翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SageMaker AI のカスタムセットアップを使用する
<a name="onboard-custom"></a>

**[組織向けの設定]** (カスタムセットアップ) は、Amazon SageMaker AI ドメインの高度なセットアップのガイドを提供します。このオプションは、アクセス許可、統合、暗号化など、アカウント設定のあらゆる側面を理解し、制御するのに役立つ情報とレコメンデーションを提供します。カスタムドメインを設定する場合は、このオプションを使用します。ドメインの詳細については、「[Amazon SageMaker AI ドメインの概要](gs-studio-onboard.md)」を参照してください。

**Topics**
+ [認証方法](#onboard-custom-authentication-details)
+ [組織向けの設定 (カスタムセットアップ)](#onboard-custom-instructions)
+ [オンボーディング後にドメインにアクセスする](#onboard-custom-users-accesss-domain)

## 認証方法
<a name="onboard-custom-authentication-details"></a>

ドメインを設定する前に、ユーザーがドメインにアクセスするための認証方法を検討してください。

**AWS アイデンティティセンター**: 
+ **ユーザーグループへのアクセス許可の管理を簡素化します。**グループを使用すると、個別のユーザーにこれらのアクセス許可を適用するのではなく、ユーザーグループに対してアクセス許可を付与したり拒否したりできます。ユーザーが別の組織に移動した場合、そのユーザーを別の AWS Identity and Access Management アイデンティティセンター (AWS IAM アイデンティティセンター) グループに移動できます。その後、ユーザーは新しい組織に必要な権限を自動的に受け取ります。

  IAM Identity Center はドメイン AWS リージョン と同じ にある必要があることに注意してください。

  IAM アイデンティティセンターを使用して設定を行うには、以下の「*AWS IAM アイデンティティセンターユーザーガイド*」の手順を使用します。
  + 「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)」から始めます。
  + 最小特権のアクセス許可を適用するというベストプラクティスに沿った[アクセス許可セットを作成](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html)します。
  + IAM アイデンティティセンターのディレクトリに、[グループを追加](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)します。
  + ユーザーとグループに[シングルサインオンアクセスを割り当て](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers)ます。
  +  基本的なワークフローを表示して、[IAM アイデンティティセンターで一般的なタスクを開始](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)します。
+ IAM Identity Center のユーザーは、E メールで送信される AWS アクセスポータル URL を使用してドメインにアクセスできます。E メールには、ドメインにアクセスするためのアカウントを作成する手順が記載されています。詳細については、「[AWS アクセスポータルへのサインイン](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html)」を参照してください。

  管理者は、[IAM アイデンティティセンター](https://console.aws.amazon.com/singlesignon)に移動し、**設定の概要**で AWS アクセスポータル URL を見つけることで **AWS アクセスポータル URL** を見つけることができます。
+ ドメインへのアクセスを特定の Amazon Virtual Private Cloud AWS Identity and Access Management (VPCs)、インターフェイスエンドポイント、または事前定義された IP アドレスのセットのみに制限する場合は、ドメインで (IAM) 認証を使用する必要があります。この機能は、IAM アイデンティティセンター認証を使用するドメインではサポートされていません。IAM アイデンティティセンターを使用して、ワークフォース ID の一元管理を有効にすることはできます。IAM アイデンティティセンターを維持しながらこのような制限を実装し、一貫したユーザーサインインエクスペリエンスを提供するために IAM アイデンティティセンターを維持しながらこれらの制限を実装する方法については、*AWS 機械学習ブログ*の「[Secure access to Amazon SageMaker Studio Classic with IAM Identity Center and a SAML application](https://aws.amazon.com/blogs/machine-learning/secure-access-to-amazon-sagemaker-studio-with-aws-sso-and-a-saml-application/)」を参照してください。このブログでは AWS 、SSO は IAM Identity Center であることに注意してください。

**IAM 経由でログイン**: 
+ ユーザープロファイルは、アカウントにログインした後、SageMaker AI コンソールからドメインにアクセスできます。
+ ドメインへのアクセスを特定の Amazon Virtual Private Clouds (VPC)、インターフェイスエンドポイント、または事前定義された IP アドレスセットのみに制限する場合は、ドメインで、 AWS Identity and Access Management (IAM) 認証を使用する必要があります。詳細については、「[VPC 内からのアクセスのみを許可する](studio-interface-endpoint.md#studio-private-link-restrict)」を参照してください。

