
+ [SageMaker AI の実行ロール](#sagemaker-execution-roles)
+ [実行ロールを使用した柔軟なアクセス許可の例](#sagemaker-execution-roles-example)
## SageMaker AI の実行ロール
SageMaker のAI 実行ロールは、SageMaker AI で実行している IAM アイデンティティに割り当てられている [AWS Identity and Access Management (IAM) ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。[IAM ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) は、 AWS アカウントへのアクセスを提供し、ユーザーに代わって他の AWS リソースにアクセスするためのアクセス許可を SageMaker AI に付与する、認証され AWS、アクションを実行する権限を付与できる人間のユーザーまたはプログラムによるワークロードを表します。SageMaker AI はこのロールを使用して、コンピューティングインスタンスの起動、Amazon S3 に保存されているデータやモデルアーティファクトへのアクセス、CloudWatch へのログの書き込みなどのアクションを実行できます。SageMaker AI はランタイムで実行ロールを引き受け、SageMaker AI にはロールのポリシーで定義されたアクセス許可が一時的に付与されます。ロールには、該当するアイデンティティが実行できるアクションと、アイデンティティがアクセスできるリソースを定義する、必要となるアクセス許可が付与されている必要があります。さまざまなアイデンティティにロールを割り当てることで、ドメイン内のアクセス許可とアクセスを管理するための柔軟できめ細かなアプローチを提供できます。ドメインの詳細については、「[Amazon SageMaker AI ドメインの概要](gs-studio-onboard.md)」を参照してください。例えば、IAM ロールを以下に割り当てることができます。
+ ドメイン内のすべてのユーザープロファイルに広範なアクセス許可を付与する**ドメインの実行ロール**
+ ドメイン内の共有スペースに広範なアクセス許可を付与する**スペースの実行ロール**。ドメイン内のすべてのユーザープロファイルは共有スペースにアクセスでき、共有スペース内ではスペースの実行ロールを使用します。
+ 特定のユーザープロファイルにきめ細かなアクセス許可を付与する**ユーザープロファイルの実行ロール**。ユーザープロファイルが作成したプライベートスペースは、作成したユーザープロファイルの実行ロールを引き受けます。
これにより、ユーザープロファイルへの最小特権アクセス許可の原則を維持しながら、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」に準拠して、ドメインに必要なアクセス許可を付与できます。
実行ロールへの変更の伝播には数分かかる場合があります。詳細については、それぞれ「[実行ロールを変更する](sagemaker-roles.md#sagemaker-roles-change-execution-role)」または「[実行ロールのアクセス許可を変更する](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)」を参照してください。
## 実行ロールを使用した柔軟なアクセス許可の例
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を使用すると、広範かつきめ細かいレベルでアクセス許可を管理して付与できます。次の例では、スペースレベルとユーザーレベルのアクセス許可が付与されます。
データサイエンティストチームのドメインを設定する管理者の場合、ドメイン内のユーザープロファイルに Amazon Simple Storage Service (Amazon S3) バケットへのフルアクセスを許可して、SageMaker トレーニングジョブを実行し、*共有スペース* 内のアプリケーションを使用してモデルをデプロイできるように設定できます。この例では、広範なアクセス許可が付与されている「DataScienceTeamRole」という名前の IAM ロールを作成できます。その後、「DataScienceTeamRole」を*スペースのデフォルト実行ロール*として割り当て、チームに幅広いアクセス許可を付与できます。ユーザープロファイルが*共有スペース*を作成すると、そのスペースは*スペースのデフォルトの実行ロール*を引き受けます。既存のドメインに実行ロールを割り当てる方法については、「[スペースの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)」を参照してください。
独自の*プライベートスペース*で作業する個別のユーザープロファイルに Amazon S3 バケットへのフルアクセスを許可する代わりに、ユーザープロファイルのアクセス許可を制限して、Amazon S3 バケットの変更を許可しないようにすることができます。この例では、Amazon S3 バケットへの読み取りアクセス権を付与して、データの取得、SageMaker トレーニングジョブの実行、*プライベートスペース*へのモデルのデプロイを実行できるようにすることができます。比較的限られたアクセス許可で、「DataScientistRole」というユーザーレベルの実行ロールを作成できます。その後「DataScientistRole」を*ユーザープロファイルの実行ロール*に割り当て、定義された範囲内で特定のデータサイエンスタスクを実行するために必要なアクセス許可を付与できます。ユーザープロファイルが*共有スペース*を作成すると、そのスペースは*ユーザーの実行ロール*を引き受けます。既存のユーザープロファイルに実行ロールを割り当てる方法については、「[ユーザーの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)」を参照してください。