## 組織向けの設定 (カスタムセットアップ)
<a name="onboard-custom-instructions"></a>

### コンソールを使用したカスタムセットアップ
<a name="onboard-custom-instructions-console"></a>

「[Amazon SageMaker AI の前提条件を満たす](gs-set-up.md)」の前提条件を満たしたら、**[SageMaker AI Domain をセットアップ]** (カスタムセットアップ) ページを開き、以下のセクションを展開して、セットアップの情報を表示します。

**SageMaker AI コンソールから **[SageMaker AI Domain をセットアップ]** を開きます。**

1. [SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker/)を開きます。

1. 左側のナビゲーションペインで、**[管理者設定]** を選択して、オプションを展開します。

1. **[管理設定]** で、**[ドメイン]** を選択します。

1. **[ドメインの追加]** ページで **[ドメインの作成]** を選択します。

1. **[SageMaker AI Domain をセットアップ]** ページで、**[組織向けの設定]** を選択します。

1. **[設定]** を選択します。

**[SageMaker AI Domain をセットアップ]** ページが開いたら、以下の手順を実行します。

#### ステップ 1: ドメインの詳細
<a name="onboard-custom-instructions-console-step-1"></a>

1. **[ドメイン名]** には、ドメインの一意の名前を入力します。例えば、プロジェクト名やチーム名などを入力します。

1. [**次へ**] を選択します。

#### ステップ 2: ユーザーと ML アクティビティ
<a name="onboard-custom-instructions-console-step-2"></a>

このステップでは、ドメインの認証方法、ユーザー、アクセス許可を設定します。

1. **[Studio へのアクセス方法]** では、2 つのオプションのいずれかを選択できます。認証方法の詳細については、「[認証方法](#onboard-custom-authentication-details)」を参照してください。オプションの詳細については、以下を参照してください。
   + **AWS アイデンティティセンター**: 

     **Studio を使用するユーザー** ドメインにアクセスする AWS IAM アイデンティティセンター グループを選択します。

     **[アイデンティティセンターのユーザーグループなし]** を選択した場合は、ユーザーなしのドメインが作成されます。IAM アイデンティティセンターグループは、ドメインの作成後にドメインに追加できます。詳細については、「[ドメイン設定を編集する](domain-edit.md)」を参照してください。
   + **IAM 経由でログイン**: 

     **[Studio を使用するユーザー]** で **[\$1 ユーザーを追加]** をクリックして新しいユーザープロファイル名を入力し、**[追加]** をクリックしてユーザープロファイル名を作成して追加します。

     このプロセスを繰り返して、複数のユーザープロファイルを作成できます。

1. **[Studio を使用するユーザー]** で IAM アイデンティティセンターユーザーまたは IAM アイデンティティセンターグループを選択して、**[選択]** をクリックします。Amazon SageMaker Studio は、IAM アイデンティティセンターを設定したリージョンと同一のリージョン内で設定する必要があります。ドメインのリージョンを変更するには、コンソールの右上にあるドロップダウンリストからリージョンを選択します。IAM アイデンティティセンターのリージョンは、[AWS アクセスポータル](https://console.aws.amazon.com/singlesignon)に移動して変更することもできます。

1. **[実行する ML アクティビティ]** で、**[既存のロールを使用]** をクリックして既存のロールを使用することも、**[新しいロールの作成]** をクリックして、ロールにアクセスを許可する ML アクティビティを確認することもできます。

1. ML アクティビティを選択する際は、要件を満たす必要がある場合があります。要件を満たすには、**[追加]** をクリックして、要件を完了します。

1. すべての要件が満たされたら、**[次へ]** をクリックします。

#### ステップ 3:アプリケーション
<a name="onboard-custom-instructions-console-step-3"></a>

このステップでは、前のステップで有効にしたアプリケーションを設定できます。ML アクティビティの詳細については、「[ML アクティビティリファレンス](role-manager-ml-activities.md)」を参照してください。

アプリケーションが有効になっていない場合、そのアプリケーションに関する警告が表示されます。有効になっていないアプリケーションを有効にするには、**[戻る]** をクリックして前のステップに戻り、前の手順に従って有効にします。
+ **Studio** の設定:

  **[Studio]** では、デフォルトのエクスペリエンスとして、Studio の最新バージョンか Classic バージョンを選択できます。つまり、Studio を開く際に操作する ML 環境を選択します。
  + **Studio** は、Amazon SageMaker Studio Classic など、複数の統合開発環境 (IDE) とアプリケーションを提供しています。選択すると、Studio Classic IDE はデフォルト設定を提供します。デフォルト設定の詳細については、「[デフォルト設定](onboard-quick-start.md#onboard-quick-start-defaults)」を参照してください。

    Studio の詳細については、「[Amazon SageMaker Studio](studio-updated.md)」を参照してください。
  + **Studio Classic** には Jupyter IDE が含まれています。選択すると、Studio Classic の設定を行うことができます。

    Studio Classic の詳細については、「[Amazon SageMaker Studio Classic](studio.md)」を参照してください。
+ **SageMaker Canvas** の設定: 

  Amazon SageMaker Canvas が有効になっている場合のオンボーディングの手順と設定の詳細については、「[Amazon SageMaker Canvas の開始方法](canvas-getting-started.md)」を参照してください。
+ **Studio Classic** の設定:

  **[Studio]** をデフォルトのエクスペリエンスとして選択した場合 (推奨設定)、Studio Classic IDE がデフォルト設定を提供します。デフォルト設定の詳細については、「[デフォルト設定](onboard-quick-start.md#onboard-quick-start-defaults)」を参照してください。

  Studio Classic をデフォルトのエクスペリエンスとして選択した場合は、ノートブックリソース共有を有効にするか無効にするかを選択できます。ノートブックリソースには、セル出力や Git リポジトリなどのアーティファクトなどがあります。ノートブックリソースの詳細については、「[Amazon SageMaker Studio Classic ノートブックを共有、使用する](notebooks-sharing.md)」を参照してください。

   [ノートブックリソース共有の有効化] を有効にする場合:

  1. **[共有可能なノートブックリソースの S3 ロケーション]** には、Amazon S3 のロケーションを入力します。

  1. **暗号化キー - *オプション***で、**カスタム暗号化なし**のままにするか、既存の AWS KMS キーを選択するか**、KMS キー ARN を入力して** AWS KMS キーの ARN を入力します。

  1. **[ノートブックセル出力共有の詳細設定]** では、**[ユーザーのセル出力共有を許可]** または **[セル出力共有を無効にする]** を選択します。
+ **RStudio** の設定:

  RStudio を有効にするには、RStudio ライセンスが必要です。設定するには、「[RStudio ライセンスを取得する](rstudio-license.md)」を参照してください。

  1. **[RStudio Workbench]** で、RStudio ライセンスが自動検出されることを確認します。RStudio ライセンスの取得と、SageMaker AI でのライセンスのアクティベーションの詳細については、「[RStudio ライセンスを取得する](rstudio-license.md)」を参照してください。

  1. RStudio サーバーを起動するインスタンスタイプを選択します。詳細については、「[RStudioServerPro インスタンスタイプ](rstudio-select-instance.md)」を参照してください。

  1. **[Permission]** (アクセス許可) で、ロールを作成するか、既存のロールを選択します。ロールには、次のアクセス許可ポリシーが必要です。このポリシーを使用すると、RStudioServerPro アプリケーションが必要なリソースにアクセスできるようになります。これにより、既存の RStudioServerPro アプリケーションのステータスが `Deleted` または `Failed` になった場合に、Amazon SageMaker AI が RStudioServerPro アプリケーションを自動的に起動できるようにもなります。ロールへのアクセス許可の付与の詳細については、「[ロールのアクセス許可ポリシーの変更 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)」 を参照してください。

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }
     ```

------

  1. **[RStudio Connect]** で、RStudio Connect サーバーの URL を追加します。RStudio Connect は、Shiny アプリケーション、R Markdown レポート、ダッシュボード、プロットなどのためのパブリッシングプラットフォームです。SageMaker AI で RStudio にオンボードした場合は、RStudio Connect サーバーは作成されません。詳細については、「[RStudio Connect URL を追加する](rstudio-configure-connect.md)」を参照してください。