SageMaker AI 実行ロールと実行ロールへのアクセス許可の追加の詳細については、「[SageMaker AI 実行ロールの使用方法](sagemaker-roles.md)」を参照してください。
# ドメイン内の SageMaker AI リソースを表示する
## SageMaker AI コンソールを使用してドメインのリソースを表示する
SageMaker AI コンソールを使用すると、Amazon SageMaker AI ドメイン内の Amazon SageMaker AI リソースを表示できます。以下の手順を使用して、ドメイン ARN でタグ付けされたリソースを表示する方法について説明します。
この手順に従って表示する SageMaker リソースは、関連する `sagemaker:domain-arn` タグが関連付けられているリソースです。タグ付けされていないリソースは、ドメインのコンテキストの外部で作成されたか、2022 年 11 月 30 日より前に作成され、リソースにドメイン ARN が自動的にタグ付けされていない可能性があります。「[ドメインタグのバックフィル](domain-multiple-backfill.md)」の手順に従って、このようなタグ付けされていないリソースにタグを追加するとフィルタリングを改善できます。他のドメインで作成されたリソースは自動的に除外されます。
**注記**
これは、ドメインのアクティブなリソースの完全なリストではありません。すべてのアクティブな SageMaker リソースについては、「[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)」を参照してください。
**コンソールを使用してドメイン内の SageMaker AI リソースを表示するには**
1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。
1. まだ展開されていない場合は、左側のナビゲーションペインを展開します。
1. **[管理設定]** で、**[ドメイン]** を選択します。
1. ドメインのリストから、**[ドメインの設定]** ページを開くドメインを選択します。
1. **[ドメインの詳細]** ページで、**[リソース]** タブをクリックします。
1. **[ドメインリソース]** ページで、相対ドメイン ARN でタグ付けされたリソースの詳細が表示されます。実行中のリソースはデフォルトで表示されます。
1. (オプション) 各リソースタイプの上部にある検索アイコンまたは **[フィルターステータス]** を使用して、各リソースタイプについて表示されるリソースをフィルターできます。
## を使用してドメイン内の SageMaker AI スペース AWS CLI を表示する
次のセクションでは、 AWS CLIを使用してドメイン内のスペースを表示する方法について説明します。
*domain-id* を取得しておく必要があります。ドメインの詳細を取得するには、「[ドメインを表示する](domain-view.md)」を参照してください。
```
aws sagemaker list-spaces \
--region region
--domain-id domain-id
```
## を使用してドメイン内の SageMaker AI アプリケーション AWS CLI を表示する
次のセクションでは、 AWS CLIを使用してドメイン内のアプリケーションを表示する方法について説明します。
*domain-id* を取得しておく必要があります。ドメインの詳細を取得するには、「[ドメインを表示する](domain-view.md)」を参照してください。
```
aws sagemaker list-apps \
--domain-id-equals domain-id
```
アプリケーションまたはドメインが表示されない場合は、 AWS リージョンを変更する必要がある場合があります。そのためには、 `aws configure` を使用して AWS 認証情報を更新します。詳細については、「[configure](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configure/index.html)」を参照してください。
# ドメイン内の SageMaker AI リソースをシャットダウンする
SageMaker AI コンソールを使用して、Amazon SageMaker AI ドメイン内の Amazon SageMaker AI リソースをシャットダウンできます。以下の手順を使用して、ドメイン ARN でタグ付けされたリソースをシャットダウンする方法について説明します。
この手順に従って表示する SageMaker リソースは、関連する `sagemaker:domain-arn` タグが関連付けられているリソースです。タグ付けされていないリソースは、ドメインのコンテキストの外部で作成されたか、2022 年 11 月 30 日より前に作成され、リソースにドメイン ARN が自動的にタグ付けされていない可能性があります。「[ドメインタグのバックフィル](domain-multiple-backfill.md)」の手順に従って、このようなタグ付けされていないリソースにタグを追加するとフィルタリングを改善できます。他のドメインで作成されたリソースは自動的に除外されます。
**注記**
これは、ドメインのアクティブなリソースの完全なリストではありません。すべてのアクティブな SageMaker リソースについては、「[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)」を参照してください。
**コンソールを使用してドメイン内の SageMaker AI リソースをシャットダウンするには**
1. [ドメイン内の SageMaker AI リソースを表示する](sm-console-domain-resources-view.md)
1. リソースタイプセクションで、シャットダウンするリソースのチェックボックスをオンにします。