  1. **[RStudio Package Manager]** (RStudio パッケージマネージャー) で、RStudio パッケージマネージャーの URL を追加します。SageMaker AI では、RStudio にオンボードする際に、パッケージマネージャーのデフォルトのパッケージリポジトリが作成されます。RStudio パッケージマネージャーの詳細については、「[RStudio Package Manager の URL を更新する](rstudio-configure-pm.md)」を参照してください。

  1. **[次へ]** を選択してください。
+ **Code Editor** の設定:

  Code Editor が有効になっている場合の概要と設定の詳細については、「[Amazon SageMaker Studio の Code Editor](code-editor.md)」を参照してください。

#### ステップ 4: Studio UI をカスタマイズする
<a name="onboard-custom-instructions-console-step-4"></a>

このセクションでは、Studio に表示される表示可能なアプリケーションと機械学習 (ML) ツールをカスタマイズできます。このカスタマイズでは、Studio の左側のナビゲーションペインでアプリケーションと ML ツールの非表示を設定するのみです。Studio UI の詳細については、「[Amazon SageMaker Studio の UI の概要](studio-updated-ui.md)」を参照してください。

アプリケーションの詳細については、「[Amazon SageMaker Studio でサポートされているアプリケーション](studio-updated-apps.md)」を参照してください。

[Studio UI をカスタマイズ] の機能は Studio Classic では利用できません。Studio をデフォルトのエクスペリエンスとして設定する場合は、**[前へ]** と [戻る] をクリックして、前のステップに戻ります。

1. **[Studio UI をカスタマイズ]** ページで、Studio に表示されるアプリケーションと ML ツールの表示設定をオフに切り替えて非表示にできます。

1. 変更内容を確認したら、**[次へ]** をクリックします。

#### ステップ 5: ネットワーク設定をセットアップする
<a name="onboard-custom-instructions-console-step-5"></a>

Studio で他の AWS サービスに接続する方法を選択します。

**[仮想プライベートクラウド (VPC) のみ]** ネットワークアクセスタイプの使用を指定することで、Studio へのインターネットアクセスを無効にできます。このオプションを選択すると、VPC に SageMaker API とランタイムへのエンドポイントがあるか、インターネットにアクセスできるネットワークアドレス変換 (NAT) ゲートウェイがあり、セキュリティグループでアウトバウンド接続が許可されていない限り、Studio ノートブックを実行できなくなります。Amazon VPC の詳細については、「[Amazon VPC の選択](onboard-vpc.md)」を参照してください。

[仮想プライベートクラウド (VPC) のみ] を選択する場合、以下のステップが必要となります。**[パブリックインターネットアクセス]** を選択した場合、以下のステップが必要となります。

1. **[VPC]** で、Amazon VPC ID を選択します。

1. **[サブネット]** で、1 つ以上のサブネットを選択します。サブネットを選択しない場合、SageMaker AI は Amazon VPC 内のすべてのサブネットを使用します。制約のあるアベイラビリティーゾーンに作成されていない複数のサブネットを使用することをお勧めします。このような制約のあるアベイラビリティーゾーンでサブネットを使用すると、容量不足エラーが発生し、アプリケーションの作成時間が長くなる可能性があります。制約のあるアベイラビリティーゾーンの詳細については、「[アベイラビリティーゾーン](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-availability-zones)」を参照してください。

1. **[セキュリティグループ]** で、1 つ以上のサブネットを選択します。

**[VPC のみ]** を選択した場合、SageMaker AI はドメインに定義されているセキュリティグループ設定をドメイン内に作成されるすべての共有スペースに自動的に適用します。**[パブリックインターネットのみ]** を選択した場合、SageMaker AI はドメイン内で作成された共有スペースにセキュリティグループ設定を適用しません。

#### ステップ 6: ストレージを設定する
<a name="onboard-custom-instructions-console-step-6"></a>

データを暗号化するオプションが提供されています。ドメインの作成時に作成される [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) および [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) ファイルシステムです。Amazon EBS のサイズは、Code Editor スペースと JupyterLab スペースの両方で使用されます。