1. リソースを選択すると、リソースタイプセクションの上部のシャットダウンオプションが利用できるようになります。オプションを選択して、手順に従い、選択したリソースをシャットダウンします。
SageMaker AI の機能ごとにリソースを削除する方法については、「[SageMaker AI 機能ごとにリソースをシャットダウンする場所](sm-shut-down-resources-per-feature.md)」を参照してください。
# SageMaker AI 機能ごとにリソースをシャットダウンする場所
不要な料金が発生しないように、Amazon SageMaker AI のリソースをシャットダウンできます。次の表は、SageMaker AI の機能またはリソースの一覧と、それぞれの SageMaker AI リソースをシャットダウンする方法に関するドキュメントへのリンクを提供しています。
SageMaker AI が提供する「[API、CLI、SDK](api-and-sdk-reference-overview.md)」を使用することもできます。例えば、「[Amazon SageMaker API リファレンス](https://docs.aws.amazon.com/sagemaker/latest/APIReference/Welcome.html)」で `Delete*` コマンドを検索して、作成したリソースの一部を削除できます。具体的には、[DeleteDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) API を検索して、Amazon SageMaker AI ドメインを削除する方法を調べることができます。
**注記**
これは、ドメインのアクティブなリソースの完全なリストではありません。すべてのアクティブな SageMaker AI リソースについては、「[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)」を参照してください。
| SageMaker AI の機能、インフラストラクチャ、リソース | シャットダウン手順 |
| --- | --- |
| [キャンバス](canvas.md) | [Amazon SageMaker Canvas からのログアウト](canvas-log-out.md) |
| [コードエディタ](code-editor.md) | [Code Editor リソースをシャットダウンする](code-editor-use-log-out.md) |
| [[ドメイン]](sm-domain.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Studio Classic での EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html) | [Studio または Studio Classic から Amazon EMR クラスターを終了する](terminate-emr-clusters.md) |
| [実験](mlflow.md) | [MLflow リソースをクリーンアップする](mlflow-cleanup.md) |
| [HyperPod](sagemaker-hyperpod.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [推論エンドポイント](realtime-endpoints-options.md) | [エンドポイントとリソースを削除する](realtime-endpoints-delete-resources.md) |
| [JupyterLab](studio-updated-jl.md) | [未使用のリソースを削除する](studio-updated-jl-admin-guide-clean-up.md) |
| [MLOps](mlops.md) | [Amazon SageMaker Studio または Studio Classic を使用して MLOps プロジェクトを削除する](sagemaker-projects-delete.md) |
| [ノートブックインスタンス](nbi.md) | [Amazon SageMaker ノートブックインスタンスリソースのクリーンアップ](ex1-cleanup.md) |
| [Pipelines](pipelines.md) | [パイプラインを停止する](pipelines-studio-stop.md) |
| [プロジェクト](sagemaker-projects.md) | [Amazon SageMaker Studio または Studio Classic を使用して MLOps プロジェクトを削除する](sagemaker-projects-delete.md) |
| [RStudio on Amazon SageMaker AI](rstudio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [スタジオ](studio-updated.md) | [Studio で実行中のインスタンス、アプリケーション、スペースを表示する](studio-updated-running.md) |
| [Studio Classic](studio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [AWS CloudFormationでのスタック](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) | [AWS CloudFormation コンソールでのスタックの削除](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) |
| [SageMaker AI の TensorBoard](tensorboard-on-sagemaker.md) | [未使用の TensorBoard アプリケーションを削除する](debugger-htb-delete-app.md) |
# Amazon VPC の選択
このトピックでは、Amazon SageMaker AI ドメインにオンボードする際の Amazon Virtual Private Cloud (Amazon VPC) の選択について詳しく説明します。SageMaker AI ドメインへのオンボーディングの詳細については、「[Amazon SageMaker AI ドメインの概要](gs-studio-onboard.md)」を参照してください。
SageMaker AI ドメインはデフォルトで 2 つの Amazon VPC を使用します。1 つの Amazon VPC は Amazon SageMaker AI によって管理され、直接インターネットアクセスを提供します。もう 1 つの Amazon VPC はユーザーが指定するもので、ドメインと Amazon Elastic File System (Amazon EFS) ボリューム間で暗号化されたトラフィックを提供します。
この動作を変更すると、指定した Amazon VPC 経由で SageMaker AI がすべてのトラフィックを送信するように設定できます。このオプションを選択する場合は、Studio で使用される SageMaker API、SageMaker AI ランタイム、Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch などのさまざまな AWS サービスと通信するために必要なサブネット、セキュリティグループ、インターフェイスエンドポイントを指定する必要があります。
SageMaker AI ドメインにオンボードする際、ネットワークアクセスタイプを **[VPC のみ]** に設定して、SageMaker AI がすべてのトラフィックを Amazon VPC 経由で送信するように指定します。
**Amazon VPC 情報を指定するには**
次の手順で Amazon VPC エンティティ (Amazon VPC、サブネット、またはセキュリティグループ) を指定すると、現在の AWS リージョンに配置されているエンティティの数に基づいて 3 つのオプションのいずれかが表示されます。それぞれの動作は次のとおりです。
+ エンティティが 1 つの場合 - SageMaker AI はそのエンティティを使用します。これを変更することはできません。
+ エンティティが複数ある場合 - ドロップダウンリストからエンティティを選択する必要があります。
+ エンティティがない場合 – ドメインを使用するには、単一または複数のエンティティを作成する必要があります。**[Create ]** (<エンティティ> を作成) を選択して、新しいブラウザタブで VPC コンソールを開きます。エンティティを作成したら、ドメインの **[使用を開始]** ページに戻り、オンボーディングプロセスを続行します。
この手順は、**[組織向けの設定]** を選択した場合の Amazon SageMaker AI ドメインのオンボーディングプロセスの一環です。Amazon VPC 情報は **[ネットワーク]** セクションで指定します。
1. ネットワークのアクセスタイプを選択します。
**注記**
**[VPC のみ]** を選択した場合、SageMaker AI はドメインに定義されているセキュリティグループ設定をドメイン内に作成されるすべての共有スペースに自動的に適用します。**[パブリックインターネットのみ]** を選択した場合、SageMaker AI はドメイン内で作成された共有スペースにセキュリティグループ設定を適用しません。
+ **パブリックインターネットのみ** - Amazon EFS 以外のトラフィックは、インターネットアクセスを許可する SageMaker AI が管理する Amazon VPC を経由します。ドメインと Amazon EFS ボリューム間のトラフィックは、指定された Amazon VPC を経由します。
+ **VPC のみ** - すべての SageMaker AI トラフィックは、指定された Amazon VPC とサブネットを経由します。**[VPC のみ]** モードでは、インターネットに直接アクセスできないサブネットを使用する必要があります。インターネットアクセスはデフォルトで無効になっています。
1. [Amazon VPC] を選択します。
1. 1 つ以上のサブネットを選択します。サブネットを選択しない場合、SageMaker AI は Amazon VPC 内のすべてのサブネットを使用します。制約のあるアベイラビリティーゾーンに作成されていない複数のサブネットを使用することをお勧めします。このような制約のあるアベイラビリティーゾーンでサブネットを使用すると、容量不足エラーが発生し、アプリケーションの作成時間が長くなる可能性があります。制約のあるアベイラビリティーゾーンの詳細については、「*AWS リージョン およびアベイラビリティーゾーンユーザーガイド*」の「[制約のあるアベイラビリティーゾーン](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-availability-zones.html#constrained-zones)」を参照してください。
1. セキュリティグループを選択します。**[Public internet only]** (パブリックインターネットのみ) を選択した場合は、この手順は任意です。**[VPC only]** (VPC のみ) を選択した場合は、この手順は必須です。
**注記**
許可されているセキュリティグループの最大数については、「[UserSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UserSettings.html)」を参照してください。
**[VPC のみ]** モードでの VPC の要件については、「[VPC 内の Studio ノートブックを外部リソースに接続する](studio-notebooks-and-internet-access.md)」を参照してください。