Amazon EFS ファイルシステムと Amazon EBS ファイルシステムを暗号化した後に、暗号化キーを変更することはできません。Amazon EFS ファイルシステムと Amazon EBS ファイルシステムを暗号化するには、以下の設定を使用できます。
+ **[暗号化キー - *オプション*]** では、**[カスタム暗号化なし]** のままにするか、既存の KMS キーを選択するか、**[KMS キー ARN を入力]** をクリックして、KMS キーの ARN を入力します。
+ **[デフォルトのスペースサイズ - *オプション*]** で、デフォルトのスペースサイズを入力します。
+ **[最大スペースサイズ - *オプション*]** で、最大スペースサイズを入力します。

#### ステップ 7: 確認して作成する
<a name="onboard-custom-instructions-console-step-7"></a>

ドメインの設定内容を確認します。設定を変更する必要がある場合は、関連するステップの横にある **[編集]** をクリックします。ドメイン設定が正確であることを確認したら、**[送信]** をクリックします。これにより、ドメインが作成されます。このプロセスには数分かかることがあります。

### を使用したカスタムセットアップ AWS CLI
<a name="onboard-custom-instructions-cli"></a>

以下のセクションでは、IAM Identity Center または IAM 認証方法を使用してドメインをカスタムセットアップする AWS CLI 手順について説明します。

 AWS CLI 認証情報の設定を含む前提条件を満たしたら、 で次の手順[Amazon SageMaker AI の前提条件を満たす](gs-set-up.md)を実行します。

1. ドメインの作成に使用する実行ロールを作成して、[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess) ポリシーをアタッチします。最低限、ロールを引き受けるための SageMaker AI アクセス許可を付与する信頼ポリシーがアタッチされている、既存のロールを使用することもできます。詳細については、「[SageMaker AI 実行ロールの使用方法](sagemaker-roles.md)」を参照してください。

   ```
   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess
   ```

1. アカウントのデフォルトの Amazon Virtual Private Cloud (Amazon VPC) を取得します。

   ```
   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text
   ```

1. デフォルトの Amazon VPC のサブネットのリストを取得します。

   ```
   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json
   ```

1. デフォルトの Amazon VPC ID、サブネット、実行ロール ARN を渡してドメインを作成します。SageMaker イメージ ARN も渡す必要があります。使用できる JupyterLab バージョンの ARN の詳細については、「[JupyterLab のデフォルトバージョンを設定する](studio-jl.md#studio-jl-set)」を参照してください。

   `authentication-mode` では、IAM アイデンティティセンター認証には `SSO` を、IAM 認証には `IAM` を使用します。

   ```
   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text
   ```

   を使用して AWS CLI 、[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) を使用して、ドメインの Studio に表示されるアプリケーションと ML ツールをカスタマイズできます。アプリケーションを非表示にするには `HiddenAppTypes` を、ML ツールを非表示にするには `HiddenMlTools` を使用します。Studio UI の左側のナビゲーションのカスタマイズの詳細については、「[Amazon SageMaker Studio UI で機械学習ツールとアプリケーションを非表示にする](studio-updated-ui-customize-tools-apps.md)」を参照してください。この機能は、Studio Classic では利用できません。

1. ドメインが作成されたことを検証します。

   ```
   aws --region region sagemaker list-domains
   ```

### を使用したカスタムセットアップ AWS CloudFormation
<a name="onboard-custom-instructions-cfn"></a>

を使用してドメインを作成する方法については AWS CloudFormation、 ユーザーガイドの[AWS::SageMaker::Domain](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-sagemaker-domain.html)」を参照してください。 *CloudFormation *

ドメインの設定に使用できる CloudFormation テンプレートの例については、`aws-samples`GitHub リポジトリの[「 を使用して Amazon SageMaker AI ドメイン CloudFormation](https://github.com/aws-samples/cloudformation-studio-domain)を作成する」を参照してください。

ドメインが設定されると、管理ユーザーはドメインを確認して編集できます。詳細については、「[ドメインを表示する](domain-view.md)」および「[ドメイン設定を編集する](domain-edit.md)」を参照してください。

## オンボーディング後にドメインにアクセスする
<a name="onboard-custom-users-accesss-domain"></a>

ユーザーは、以下を使用して SageMaker AI にアクセスできます。
+ ドメインが IAM アイデンティティセンター認証を使用して設定されている場合は、サインイン URL。詳細については、「[How to sign in to the user portal](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html)」を参照してください。
+ [SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker)