本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 SageMaker AI 域名概述
Amazon SageMaker AI 使用域来组织用户个人资料、应用程序及其相关资源。Amazon SageMaker AI 域名由以下内容组成:
+ 关联的 Amazon Elastic File System (Amazon EFS) 卷
+ 授权用户列表
+ 各种安全性、应用程序、策略和 Amazon Virtual Private Cloud (Amazon VPC) 配置
下图概述了每个域中的私有应用程序和共享空间。
![\[Overview of a domain.\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/images/domains/private-apps-shared-spaces.png)
要访问大多数 Amazon SageMaker AI 环境和资源,您必须使用 A SageMaker I 控制台或完成 Amazon SageMaker AI 域名注册流程。 AWS CLI有关介绍如何根据您想要的访问 SageMaker AI 的方式开始使用 SageMaker AI 的指南,以及在必要时如何设置域的指南,请参阅[Amazon A SageMaker I 入门指南](gs.md)。
**Topics**
+ [亚马逊 SageMaker AI 域名实体和状态](sm-domain.md)
+ [选择 Amazon VPC](onboard-vpc.md)
# 亚马逊 SageMaker AI 域名实体和状态
Amazon SageMaker AI 域支持 SageMaker 人工智能机器学习 (ML) 环境。A SageMaker I 域由以下实体及其关联的状态值组成。有关创建域的载入步骤,请参阅 [亚马逊 SageMaker AI 域名概述](gs-studio-onboard.md)。
+ **域**:域由以下部分组成。
+ 关联的 Amazon Elastic File System (Amazon EFS) 卷。
+ 授权用户列表。
+ 各种安全性、应用程序、策略和 Amazon Virtual Private Cloud (Amazon VPC) 配置。
域中的用户可以彼此共享笔记本文件和其他构件。一个账户可以拥有多个域。有关多域的更多信息,请参阅 [多域概览](domain-multiple.md)。
+ **用户配置文件**:用户配置文件代表域中的单个用户。这是引用用户以实现共享、报告和其他面向用户的特征的主要方式。该实体是在用户登录 Amazon A SageMaker I 域时创建的。有关配置文件的更多信息,请参阅[域用户配置文件](domain-user-profile.md)。
+ **共享空间**:共享空间由共享 JupyterServer 应用程序和共享目录组成。域中的所有用户配置文件都可以访问域中的所有共享空间。有关共享空间的更多信息,请参阅[使用共享空间进行协作](domain-space.md)。
+ **应用程序**:应用程序表示支持用户笔记本电脑、终端和控制台的阅读和执行体验的应用程序。应用程序的类型可以是 JupyterServer、 KernelGateway RStudioServerPro、或 RSession。用户可能同时激活多个应用程序。
下列各表描述了 `domain`、`UserProfile`、`shared space` 和 `App` 实体的状态值。在适用情况下,它们还提供了问题排查步骤。
域状态值
| 值 | 说明 |
| --- | --- |
| Pending | 持续创建域。 |
| InService | 成功创建域。 |
| Updating | 持续更新域。 |
| Deleting | 持续删除域。 |
| 失败 | 域创建不成功。调用 DescribeDomain API 查看域创建失败的原因。删除失败的域,并在修复 FailureReason 中提到的错误后重新创建域。 |
| Update\$1Failed | 域更新不成功。调用 DescribeDomain API 查看域更新失败的原因。修复 FailureReason 中提到的错误后,调用 UpdateDomain API。 |
| Delete\$1Failed | 域删除不成功。调用 DescribeDomain API 查看域删除失败的原因。由于删除失败,可能有一些资源仍在运行,但无法使用或更新域。修复 FailureReason 中提到的错误后,再次调用 DeleteDomain API。 |
`UserProfile` 状态值
| 值 | 说明 |
| --- | --- |
| 待处理 | 正在创建 UserProfile。 |
| InService | 成功创建 UserProfile。 |
| Updating | 正在进行更新 UserProfile。 |
| Deleting | 正在删除 UserProfile。 |
| 失败 | UserProfile 创建失败。调用 DescribeUserProfile API 以查看 UserProfile 创建失败的原因。修复 FailureReason 中提到的错误后,删除失败的 UserProfile 并重新创建它。 |
| Update\$1Failed | UserProfile 更新失败。调用 DescribeUserProfile API 以查看 UserProfile 更新失败的原因。修复 FailureReason 中提到的错误后,再次调用 UpdateUserProfile API。 |
| Delete\$1Failed | UserProfile 删除失败。调用 DescribeUserProfile API 以查看 UserProfile 删除失败的原因。由于删除失败,可能有一些资源仍在运行,但您无法使用或更新 UserProfile。修复 FailureReason 中提到的错误后,再次调用 DeleteUserProfile API。 |
共享空间状态值
| 值 | 说明 |
| --- | --- |
| 待处理 | 正在创建共享空间。 |
| InService | 成功创建共享空间。 |
| Deleting | 正在删除共享空间。 |
| 失败 | 共享空间创建失败。调用 DescribeSpace API 以查看共享空间创建失败的原因。修复 FailureReason 中提到的错误后,删除失败的共享空间并重新创建它。 |
| Update\$1Failed | 共享空间更新失败。调用 DescribeSpace API 以查看共享空间更新失败的原因。修复 FailureReason 中提到的错误后,再次调用 UpdateSpace API。 |
| Delete\$1Failed | 共享空间删除失败。调用 DescribeSpace API 以查看共享空间删除失败的原因。由于删除失败,可能有一些资源仍在运行,但您无法使用或更新共享空间。修复 FailureReason 中提到的错误后,再次调用 DeleteSpace API。 |
| Deleted | 成功删除共享空间。 |
`App` 状态值
| 值 | 说明 |
| --- | --- |
| 待处理 | 正在创建 App。 |
| InService | 成功创建 App。 |
| Deleting | 正在删除 App。 |
| 失败 | App 创建失败。调用 DescribeApp API 以查看 App 创建失败的原因。修复 FailureReason 中提到的错误后,再次调用 CreateApp API。 |
| Deleted | 成功删除 App。 |
## 应用程序维护
SageMaker 人工智能至少每 90 天对亚马逊 SageMaker Studio Classic、Canvas JupyterServer 和 KernelGateway Amazon D SageMaker ata Wr SageMaker angler 应用程序的底层软件进行一次安全和性能更新。某些维护项目(例如操作系统升级)要求 SageMaker AI 在维护时段内让您的应用程序在短时间内离线。由于此维护会使应用程序离线,因此在更新底层软件期间不能执行任何操作。当维护活动正在进行时,应用程序的状态将从变为 “**InService****待处理**”。维护完成后,应用程序的状态将恢复为**InService**。如果修补失败,则应用程序的状态将变为 **Failed**。如果应用程序处于**失败**状态,我们建议创建相同类型的新应用程序。有关创建 Studio Classic 应用程序的信息,请参阅 [关闭并更新 Amazon SageMaker Studio 经典版和应用程序](studio-tasks-update.md)。有关创建 SageMaker Canvas 应用程序的信息,请参阅[应用程序管理](canvas-manage-apps.md)。
欲了解更多信息,请联系 https://aws.amazon.com/premiumsupport/。
**Topics**
+ [应用程序维护](#domain-maintenance)
+ [满足先决条件](domain-prerequisites.md)
+ [在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序](studio-updated-ui-customize-tools-apps.md)
+ [在 Amazon SageMaker Studio 用户界面中隐藏实例类型和图片](studio-updated-ui-customize-instances-images.md)
+ [多域概览](domain-multiple.md)
+ [隔离域资源](domain-resource-isolation.md)
+ [亚马逊 A SageMaker I 域名的默认设置](domain-set-defaults.md)
+ [自定义标签传播](custom-tags.md)
+ [为域添加自定义文件系统](domain-custom-file-system.md)
+ [查看域环境详情](domain-space-environment.md)
+ [查看领域](domain-view.md)
+ [编辑域设置](domain-edit.md)
+ [删除亚马逊 A SageMaker I 域名](gs-studio-delete-domain.md)
+ [域用户配置文件](domain-user-profile.md)
+ [域中的 IAM Identity Center 组](domain-groups.md)
+ [了解域空间权限和执行角色](execution-roles-and-spaces.md)
+ [查看您所在域中的 SageMaker AI 资源](sm-console-domain-resources-view.md)
+ [关闭你域中的 SageMaker AI 资源](sm-console-domain-resources-shut-down.md)
+ [按照 SageMaker AI 功能在哪里关闭资源](sm-shut-down-resources-per-feature.md)
# 满足先决条件
要使用 Amazon A SageMaker I 域中提供的功能,您必须满足以下先决条件。
+ 登录到域。有关更多信息,请参阅[登录 Amazon SageMaker AI 域](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)。
+ (可选)如果您使用与您的域进行交互 AWS CLI,则还必须满足以下先决条件。
+ AWS CLI 按照[安装当前 AWS CLI 版本中的步骤进行](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv1.html#install-tool-bundled)更新。
+ 在本地计算机上运行`aws configure`并提供您的 AWS 凭据。有关 AWS 证书的信息,请参阅[了解和获取您的 AWS 证书](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)。
# 在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序
**重要**
截至 2023 年 11 月 30 日,之前的亚马逊 SageMaker Studio 体验现在被命名为 Amazon St SageMaker udio Classic。以下部分专门介绍如何使用更新后的 Studio 体验。有关使用 Studio Classic 应用程序的信息,请参阅 [亚马逊 SageMaker Studio 经典版](studio.md)。
本主题介绍如何隐藏 Amazon SageMaker Studio 用户界面 (UI) 中显示的应用程序和机器学习 (ML) 工具。有关 Studio UI 的信息,请参阅 [亚马逊 SageMaker 工作室用户界面概述](studio-updated-ui.md)。
这种定制不会阻止对这些资源的访问。如果要禁止访问某个应用程序,请参阅 [Amazon SageMaker 角色管理器](role-manager.md)。
有关应用程序的信息,请参阅 [Amazon SageMaker Studio 支持的应用程序](studio-updated-apps.md)。
自定义 Studio 用户界面功能在 Amazon SageMaker Studio 经典版中不可用。
您可以在域级别和用户级别上自定义 Studio UI:
+ 域级别上的自定义会为域中的所有用户设置默认值。
这些默认设置适用于域中所有*未*对其个人用户设置进行更改的用户。
+ 用户层面的定制将优先于域层面的设置。
通过以下主题了解有关不同自定义级别的更多信息以及如何应用它们。
**Topics**
+ [在领域层面隐藏机器学习工具和应用](studio-updated-ui-customize-tools-apps-domain.md)
+ [在用户级指令中隐藏机器学习工具和应用程序](studio-updated-ui-customize-tools-apps-user.md)
# 在领域层面隐藏机器学习工具和应用
下面介绍如何使用管理控制台在域级别上自定义 Studio 中显示的应用程序和 ML 工具。有关更多信息,请参阅 [在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序](studio-updated-ui-customize-tools-apps.md)。
如果将 Amazon SageMaker Studio Classic 设置为默认体验,则此功能不可用。
## 在域级指令(管理控制台)上隐藏机器学习工具和应用程序
**在域级(管理控制台)上隐藏机器学习工具和应用程序 Studio UI**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要编辑的域链接。
1. 在**域详细信息**页面上,选择**应用程序配置**选项卡。
1. 在 **SageMaker Studio** 部分中,选择**自定义 Studio 用户界面**。
1. 在**自定义 Studio UI** 页面上,您可以通过切换隐藏 Studio 中显示的应用程序和 ML 工具。
请注意,并非所有区域都提供所有 ML 功能。
1. 查看更改后,选择**保存**。
完成后,您将在页面顶部看到一条包含成功信息的绿色横幅。
## 在领域级指令中隐藏机器学习工具和应用程序 (AWS CLI)
**注意**
要使用此功能,您可能需要更新到最新 AWS CLI 版本。有关更多信息,请参阅[安装或更新到最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用自定义 Studio 中在域级别上显示的应用程序和机器学习工具[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html)。 AWS CLI 使用 `HiddenAppTypes` 隐藏应用程序,使用 `HiddenMlTools` 隐藏 ML 工具。
在以下示例中,对网域中的用户隐藏 SageMaker Canvas 和代码编辑器`domainId`。
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
请注意,并非所有的 ML 功能都适用于所有 AWS 区域。
# 在用户级指令中隐藏机器学习工具和应用程序
下面将介绍如何在用户级别自定义 Studio 中显示的应用程序和 ML 工具。有关更多信息,请参阅 [在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序](studio-updated-ui-customize-tools-apps.md)。
如果将 Studio Classic 设置为默认体验,则无法使用此功能。
## 在用户级指令(管理控制台)上隐藏机器学习工具和应用程序
**在用户级(管理控制台)隐藏机器学习工具和应用程序 Studio UI**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要编辑的域链接。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
1. 在**用户配置文件**部分,选择要编辑的用户配置文件链接。
1. 选择**应用程序配置**选项卡。
1. 在 **SageMaker Studio** 部分中,选择**自定义 Studio 用户界面**。
1. 在**自定义 Studio UI** 页面上,您可以通过切换隐藏 Studio 中显示的应用程序和 ML 工具。
请注意,并非所有区域都提供所有 ML 功能。
1. 查看更改后,选择**保存**。这将带您回到用户配置文件编辑流程。
1. 选择**保存更改**。
完成后,您将在页面顶部看到一条包含成功信息的绿色横幅。
## 在用户级指令中隐藏机器学习工具和应用程序 (AWS CLI)
**注意**
要使用此功能,您可能需要更新到最新 AWS CLI 版本。有关更多信息,请参阅[安装或更新到最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用在 AWS CLI 用户级别自定义 Studio 中显示的应用程序和机器学习工具[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html)。使用 `HiddenAppTypes` 隐藏应用程序,使用 `HiddenMlTools` 隐藏 ML 工具。
在以下示例中,对网域*userProfileName*中的用户隐藏 SageMaker Canvas 和代码编辑器`domainId`。
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
请注意,并非所有的 ML 功能都适用于所有 AWS 区域。
# 在 Amazon SageMaker Studio 用户界面中隐藏实例类型和图片
**重要**
截至 2023 年 11 月 30 日,之前的亚马逊 SageMaker Studio 体验现在被命名为 Amazon St SageMaker udio Classic。以下部分专门介绍如何使用更新后的 Studio 体验。有关使用 Studio Classic 应用程序的信息,请参阅 [亚马逊 SageMaker Studio 经典版](studio.md)。
本主题介绍如何隐藏 Amazon A SageMaker I 实例类型和在 Amazon SageMaker Studio 用户界面 (UI) 中显示的图像。有关 Studio UI 的信息,请参阅 [亚马逊 SageMaker 工作室用户界面概述](studio-updated-ui.md)。
当你隐藏 SageMaker AI 实例类型和图像时:
+ 受影响的用户将无法在 Studio UI 中查看隐藏的资源。
+ 受影响的用户将无法使用隐藏配置运行或创建新空间。
+ 受影响用户当前正在运行的任何空间都不会受到影响。
+ 当受影响的用户尝试运行带有隐藏资源的空间时,他们将收到管理员已禁用相关资源的通知。
**注意**
如果不希望*隐藏*,而是希望通过 AWS Identity and Access Management 策略*限制*用户可用的实例类型,请参阅:
[我能否限制数据科学家可以启动的用于训练 SageMaker AI 作业的实例类型?](https://repost.aws/questions/QUd77APmdHTx-2FZCvZfS6Qg/can-i-limit-the-type-of-instances-that-data-scientists-can-launch-for-training-jobs-in-sagemaker) 在 re AWS : post 中。
[通过中的 IAM 策略限制 Amazon A SageMaker I 上的实例类型](https://stackoverflow.com/questions/76426316/limiting-instances-types-on-aws-sagemaker-via-iam-policy) StackOverflow。
自定义 Studio 用户界面功能在 Amazon SageMaker Studio 经典版中不可用。
您可以在域级别和用户级别上自定义 Studio UI:
+ 域级别上的自定义会为域中的所有用户设置默认值。
+ 用户层面的定制将优先于域层面的设置。
通过以下主题了解有关不同自定义级别的更多信息以及如何应用它们。
**Topics**
+ [在域级别隐藏实例类型和映像](studio-updated-ui-customize-instances-images-domain.md)
+ [在用户级别隐藏实例类型和映像](studio-updated-ui-customize-instances-images-user.md)
# 在域级别隐藏实例类型和映像
以下内容展示了如何使用控制台设置规则,以隐藏 Amazon A SageMaker I 实例类型和图像,使其不在*域级别*的 Amazon SageMaker Studio Classic UI 中显示。有关更多信息,请参阅 [在 Amazon SageMaker Studio 用户界面中隐藏实例类型和图片](studio-updated-ui-customize-instances-images.md)。
一旦在域级别上进行了这些更改:
+ 这些变化不会影响目前的任何开放空间。
+ 从那时起,这些更改将影响域用户的*默认*可见性。
这些默认设置适用于域中所有*未*对其个人用户设置进行更改的用户。
+ 用户级设置优先于域级设置。
自定义 Studio 用户界面功能在 Amazon SageMaker Studio 经典版中不可用。
## 在域级指令(管理控制台)上隐藏实例类型和映像
**在域级别上隐藏实例类型和映像 Studio UI(控制台)**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要编辑的域链接。
1. 在**域详细信息**页面上,选择**域设置**。
1. 在**域设置**选项卡中,可以在**域规则**部分查看域规则。
1. 在**域规则**部分选择**管理规则**。
1. 在**管理域规则**页面选择**规则类型**。
请注意,并非所有 AWS 区域都提供所有实例类型和映像。
1. 如果您选择**实例类型**,则可以使用 “**隐藏**” 操作来隐藏您在实例类型下拉列表中选择的 SageMaker AI **实例类型**。
1. 如果选择 “**图像**”,则可以使用 “**隐藏**” 操作来隐藏在 “ SageMaker 图像” 下拉列表下选择的**图像**。
1. (可选)选择 **\$1 添加新规则**添加更多规则。
1. 查看更改后,选择**提交**。
完成后,您将在页面顶部看到一条包含成功信息的绿色横幅。
## 在域级指令中隐藏实例类型和映像 (AWS CLI)
**注意**
要使用此功能,您可能需要更新到最新 AWS CLI 版本。有关更多信息,请参阅[安装或更新到最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用在 AWS CLI 网域级别自定义 Studio 用户界面中显示的 SageMaker AI 实例和图像[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html)。`HiddenInstanceTypes`用于隐藏实例类型和`HiddenSageMakerImageVersionAliases`用于隐藏 SageMaker 图像。
请注意,使用 `HiddenSageMakerImageVersionAliases` 时:
+ API 只接受次要 `VersionAliases`(例如 `1.9`),而不是补丁版本(例如 `1.9.1`)。
+ 您可以通过 CLI 或 SDK 输入未发布的版本。不过,这些版本将不会显示在管理控制台中,并会在通过管理控制台编辑规则后被覆盖。
在以下示例中,对于基于 Code-OSS 的代码编辑器、Visual Studio Code-Open Source 以及 JupyterLab,默认情况下,以下内容在域中对用户隐藏:`domainId`
+ 实例类型 `ml.r6id.24xlarge` 和 `ml.r6id.32xlarge`。
+ 映像 `sagemaker_distribution` 版本 `1.9` 和 `1.8`。
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
请注意,并非所有 AWS 区域都提供所有实例类型和映像。
# 在用户级别隐藏实例类型和映像
**警告**
自定义用户配置文件是一项永久性操作。如果保存了自定义设置,该用户配置文件将覆盖域设置,今后不再随域动态更新。
以下内容展示了如何使用控制台设置规则,以隐藏 Amazon A SageMaker I 实例类型和图像,使其不在*用户级别*的 Amazon SageMaker Studio Classic UI 中显示。有关更多信息,请参阅 [在 Amazon SageMaker Studio 用户界面中隐藏实例类型和图片](studio-updated-ui-customize-instances-images.md)。
该设置将优先于域级别设置。
Studio Classic 中不提供自定义 Studio UI 功能。
## 在用户级别指令(管理控制台)上隐藏实例类型和映像
**在用户级别隐藏实例类型和映像 Studio UI(控制台)**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要编辑的域链接。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
1. 在**用户配置文件**部分,选择要编辑的用户配置文件链接。
1. 在“用户详情”选项卡上,可以在“用户配置文件规则”部分查看应用于用户的规则。
1. 在“用户配置文件规则”部分选择“管理规则”。
1. 在“管理用户配置文件规则”页面选择规则类型。
请注意,并非所有 AWS 区域都提供所有实例类型和映像。
1. 如果您选择**实例类型**,则可以使用 “**隐藏**” 操作来隐藏您在实例类型下拉列表中选择的 SageMaker AI **实例类型**。
1. 如果选择 “**图像**”,则可以使用 “**隐藏**” 操作来隐藏在 “ SageMaker 图像” 下拉列表下选择的**图像**。
1. (可选)选择 **\$1 添加新规则**添加更多规则。
1. 查看更改后,选择**提交**。
完成后,您将在页面顶部看到一条包含成功信息的绿色横幅。
## 在用户级别指令 (AWS CLI) 上隐藏实例类型和映像
**注意**
要使用此功能,您可能需要更新到最新 AWS CLI 版本。有关更多信息,请参阅[安装或更新到最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用在 AWS CLI 用户级别自定义 Studio 中显示的应用程序和机器学习工具[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html)。`HiddenInstanceTypes`用于隐藏实例类型和`HiddenSageMakerImageVersionAliases`用于隐藏 SageMaker 图像。
请注意,使用 `HiddenSageMakerImageVersionAliases` 时:
+ API 只接受次要 `VersionAliases`(例如 `1.9`),而不是补丁版本(例如 `1.9.1`)。
+ 您可以通过 CLI 或 SDK 输入未发布的版本。不过,这些版本将不会显示在管理控制台中,并会在通过管理控制台编辑规则后被覆盖。
在以下示例中,对于基于 Code-OSS 的代码编辑器、Visual Studio Code-Open Source 以及 JupyterLab,对域`userProfileName`中的用户隐藏了以下内容:`domainId`
+ 实例类型 `ml.r6id.24xlarge` 和 `ml.r6id.32xlarge`。
+ 映像 `sagemaker_distribution` 版本 `1.9` 和 `1.8`。
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
请注意,并非所有 AWS 区域都提供所有实例类型和映像。
# 多域概览
**重要**
允许 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic 创建亚马逊 SageMaker资源的自定义 IAM 策略还必须授予向这些资源添加标签的权限。之所以需要为资源添加标签的权限,是因为 Studio 和 Studio Classic 会自动为创建的任何资源添加标签。如果 IAM 策略允许 Studio 和 Studio Classic 创建资源但不允许标记,则在尝试创建资源时可能会出现 AccessDenied “” 错误。有关更多信息,请参阅 [提供标记 A SageMaker I 资源的权限](security_iam_id-based-policy-examples.md#grant-tagging-permissions)。
[AWS 亚马逊 A SageMaker I 的托管策略](security-iam-awsmanpol.md)授予创建 SageMaker 资源的权限已经包括在创建这些资源时添加标签的权限。
拥有多个 Amazon SageMaker AI 域可以简化拥有不同业务部门、团队或项目的企业管理员的机器学习工作流程的管理。每个域都是一个逻辑上独立的环境,有自己的配置、设置和用户访问控制。这种分隔使企业能够在不同的组、团队或使用场景之间实施明确的界限,从而提高在广泛和精细的层面上安全分配 AWS 资源和权限的能力。
下面提供了有关创建多个域的信息。
+ Amazon SageMaker AI 支持 AWS 区域 为每个账户在单个域中创建多个 SageMaker Amazon AI 域名。
+ 中的其他域与区域中的第一个域具有相同的特性和功能。 AWS 区域
+ 每个域都可以有不同的域设置。
+ 同一用户配置文件不能被添加到同一账户内同一区域的多个域中。
有关域限制的信息,请参阅 [Amazon A SageMaker I 终端节点和配额](https://docs.aws.amazon.com//general/latest/gr/sagemaker.html)。
以下主题介绍了如何在域中使用标记。
**Topics**
+ [自动标签传播](domain-multiple-tag.md)
+ [域资源显示筛选的工作原理](domain-multiple-filtering.md)
+ [回填域标签](domain-multiple-backfill.md)
# 自动标签传播
标签允许您根据项目、团队、环境(例如,开发、暂存、生产)或任何其他自定义元数据等各种标准对资源进行分类和标记。当资源在域内创建时,您可以按域自动标记资源。这样就能更轻松地识别和管理跨域资源。您也可以通过 AWS 账单与成本管理,使用这些标签进行成本分配。有关更多信息,请参阅[使用 AWS 成本分配标签](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
默认情况下,任何支持标签且在 2022 年 11 月 30 日之后在亚马逊 SageMaker Studio 或 Amazon Studio Class SageMaker ic 用户界面中创建的 A SageMaker I 资源都会自动使用域 ARN 标签进行标记。域 ARN 标签基于创建资源的域 ID。
要回填您的 SageMaker AI 资源,您可以按照中的步骤向未标记的资源添加`sagemaker:domain-arn`标签。[回填域标签](domain-multiple-backfill.md)
以下列表描述了唯一*不*支持自动标签传播的 SageMaker AI 资源,以及由于未自动设置标签而未返回标签的受影响的 API 调用。
**注意**
所有这些都 SageMaker `List` APIs 不支持基于标签的资源隔离。
不会自动标记管理 Studio UI 的 `default` 应用程序。
| SageMaker 人工智能资源 | 受影响的 API 调用 |
| --- | --- |
| ImageVersionArn | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/domain-multiple-tag.html) |
| ModelCardExportJobArn | [describe-model-card-export-工作](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-card-export-job.html) |
| ModelPackageArn | [describe-model-package](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-package.html) |
# 域资源显示筛选的工作原理
Amazon SageMaker AI 会根据亚马逊 A SageMaker I 域自动筛选 Studio 或 Studio Classic 中显示的资源。这种过滤是通过使用附加到 SageMaker AI 资源的`sagemaker:domain-arn`标签来完成的。在其他域中创建的资源会自动隐藏。
**注意**
这仅适用于 Studio 或 Studio 经典用户界面。 SageMaker 默认情况下,AI 不支持使用 AWS CLI 进行资源筛选。
在 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic 中,你只能看到以下资源:
+ 是在当前域内创建的。
+ 没有与之相关的 `sagemaker:domain-arn` 标签。这些未标记的资源要么是在域上下文之外创建,要么是在 2022 年 11 月 30 日之前创建。
要改进资源筛选,您可以按照 [回填域标签](domain-multiple-backfill.md) 中的步骤为未标记的资源添加 `sagemaker:domain-arn` 标签。
此外,在共享空间创建的所有资源都会自动筛选到特定的共享空间。
# 回填域标签
您可以通过为无标记资源添加域标签来改进资源筛选。如果您有未标记的资源,可以进行回填。
如果您在 2022 年 11 月 30 日之前在域中创建了资源,这些资源不会自动标记域 Amazon 资源名称(ARN)标签。
要准确地将资源归因于其各自的域,您必须使用向现有资源添加域标签 AWS CLI,如下所示。
1. 将所有现有的 SageMaker AI 资源及其各自的资源映射 ARNs 到您账户中存在的域名。
1. 从本地计算机运行以下命令,用资源所属域的 ARN 标记资源。您账户中的每个 SageMaker AI 资源都必须重复此操作。
```
aws resourcegroupstaggingapi tag-resources \
--resource-arn-list arn:aws:sagemaker:region:account-id:space/domain-id/space-name \
--tags sagemaker:domain-arn=arn:aws:sagemaker:region:account-id:domain/domain-id
```
# 隔离域资源
**重要**
允许 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic 创建亚马逊 SageMaker资源的自定义 IAM 策略还必须授予向这些资源添加标签的权限。之所以需要为资源添加标签的权限,是因为 Studio 和 Studio Classic 会自动为创建的任何资源添加标签。如果 IAM 策略允许 Studio 和 Studio Classic 创建资源但不允许标记,则在尝试创建资源时可能会出现 AccessDenied “” 错误。有关更多信息,请参阅 [提供标记 A SageMaker I 资源的权限](security_iam_id-based-policy-examples.md#grant-tagging-permissions)。
[AWS 亚马逊 A SageMaker I 的托管策略](security-iam-awsmanpol.md)授予创建 SageMaker 资源的权限已经包括在创建这些资源时添加标签的权限。
您可以 AWS 区域 使用 AWS Identity and Access Management (IAM) 策略在账户中的每个域之间隔离资源。其他域将无法访问被隔离的资源。在本主题中,我们将讨论 IAM 策略所需的条件以及如何应用这些条件。
该策略可隔离的资源是条件键包含 `aws:ResourceTag/${TagKey}` 或 `sagemaker:ResourceTag/${TagKey}` 的资源类型。有关 SageMaker AI 资源和关联条件键的参考,请参阅 A [mazon A SageMaker I 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)。
**警告**
*不*包含上述条件键的资源类型(以及使用这些资源类型的[操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions))*不*受此资源隔离策略的影响。例如,[pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) 资源类型*不*包含上述条件键,且*不*受此策略影响。因此,以下几个具有 pipeline-execution 资源类型的操作*不*支持资源隔离:
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
下面的主题将介绍如何创建一个新的 IAM 策略,限制带有域标记的用户配置文件访问域中的资源,以及如何将此策略附加到域的 IAM 执行角色。您必须对账户中的每个域重复此过程。有关域标记和回填这些标记的更多信息,请参阅 [多域概览](domain-multiple.md)
## 控制台
以下部分介绍如何创建新的 IAM 策略,该策略将域中资源的访问权限限制为带有域标签的用户个人资料,以及如何从 Amazon A SageMaker I 控制台将此策略附加到该域的 IAM 执行角色。
**注意**
此政策仅适用于使用 Amazon SageMaker Studio Classic 作为默认体验的域名。
1. 通过完成[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)中的步骤来创建名为 `StudioDomainResourceIsolationPolicy-domain-id` 的 IAM 策略,该策略包含以下 JSON 策略文档。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. 完成[修改角色(管理控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)中的步骤,将 `StudioDomainResourceIsolationPolicy-domain-id` 策略附加到域的执行角色。
## AWS CLI
下面将介绍如何创建新的 IAM 策略,限制带有域标记的用户配置文件访问域中的资源,以及如何将此策略附加到 AWS CLI中的域执行角色。
**注意**
此政策仅适用于使用 Amazon SageMaker Studio Classic 作为默认体验的域名。
1. 在本地计算机上创建一个名为 `StudioDomainResourceIsolationPolicy-domain-id` 的文件,该文件包含以下内容。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. 使用 `StudioDomainResourceIsolationPolicy-domain-id` 文件创建新的 IAM 策略。
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. 将新创建的策略附加到用作域执行角色的新角色或现有角色上。
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```
# 亚马逊 A SageMaker I 域名的默认设置
借 SageMaker 助 AI,您可以在 Amazon A SageMaker I 域级别为资源设置默认设置。这些默认设置用于在域内创建资源。以下各节将列出域的默认设置,并介绍在设置默认值时如何使用上下文键。
**Topics**
+ [域默认设置](#domain-set-defaults-domains)
+ [上下文键](#domain-set-defaults-context)
## 域默认设置
创建或更新域时,可以设置以下默认值。在用户配置文件和共享空间级别传递的值会覆盖在域级别设置的默认值。
+ [ DefaultUserSettings ](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UserSettings.html)
+ DefaultSpaceSettings
**注意**
`DefaultSpaceSettings`仅支持将 JupyterLab 3 张图像用 ARNs于`SageMakerImageArn`。有关更多信息,请参阅 [JupyterLab 亚马逊 SageMaker Studio 经典版中的版本控制](studio-jl.md)。
```
"DefaultSpaceSettings": {
"ExecutionRole": "string",
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"KernelGatewayAppSettings": {
"CustomImages": [
{
"AppImageConfigName": "string",
"ImageName": "string",
"ImageVersionNumber": number
}
],
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"SecurityGroups": [ "string" ]
}
```
## 上下文键
您可以在创建域的 IAM 策略中添加上下文键。这限制了用户可以为这些字段传递的值。下面的列表显示了域支持的上下文键及其实现位置。
+ `sagemaker:ImageArns`
+ **作为 `DefaultUserSettings` 的一部分实施:**`DefaultUserSettings.JupyterServerAppSettings` 和 `DefaultUserSettings.KernelGatewayAppSettings` 中的 `SagemakerImageArn`。`DefaultUserSettings.KernelGatewayAppSettings` 中的 `CustomImages`。
+ **作为 `DefaultSpaceSettings` 的一部分实施:**`DefaultSpaceSettings.JupyterServerAppSettings` 和 `DefaultSpaceSettings.KernelGatewayAppSettings` 中的 `SagemakerImageArn`。`DefaultSpaceSettings.KernelGatewayAppSettings` 中的 `CustomImages`。
+ `sagemaker:VpcSecurityGroupIds`
+ **作为 `DefaultUserSettings` 的一部分实施:**`DefaultUserSettings` 中的 `SecurityGroups`。
+ **作为 `DefaultSpaceSettings` 的一部分实施:**`DefaultSpaceSettings` 中的 `SecurityGroups`。
+ `sagemaker:DomainSharingOutputKmsKey`
**作为 `DefaultUserSettings` 的一部分实施:**`DefaultSpaceSettings.SharingSettings` 中的 `S3KmsKeyId`。
对默认设置使用上下文键时,不能限制用户传递不兼容的值。例如,作为 `DefaultUserSettings` 和 `DefaultSpaceSettings` 一部分设置的 `SageMakerImageArn` 的值必须兼容。不能设置不兼容的默认值。
# 自定义标签传播
Amazon SageMaker AI 支持将域、用户个人资料和空间级别设置的自定义标签传播到在 Amazon Studio、基于代码操作系统 JupyterLab、Visual SageMaker Studio 代码——开源和 Amazon Canvas 的环境中创建的所有 SageMaker 人工智能资源。 SageMaker 通过自定义标签传播,用户可以将自己的自定义标签传播到资源中,以改进成本跟踪,并将资源与特定项目和团队联系起来。
要激活此功能,请使用[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)和中的`TagPropagation`属性[UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs。自定义标签传播只能在域级别设置,这意味着域中的所有用户和空间在激活后都会使用该功能。无法在用户配置文件或空间级别修改自定义标签传播设置。有关使用自定义标签传播的更多信息,请参阅 [为资源添加自定义标签](custom-tags-add.md)。
**注意**
AWS 服务在域、用户配置文件和空间上添加的系统标签不会被传播。
## 使用案例示例
自定义标签传播对以下使用场景特别有用。
+ 跟踪在 Amazon SageMaker Studio 中创建的所有 SageMaker 人工智能资源的成本。
+ 跟踪在 Amazon C SageMaker anv SageMaker as 中创建的人工智能资源的成本。这包括在 SageMaker AI 端点上部署的模型。
+ 通过将亚马逊 DataZone 项目 ID 传播到 Amazon SageMaker Studio 创建的所有资源,跟踪亚马逊 DataZone项目产生的成本。
## 标签合并
激活自定义标签传播后,在用户配置文件和空间级别创建的资源将使用域级别指定的标记,以及在创建用户配置文件或空间时指定的标记。
SageMaker AI 资源有 50 个标签的限制。如果向资源添加的标签数量超过 50, SageMaker AI 将在资源创建过程中返回错误。我们建议限制标签数量,以避免出现这种情况。例如,假设用户的域有 25 个标签,用户配置文件有 30 个标签。当用户创建一个资源时,共有 55 个标记会传播到该资源。由于标签总数超过 50 个,在用户删除至少 5 个标签之前,资源创建将失败。
**注意**
默认情况下, SageMaker AI 会自动向 A SageMaker I 资源添加`sagemaker:user-profile-arn``sagemaker:domain-arn`、或`sagemaker:space-arn`标签。 SageMaker 无论域是否使用自定义标签传播,AI 都会添加 ARN 标签。这些 ARN 标记也将计入 50 个标签限额。
# 为资源添加自定义标签
下页演示了使用自定义标签传播所需的步骤。自定义标签传播需要以下步骤:
+ 选择加入自定义标签传播
+ 为资源添加自定义标签
在现有域中激活自定义标签传播时,在重新启动应用程序之前,标记传播对现有应用程序不起作用。同样,当添加新的自定义标签时,现有资源上的标记也不会更新。例如,假设一个域有两个标签,用户在该域中创建了一个资源。然后,该资源就有了两个标签。如果域中添加了新标签,则该新标签不会添加到现有资源中。不过,创建的任何新资源都将附加新标签。
## 先决条件
+ 用户必须拥有 `sagemaker:AddTags` 权限才能创建任何资源。
+ 对于使用`SageMakerFullAccess`托管策略或使用 SageMaker 角色管理器创建的新域,`sagemaker:AddTags`权限已预先填充。
+ 对于使用自定义 AWS Identity and Access Management 策略的现有域,您必须更新策略以包含允许用户创建资源的`sagemaker:AddTags`权限。
## 选择加入自定义标签传播
根据从管理控制台还是从 AWS CLI选择加入自定义标签传播,加入过程有所不同。在管理控制台中,您只能通过更新现有域来选择加入自定义标签传播。从中 AWS CLI,您可以在创建域或更新现有域时选择加入自定义标签传播。
### 从管理控制台选择加入
以下步骤概述了如何从管理控制台选择自定义标签传播。只有通过更新现有域,才能从管理控制台选择加入自定义标签传播。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航栏中选择**管理配置**。在**管理配置**下,选择**域**。
1. 在**域**页面上,选择要激活自定义标签传播的域。
1. 在**域详细信息**页面上,选择**域设置**选项卡。
1. 在**域设置**选项卡上,导航至**自定义标签传播**。
1. 选择**编辑**。
1. 在**编辑自定义标签传播**页面上,选择**自动传播自定义标签**。
1. 选择**提交**。
### 使用 “选择加入” AWS CLI
要选择使用自定义标签传播 AWS CLI,请使用[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)和[UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs中的`TagPropagation`属性。默认情况下,该字段的值为 `DISABLED`。空值也默认为 `DISABLED`。下面的示例显示了如何激活自定义标签传播。
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation ENABLED
```
## 添加自定义标签
添加自定义标签传播的过程因您是从管理控制台还是从 AWS CLI添加而有所不同。
### 从管理控制台添加
以下步骤概述了如何从管理控制台向域添加自定义标签。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航栏中选择**管理配置**。在**管理配置**下,选择**域**。
1. 在**域**页面上,选择要添加自定义标签的域。
1. 在**域详细信息**页面上,选择**域设置**选项卡。
1. 在**域设置**选项卡上,导航至**标签**。
1. 选择**编辑**。
1. 在**标签**页面上,选择**添加标签**。为自定义标签添加键和值对。
1. 选择**保存**。现在,此自定义标签已传播到域中创建的 SageMaker AI 资源。
以下步骤概述了如何从管理控制台向用户配置文件添加自定义标签。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航栏中选择**管理配置**。在**管理配置**下,选择**域**。
1. 在**域**页面上,选择包含要添加自定义标签的用户配置文件的域。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
1. 在**用户配置文件**选项卡上,选择要添加自定义标签的用户配置文件。
1. 在**用户详细信息**选项卡上,导航至**详细信息**部分。
1. 选择**编辑**。
1. 在**标签**部分,选择**添加标签**。为自定义标签添加键和值对。
1. 选择**提交**。现在,此自定义标签已传播到域中创建的 SageMaker AI 资源。
### 使用添加 AWS CLI
激活自定义标签传播后,可以在创建或更新期间 AWS CLI 在域、用户配置文件或空间级别使用添加自定义标签。添加自定义标签的方法因创建新资源或为现有资源添加标签而异。
下面的示例显示了如何在创建过程中在域级别添加自定义标签。
```
aws sagemaker create-domain \
--domain-name domain-id \
--auth-mode IAM \
--default-user-settings '{"ExecutionRole": "execution-role"}' \
--subnet-ids subnet-id \
--vpc-id vpc-id \
--tags Key=key,Value=value \
--tag-propagation ENABLED
```
您必须使用该 [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)API 为现有域名、用户个人资料和空间添加自定义标签,如下所示。
```
aws sagemaker add-tags \
--resource-arn resource-arn-to-attach-tags \
--tags Key=key, Value=value
```
# 选择加入自定义标签传播
选择退出自定义标签传播的流程因您是通过管理控制台还是通过 AWS CLI退出而有所不同。
## 选择退出管理控制台
以下步骤概述了如何从管理控制台选择退出自定义标签传播。只有通过更新现有域,才能从管理控制台选择退出自定义标签传播。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航栏中选择**管理配置**。在**管理配置**下,选择**域**。
1. 在**域**页面上,选择要选择退出自定义标签传播的域。
1. 在**域详细信息**页面上,选择**域设置**选项卡。
1. 在**域设置**选项卡上,导航至**自定义标签传播**。
1. 选择**编辑**。
1. 在**编辑自定义标签传播**页面上,选择**自动传播自定义标签**。
1. 选择**提交**。
## 使用 “选择退出” AWS CLI
要选择退出自定义标签传播,请将[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)和中的`TagPropagation`属性设置`DISABLED`为 [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs ,如下例所示。 默认情况下,此字段的值为`DISABLED`。空值也默认为 `DISABLED`。
**注意**
当 `TagPropagation` 设置为 `DISABLED` 时,不会自动关闭现有应用程序的标记传播。必须重新启动应用程序才能使选择退出对现有应用程序生效。
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation DISABLED
```
# 为域添加自定义文件系统
当您创建域时,Amazon A SageMaker I 会向该域添加一个默认 Amazon Elastic File System (Amazon EFS)卷。 SageMaker AI 为你创建了这个音量。您还可以选择添加自己创建的自定义 Amazon EFS 或自定义 Amazon FSx for Lustre 文件系统。添加后,属于您的域的用户就可以使用您的文件系统。您的用户在使用 Amazon SageMaker Studio 时可以访问文件系统。他们可以将文件系统附加到为以下支持的应用程序创建的空间:
+ JupyterLab
+ 代码编辑器
运行空间并启动应用程序后,用户就可以访问文件系统中包含的任何数据、代码或其他构件。
您可以通过以下方式让用户访问文件系统:
+ 通过*共享空间*:属于您的域的任何用户都可以创建共享空间。然后,属于您的域的任何用户都可以使用它。
+ 通过*专用空间*:属于您的域的任何用户都可以创建专用空间。然后,只有该用户才能使用。
+ 仅作为单个用户:如果您不想让所有用户都能访问文件系统,可以只让特定用户访问文件系统。如果这样做,文件系统就只能在特定用户创建的专用空间中使用。
您可以使用 Amazon SageMaker API 添加自定义文件系统 AWS SDKs、或 AWS CLI。您无法使用 SageMaker AI 控制台添加自定义文件系统。
## 先决条件
在将自定义文件系统添加到域之前,必须满足以下要求:
+ 你在 SageMaker AI 中有一个域名。在添加文件系统之前,您需要域 ID。您可以使用 SageMaker AI 控制台查找 ID。您也可以使用 AWS CLI运行 [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html) 命令。
+ 您的 Amazon EFS 或 FSx 适用于 Lustre 的文件系统。 AWS 账户
------
#### [ For Amazon EFS ]
+ 有关创建 Amazon EFS 的步骤,请参阅《Amazon Elastic File System 用户指南》**中的[创建 Amazon EFS 文件系统](https://docs.aws.amazon.com/efs/latest/ug/gs-step-two-create-efs-resources.html)。
+ 在 Studio 访问文件系统之前,它必须在与网域相关联的每个子网中都有一个挂载目标。有关为子网分配挂载目标的更多信息,请参阅《Amazon Elastic File System 用户指南》**中的[创建和管理挂载目标和安全组](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)。
+ 对于每个挂载目标,您必须添加 Amazon A SageMaker I 在创建域 AWS 账户 时在您的中创建的安全组。安全组名称的格式为 `security-group-for-inbound-nfs-domain-id`。有关如何获取域 ID 的说明,请参阅 [查看领域](domain-view.md)。
+ 您的 IAM 权限必须允许您使用 `elasticfilesystem:DescribeMountTargets` 操作。有关此操作的更多信息,请参阅*服务授权参考*中的 [Amazon Elastic File System 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)。
------
#### [ For FSx for Lustre ]
+ 有关创建 for Lustre 文件系统的步骤,请参阅《亚马逊 for L [ustre 用户指南》中的 Amaz FSx on for *Lustre* 入门](https://docs.aws.amazon.com/fsx/latest/LustreGuide/getting-started.html.html)。 FSx FSx 确保 f FSx or Lustre 文件系统存在于:
+ 与您的域相同的 Amazon VPC 中。
+ 您的域中存在的子网之一中。
+ 在 Studio 可以访问 for Lustre 文件系统之前,您必须将域的安全组添加到 for Lustre 文件系统中的所有弹性网络接口 (ENIs) 中。 FSx FSx 如果不执行此步骤,应用程序创建将失败并显示错误。按照以下说明将域安全组添加到 for Lustre 文件系统 ENIs中。 FSx
**将您的域安全组添加到 FSx Lustre 文件系统 ENIs (控制台)**
1. 导航至 [Amazon FSx 控制台](https://console.aws.amazon.com/fsx)。
1. 选择**文件系统**。
1. 使用 “文件系统 **ID” 下的相应链接, FSx 为 Lustre 文件系统**选择你的。
1. 如果尚未选择,请选择**网络和安全性**选项卡。
1. 在**子网**下选择**要查看所有 ENI,请参阅 Amazon EC2 控制台**。这将带您进入亚马逊 EC2 控制台,并显示所有 ENIs 链接到您 FSx 的 for Lustre 文件系统的内容。
1. 对于每个 ENI:
1. 通过在**网络接口 ID** 下选择相应的链接来选择 ENI。
1. 选择摘要页面右上角的**操作**以展开下拉菜单。
1. 在下拉菜单中,选择**选择安全组**。
1. 搜索您的域安全组。
安全组名称的格式为 `security-group-for-inbound-nfs-domain-id`。有关如何获取域 ID 的说明,请参阅 [查看领域](domain-view.md)。
1. 选择**添加安全组**。
------
## 使用以下命令将自定义文件系统添加到域中 AWS CLI
要使用将自定义文件系统添加到域或用户配置文件中 AWS CLI,请在使用以下任一命令时传递`CustomFileSystemConfigs`定义:
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html)
以下示例展示了如何将文件系统添加到现有域或用户配置文件中。
**添加可在共享空间中访问的文件系统**
+ 更新域的默认空间设置。下面的示例将文件系统设置添加到默认空间设置中:
```
aws sagemaker update-domain --domain-id domain-id \
--default-space-settings file://file-system-settings.json
```
该示例将文件系统配置作为 JSON 文件传递,稍后的示例将展示该文件。
**添加可在专用空间访问的文件系统**
+ 更新域的默认用户设置。下面的示例将文件系统设置添加到默认用户设置中:
```
aws sagemaker update-domain --domain-id domain-id \
--default-user-settings file://file-system-settings.json
```
该示例将文件系统配置作为 JSON 文件传递,稍后的示例将展示该文件。
**要添加只能由单个用户访问的文件系统**
+ 更新用户的用户配置文件。下面的示例将文件系统设置添加到用户配置文件中:
```
aws sagemaker update-user-profile --domain-id domain-id \
--user-profile-name user-profile-name \
--user-settings file://file-system-settings.json
```
该示例将文件系统配置作为 JSON 文件传递,如下例所示。
**Example 文件系统设置文件**
前面示例中的文件 `file-system-settings.json` 有以下设置:
```
{
"CustomFileSystemConfigs":
[
{
"FSxLustreFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
本配置示例包含以下按键:
`CustomFileSystemConfigs`
自定义文件系统的设置(仅支持 Amazon EFS 文件系统)。
`FSxLustreFileSystemConfig`
Lustre 文件系统的自定义 FSx 设置。
`FileSystemId`
Amazon EFS 文件系统的 ID。
`FileSystemPath`
域用户在 Studio 中的空间中可以访问的文件系统目录的路径。获准用户只能访问该目录及以下的内容。默认路径是文件系统根目录:`/`。
```
{
"CustomFileSystemConfigs":
[
{
"EFSFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
本配置示例包含以下按键:
`CustomFileSystemConfigs`
自定义文件系统的设置(仅支持 Amazon EFS 文件系统)。
`EFSFileSystemConfig`
自定义 Amazon EFS 文件系统的设置。
`FileSystemId`
Amazon EFS 文件系统的 ID。
`FileSystemPath`
域用户在 Studio 中的空间中可以访问的文件系统目录的路径。获准用户只能访问该目录及以下的内容。默认路径是文件系统根目录:`/`。
将文件系统指定为域的默认空间设置时,还必须在设置中包含执行角色:
```
{
"ExecutionRole": "execution-role-arn"
}
```
本配置示例的键如下:
`ExecutionRole`
域用户的默认执行角色。
如果想在文件系统中应用 POSIX 权限,也可以将以下设置传递给 `create-domain` 或 `create-user-profile` 命令:
```
{
"CustomPosixUserConfig":
{
"Uid": UID,
"Gid": GID
}
}
```
本配置示例包含以下按键:
`CustomPosixUserConfig`
用于文件系统操作的默认 POSIX 标识。您可以使用这些设置将现有的 POSIX 权限结构应用于访问自定义文件系统的用户配置文件。在 POSIX 权限级别,您可以控制哪些用户可以访问文件系统,以及他们可以访问哪些文件或数据。
创建用户配置文件时,也可以使用 `create-user-profile` 命令应用 `CustomPosixUserConfig` 设置。应用于用户配置文件的设置优先于应用于相关域的设置。
使用 `create-domain` 和 `create-user-profile` 命令时,可以应用 `CustomPosixUserConfig` 设置。但是,如果执行以下操作,则无法应用这些设置:
+ 对于已与任何用户配置文件关联的域,请使用 `update-domain` 命令。您只能将这些设置应用于没有用户配置文件的域。
+ 使用 `update-user-profile` 命令。要将这些设置应用到已创建的配置文件,请删除该配置文件,然后创建一个具有更新设置的新配置文件。
`Uid`
POSIX 用户 ID。默认值为 200001。
`Gid`
POSIX 组 ID。默认值为 1001。
## 使用以下命令将自定义文件系统附加到空间 AWS CLI
将自定义文件系统添加到域后,域用户就可以将文件系统附加到他们创建的空间。例如,在使用 Studio 或带有 AWS CLI的 [create-space](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-space.html) 命令时,他们可以附加文件系统。
**要将自定义文件系统附加到空间**
+ 将文件系统配置添加到空间设置中。下面的示例命令将文件系统附加到一个新空间。
```
aws sagemaker create-space \
--space-name space-name \
--domain-id domain-id \
--ownership-settings "OwnerUserProfileName=user-profile-name" \
--space-sharing-settings "SharingType=Private" \
--space-settings file://space-settings.json
```
在本例中,文件 `space-settings.json` 具有以下设置,其中包括带有 `FileSystemId` 密钥的 `CustomFileSystems` 配置。
------
#### [ For your FSx for Lustre file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"FSxLustreFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
#### [ For your Amazon EFS file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"EFSFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
SageMaker AI在以下路径上创建符号链接:`/home/sagemaker-user/custom-file-systems/file-system-type/file-system-id`. 这样,域用户就可以在自己的主目录 `/home/sagemaker-user` 中导航到自定义文件系统。
# 查看域环境详情
本页提供有关修改 Amazon A SageMaker I 域环境的信息。完成以下步骤可查看域环境附加的自定义映像、生命周期配置和 git 存储库。
**打开“环境”页面**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择一个域,打开**环境**页面。
1. 在**域详细信息**页面上,选择**环境**选项卡。
有关携带自定义 Amazon SageMaker Studio Classic 图片的更多信息,请参阅[自带 SageMaker 图片](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html)。
有关启用自定义 RStudio镜像的更多信息,请参阅[开启自己的镜像 SageMaker](https://docs.aws.amazon.com/sagemaker/latest/dg/rstudio-byoi.html)。 RStudio
有关在 Studio Classic 中使用生命周期配置的说明,请参阅在 [Amazon SageMaker Studio 中使用生命周期配置](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lcc.html)。
有关将 git 存储库附加到域的信息,请参阅[将建议的 Git 存储库附加到 AI](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-git-attach.html)。 SageMaker
也可以使用参数将值传递给 [create-space 命令,从而将它们附加到共享空间](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/create-space.html)。 AWS CLI `space-settings`
# 查看领域
以下部分介绍如何从 SageMaker AI 控制台或,查看您的域名列表以及单个域的详细信息 AWS CLI。
## 控制台
管理控制台的“域概览”页面提供了有关域结构的信息,并列出了您的域列表。页面的域结构图描述了域组件以及它们如何相互影响。
以下过程说明如何从 SageMaker AI 控制台查看您的域名列表。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
要查看域的详细信息,请完成以下步骤。此页面提供有关域的常规设置信息,包括名称、域 ID、用于创建域的执行角色以及域的身份验证方法。
1. 从域列表中选择要打开**域设置**页面的域。
1. 在**域详细信息**页面上,选择**域设置**选项卡。
## AWS CLI
在本地计算机终端运行以下命令,查看 AWS CLI中的域列表。
```
aws sagemaker list-domains --region region
```
# 编辑域设置
您可以从 SageMaker AI 控制台或编辑域的设置 AWS CLI。更新域设置时需要注意以下几点。
+ 如果设置了 `DefaultUserSettings` 和 `DefaultSpaceSettings`,则无法取消设置。
+ `DefaultUserSettings.ExecutionRole` 只能在域内任何用户配置文件中没有运行应用程序时更新。该值不能取消设置。
+ `DefaultSpaceSettings.ExecutionRole` 只有在域内任何共享空间都没有运行应用程序的情况下才能更新。该值不能取消设置。
+ 如果域是在**仅限 VPC** 模式下创建的,则 SageMaker AI 会自动将为该域定义的安全组设置的更新应用于在该域中创建的所有共享空间。
+ 不能编辑 `DomainId` 和 `DomainName`。
以下部分介绍如何通过 SageMaker AI 控制台或. 编辑域设置 AWS CLI。
## 控制台
您可以按照以下步骤从 A SageMaker I 控制台编辑域。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要打开**域设置**页面的域。
1. 在**域详细信息**页面上,您可以选择相应的选项卡来配置和管理域详细信息。
1. 要配置常规设置,请在**域详细信息**页面选择**域设置**选项卡,然后选择**编辑**。
## AWS CLI
在本地计算机终端运行以下命令,从 AWS CLI更新域。有关结构的更多信息`default-user-settings`,请参见[CreateDomain](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateDomain.html#API_CreateDomain_RequestSyntax)。
```
aws sagemaker update-domain \
--domain-id domain-id \
--default-user-settings default-user-settings \
--default-space-settings default-space-settings \
--domain-settings-for-update settings-for-update \
--region region
```
# 删除亚马逊 A SageMaker I 域名
本页介绍如何删除域以及所需的要求。域由授权用户列表、配置设置和 Amazon Elastic File System (Amazon EFS) 卷组成。Amazon EFS 卷包含用户的数据,包括笔记本、资源和构件。用户可以拥有多个应用程序(应用),这些应用程序支持用户的笔记本、终端和控制台的读取和执行体验。您可以使用以下方法之一删除域:
+ AWS 控制台
+ AWS Command Line Interface (AWS CLI)
+ SageMaker SDK
## 要求
删除域必须满足以下要求。
+ 您必须具有管理员权限才能删除域。
+ 您只能删除域中状态 `InService` 显示为**就绪**的应用程序。要删除包含域的应用程序,无需删除状态为 `Failed` 的应用程序。在域中,尝试删除处于失败状态的应用程序会导致错误。
+ 要删除域,该域不能包含任何用户配置文件或共享空间。要删除用户配置文件或共享空间,则配置文件或共享空间中不能包含任何非失败应用程序。
在删除这些资源时,会出现以下情况:
+ 应用程序 - 保存用户主目录中的数据(文件和笔记本)。未保存的笔记本数据将丢失。
+ 用户配置文件:用户无法再登录域。用户无法访问其主目录,但数据不会被删除。管理员可以从用户 AWS 账户下用于存储数据的 Amazon EFS 卷中检索数据。
+ 要将身份验证模式从 IAM 切换到 IAM Identity Center,必须删除域。
## EFS 文件
您的文件作为备份保存在 Amazon EFS 卷中。此备份包括已安装目录中的文件,该目录`/home/sagemaker-user`适用于 Amazon SageMaker Studio Classic 和`/root`内核。
当您从这些挂载的目录中删除文件时,内核或应用程序可能会将已删除的文件移到隐藏的垃圾文件夹中。如果垃圾文件夹位于挂载的目录内,则这些文件将复制到 Amazon EFS 卷中并产生费用。为避免这些 Amazon EFS 费用,您必须识别并清理垃圾文件夹的位置。默认应用程序和内核的垃圾文件夹位置为 `~/.local/`。位置可能有所不同,具体取决于用于自定义应用程序或内核的 Linux 发行版。有关 Amazon EFS 卷的更多信息,请参阅[在 Amazon SageMaker Studio Classic 中管理您的亚马逊 EFS 存储卷](studio-tasks-manage-storage.md)。
当您使用 SageMaker AI 控制台删除域时,Amazon EFS 卷将被分离但不会被删除。默认情况下,当您使用 AWS CLI 或 SageMaker Python SDK 删除域名时,也会出现同样的行为。但是,在使用 AWS CLI 或 SageMaker Python 开发工具包时,可以将设置`RetentionPolicy`为`HomeEfsFileSystem=Delete`。这将连同域一起删除 Amazon EFS 卷。
## 删除 Amazon SageMaker AI 域名(控制台)
**重要**
删除用户、空间或域后,包含相应数据的 Amazon EFS 卷将丢失。这包括笔记本和其他构件。
**删除域**
1. 打开 A [SageMaker I 控制台](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**以展开选项(如果尚未展开)。
1. 在**管理员配置**下,选择**域**。
1. 选择要删除的域名链接。
1. 选择**用户配置文件**选项卡。
1. 对**用户配置文件**列表中的每个用户重复以下步骤。
1. 选择用户名链接。
1. 如果尚未选择,请选择**用户详细信息**选项卡
1. 找到所有应用程序和空间,然后在相应的**操作**列下选择**删除**。
1. 按照删除说明操作。
1. 当所有应用程序和空间的**状态**均为**已删除**后,选择页面右上角的**删除**。
1. 按照删除说明操作。
1. 删除所有用户后,选择**空间管理**选项卡。
1. 对**空间**列表中的每个空间重复以下步骤。
1. 选择与空间对应的气泡。
1. 选择**删除**。
1. 按照删除说明操作。
1. 删除所有用户和空间后,选择**域设置**选项卡。
1. 找到**删除域**部分。
1. 选择**删除域**。如果此按钮不可用,则必须重复前面的步骤以删除所有空间和用户。
1. 按照删除说明操作。
## 删除亚马逊 A SageMaker I 域名 (AWS CLI)
**删除域**
1. 检索您账户中的域列表。
```
aws --region Region sagemaker list-domains
```
1. 检索要删除的域的应用程序列表。
```
aws --region Region sagemaker list-apps \
--domain-id-equals DomainId
```
1. 删除列表中的所有应用程序。
```
aws --region Region sagemaker delete-app \
--domain-id DomainId \
--app-name AppName \
--app-type AppType \
--user-profile-name UserProfileName
```
1. 检索域中用户配置文件的列表。
```
aws --region Region sagemaker list-user-profiles \
--domain-id-equals DomainId
```
1. 删除列表中的所有用户配置文件。
```
aws --region Region sagemaker delete-user-profile \
--domain-id DomainId \
--user-profile-name UserProfileName
```
1. 读取域中的共享空间列表。
```
aws --region Region sagemaker list-spaces \
--domain-id DomainId
```
1. 删除列表中的所有共享空间。
```
aws --region Region sagemaker delete-space \
--domain-id DomainId \
--space-name SpaceName
```
1. 删除域。如果也要删除 Amazon EFS 卷,请指定 `HomeEfsFileSystem=Delete`。
```
aws --region Region sagemaker delete-domain \
--domain-id DomainId \
--retention-policy HomeEfsFileSystem=Retain
```
# 域用户配置文件
用户个人资料代表一个 Amazon A SageMaker I 域中的单个用户。用户配置文件是引用用户以实现共享、报告和其他面向用户的特征的主要方式。该实体是在用户登录 Amazon A SageMaker I 域时创建的。一个用户配置文件(最多)可以在共享空间的环境之外拥有一个 JupyterServer 应用程序。用户配置文件的 Studio Classic 应用程序与用户配置文件直接关联,并拥有一个隔离的 Amazon EFS 目录、一个与用户配置文件关联的执行角色和内核网关应用程序。用户个人资料还可以通过控制台或 Amazon SageMaker Studio 创建其他应用程序。
**Topics**
+ [添加用户配置文件](domain-user-profile-add.md)
+ [删除用户配置文件](domain-user-profile-remove.md)
+ [查看域中的用户配置文件](domain-user-profile-view.md)
+ [查看用户配置文件详细信息](domain-user-profile-describe.md)
# 添加用户配置文件
以下部分介绍如何使用 SageMaker AI 控制台或向域中添加用户配置文件 AWS CLI。
在域中添加用户配置文件后,用户可以使用 URL 登录。如果域名 AWS IAM Identity Center 用于身份验证,则用户会收到一封包含用于登录该域的 URL 的电子邮件。如果域名使用 AWS Identity and Access Management,则可以使用为用户个人资料创建 URL [CreatePresignedDomainUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)
## 从控制台添加用户配置文件
您可以按照以下步骤从 SageMaker AI 控制台向域中添加用户配置文件。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要添加用户配置文件的域。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
1. 选择**添加用户**。这将打开一个新页面。
1. 对用户配置文件使用默认名称或添加自定义名称。
1. 对于**执行角色**,请从角色选择器中选择选项。如果您选择 “**输入自定义 IAM 角色 ARN**”,则该角色必须至少具有授予 A SageMaker I 代入该角色的权限的附加信任策略。有关更多信息,请参阅 [SageMaker AI 角色](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html)。
如果您选择**创建新角色**,则将打开**创建 IAM 角色**对话框:
1. 对于**您指定的 S3 存储桶**,请指定笔记本的用户可以访问的其他 Amazon S3 存储桶。如果您不希望添加对更多存储桶的访问权限,请选择**无**。
1. 选择**创建角色**。 SageMaker AI 创建了一个新的 IAM 角色`AmazonSageMaker-ExecutionPolicy`,并附加了该[AmazonSageMakerFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)策略。
1. (可选)为用户配置文件添加标签。用户配置文件创建的所有资源都将带有域 ARN 标记和用户配置文件 ARN 标记。域 ARN 标签基于域 ID,而用户配置文件 ARN 标签基于用户配置文件名称。
1. 选择**下一步**。
1. 在 **SageMaker Studio** 部分,您可以选择在 Studio 的较新版本和经典版本之间进行选择,作为您的默认体验。
+ 如果您选择 **SageMaker Studio**(推荐)作为默认体验,则 Studio Classic IDE 将使用默认设置。有关默认设置的信息,请参阅 [默认设置](onboard-quick-start.md#onboard-quick-start-defaults)。
有关 Studio 的信息,请参阅 [亚马逊 SageMaker Studio](studio-updated.md)。
+ 如果选择 **Studio Classic** 作为默认体验,则可以选择启用或禁用笔记本资源共享。笔记本资源包括单元格输出和 Git 存储库等构件。有关笔记本资源的更多信息,请参阅 [共享和使用 Amazon SageMaker Studio 经典笔记本电脑](notebooks-sharing.md)。
1. 在 “**SageMaker 画布**” 下,您可以配置 SageMaker 画布设置。有关载入说明和配置详情,请参阅 [开始使用 Amazon C SageMaker anvas](canvas-getting-started.md)。
1. 对于 **Canvas 基本权限配置**,选择是否设置使用 SageMaker Canvas 应用程序所需的最低权限。
1. 在 “如果 RStudio 获得许可” 下 **RStudio**,选择是否要使用以下授权之一创建用户:
+ 未授权
+ RStudio 管理员
+ RStudio User
1. 选择**下一步**。
1. 在 **自定义 Studio UI** 页面中,您可以自定义 Studio 中显示的可查看应用程序和机器学习 (ML) 工具。该自定义功能只隐藏 Studio 左侧导航窗格中的应用程序和 ML 工具。有关 Studio UI 的信息,请参阅 [亚马逊 SageMaker 工作室用户界面概述](studio-updated-ui.md)。
有关应用程序的信息,请参阅 [Amazon SageMaker Studio 支持的应用程序](studio-updated-apps.md)。
Studio Classic 中不提供自定义 Studio UI 功能。如果希望将 Studio 设置为默认体验,请选择**上一步**,然后返回上一步。
1. 选择**下一步**。
1. 查看更改后,选择**创建用户配置文件**。
## 从中创建用户个人资料 AWS CLI
要从的域中创建用户配置文件 AWS CLI,请在本地计算机的终端上运行以下命令。有关可用 JupyterLab 版本的信息 ARNs,请参见[设置默认 JupyterLab 版本](studio-jl.md#studio-jl-set)。
```
aws --region region \
sagemaker create-user-profile \
--domain-id domain-id \
--user-profile-name user-name \
--user-settings '{
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"SageMakerImageArn": "sagemaker-image-arn",
"InstanceType": "system"
}
}
}'
```
您可以使用自定义在 AWS CLI Studio 中为用户显示的应用程序和机器学习工具[StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html)。使用 `HiddenAppTypes` 隐藏应用程序,使用 `HiddenMlTools` 隐藏 ML 工具。有关自定义 Studio 用户界面左侧导航的更多信息,请参阅 [在 Amazon SageMaker Studio 用户界面中隐藏机器学习工具和应用程序](studio-updated-ui-customize-tools-apps.md)。此功能不适用于 Studio Classic。
# 删除用户配置文件
必须先删除用户配置文件启动的所有应用程序以及该用户配置文件其拥有的所有空间,之后才能删除该用户配置文件。以下部分介绍如何使用 SageMaker AI 控制台或从网域中移除用户配置文件 AWS CLI。
## 从控制台删除用户配置文件
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要删除用户配置文件的域。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
1. 选择要删除的用户配置文件。
1. 在**用户详细信息**页面上,对于**应用程序**列表中的每个非失败应用程序,选择**操作**。
1. 从下拉列表中,选择**删除**。
1. 在**删除应用程序**对话框中,选择**是,删除应用程序**。然后在确认字段中输入 *delete* 并选择**删除**。
1. 当所有应用程序的**状态**显示为**已删除**时,请返回**域详细信息**页面并选择**空间管理**选项卡。
1. 删除用户配置文件拥有的所有空间。对于用户配置文件拥有的每个空间,请选择该空间,然后选择**删除**。有关详细步骤,请参阅[删除 Studio 空间](studio-updated-running-stop.md#studio-updated-running-stop-space)。
1. 返回**用户配置文件**选项卡并选择**编辑**。
1. 在**编辑用户**页面上,选择**删除用户**。
1. 在**删除用户**弹出窗口中,选择**是,删除用户**。
1. 在此字段中输入 *delete* 以确认删除。
1. 选择**删除**。
## 从中移除用户配置文件 AWS CLI
要从中删除用户个人资料 AWS CLI,请先删除该用户配置文件所拥有的所有空间,然后删除该用户个人资料。在本地计算机终端运行以下命令。
```
# Delete spaces owned by the user profile
aws sagemaker delete-space \
--region region \
--domain-id domain-id \
--space-name space-name
# Delete the user profile
aws sagemaker delete-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# 查看域中的用户配置文件
以下部分介绍如何通过 SageMaker AI 控制台或查看网域中的用户配置文件列表 AWS CLI。
## 从控制台查看用户配置文件
完成以下步骤,从 SageMaker AI 控制台查看域中的用户配置文件列表。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中,选择要查看用户配置文件列表的域。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
## 从中查看用户个人资料 AWS CLI
要从中查看域中的用户配置文件 AWS CLI,请在本地计算机的终端上运行以下命令。
```
aws sagemaker list-user-profiles \
--region region \
--domain-id domain-id
```
# 查看用户配置文件详细信息
以下部分介绍如何从 SageMaker AI 控制台或中查看用户个人资料的详细信息 AWS CLI。
## 从控制台查看用户配置文件详细信息
完成以下步骤,从 SageMaker AI 控制台查看用户配置文件的详细信息。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中,选择要查看用户配置文件列表的域。
1. 在**域详细信息**页面上,选择**用户配置文件**选项卡。
1. 选择要查看详细信息的用户配置文件。
## 从中查看用户个人资料的详细信息 AWS CLI
要描述中的用户配置文件 AWS CLI,请从本地计算机的终端运行以下命令。
```
aws sagemaker describe-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# 域中的 IAM Identity Center 组
AWS IAM Identity Center 是管理人类用户对 AWS 资源的访问的推荐 AWS 服务。在这里,您可以为用户分配多个 AWS 账户 和应用程序的一致访问权限。有关 IAM Identity Center 身份验证的更多信息,请参阅[什么是 IAM Identity Center?](https://docs.aws.amazon.com//singlesignon/latest/userguide/what-is.html)。
如果您对 Amazon A SageMaker I 域使用 AWS IAM Identity Center 身份验证,则可以使用以下主题来学习如何查看、添加和删除域中的 IAM Identity Center 群组和用户。
**Topics**
+ [查看组和用户](domain-groups-view.md)
+ [添加组和用户](domain-groups-add.md)
+ [删除组](domain-groups-remove.md)
# 查看组和用户
完成以下步骤,从 Amazon A SageMaker I 控制台查看 IAM 身份中心群组和用户列表。
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择**管理员配置**。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中,选择要打开**域设置**页面的域。
1. 在**域详细信息**页面上,选择**组**选项卡。
# 添加组和用户
以下各节介绍如何从 SageMaker AI 控制台或向域中添加群组和用户 AWS CLI。
**注意**
如果域名是在 2023 年 10 月 1 日之前创建的,则只能从 SageMaker AI 控制台向域中添加群组和用户。
## SageMaker AI 控制台
完成以下步骤,从 SageMaker AI 控制台向您的域中添加群组和用户。
1. 在**组**选项卡上,选择**分配用户和组**。
1. 在**分配用户和组**页面上,选择要添加的用户和组。
1. 选择**分配用户和组**。
## AWS CLI
完成以下步骤,从AWS CLI向域添加组和用户。
1. 调用 [describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) 获取域的 `SingleSignOnApplicationArn`。`SingleSignOnApplicationArn` 是 IAM Identity Center 所管理应用程序的 ARN。
```
aws sagemaker describe-domain \
--region region \
--domain-id domain-id
```
1. 将用户或用户组与域关联。为此,请将 desc [ribe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) 命令返回的`SingleSignOnApplicationArn`值作为`application-arn`参数传递给调用[create-application-assignment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/create-application-assignment.html)。您还必须传递要关联的实体的类型和 ID。
```
aws sso-admin create-application-assignment \
--application-arn application-arn \
--principal-id principal-id \
--principal-type principal-type
```
# 删除组
完成以下步骤,从 SageMaker AI 控制台将群组从您的域中移除。有关删除用户的信息,请参阅[删除用户配置文件](domain-user-profile-remove.md)。
1. 在**组**选项卡上,选择要删除的组。
1. 选择**取消分配组**。
1. 在弹出窗口中,选择**是,取消分配组**。
1. 在字段中输入 *unassign*。
1. 选择**取消分配组**。
# 了解域空间权限和执行角色
对于许多 SageMaker AI 应用程序,当您在域内启动 A SageMaker I 应用程序时,会为该应用程序创建一个空间。当用户配置文件创建一个空间时,该空间会承担一个 AWS Identity and Access Management (IAM) 角色,该角色定义了授予该空间的权限。下一页提供了有关空间类型和定义空间权限的执行角色的信息。
IAM [角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色与 IAM 用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当你担任角色时,它会为你的角色会话提供临时安全证书。
**注意**
当你启动 Amazon SageMaker Canvas 或时 RStudio,它不会创建一个担任 IAM 角色的空间。取而代之的是更改与用户配置文件相关的角色,以管理应用程序的权限。有关获取 A SageMaker I 用户配置文件角色的信息,请参阅[获取用户执行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
有关 SageMaker 画布的信息,请参阅[Amazon SageMaker Canvas 设置和权限管理(适用于 IT 管理员)](canvas-setting-up.md)。
有关信息 RStudio,请参阅[使用 RStudio 应用程序创建亚马逊 SageMaker AI 域名](rstudio-create-cli.md#rstudio-create-cli-domain)。
用户可以在共享或私有空间中访问他们的 SageMaker AI 应用程序。
**共享空间**
+ 一个应用程序只能有一个相关空间。域内的所有用户配置文件都可以访问共享空间。这样,域中的所有用户配置文件都能访问应用程序的同一基础文件存储系统。
+ 共享空间将被授予**空间默认执行角色**所定义的权限。如果要修改共享空间的执行角色,必须修改空间默认执行角色。
有关获取空间默认执行角色的信息,请参阅 [获取空间执行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)。
有关修改执行角色的信息,请参阅 [修改执行角色(管理控制台)的权限](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
+ 有关共享空间的信息,请参阅 [使用共享空间进行协作](domain-space.md)。
+ 要创建共享空间,请参阅 [创建共享空间](domain-space-create.md#domain-space-create-app)。
**专用空间**
+ 一个应用程序只能有一个相关空间。专用空间只能由创建该空间的用户配置文件访问。该空间不能与其他用户共享。
+ 专用空间将承担创建它的用户配置文件的**用户配置文件执行角色**。如果要修改专用空间的执行角色,必须修改用户配置文件的执行角色。
有关获取用户配置文件执行角色的信息,请参阅 [获取用户执行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
有关修改执行角色的信息,请参阅 [修改执行角色(管理控制台)的权限](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
+ 所有支持空间的应用程序也支持专用空间。
+ 默认情况下,已为每个用户配置文件创建了 Studio Classic 专用空间。
**Topics**
+ [SageMaker AI 执行角色](#sagemaker-execution-roles)
+ [具有执行角色的灵活权限示例](#sagemaker-execution-roles-example)
## SageMaker AI 执行角色
SageMaker AI 执行角色是一种[AWS 身份和访问管理 (IAM) Access M](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) anagement 角色,它分配给在 AI 中执行 SageMaker 的 IAM 身份。[IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)提供对 AWS 账户的访问权限,代表人类用户或编程工作负载,该工作负载可以经过身份验证,然后授权其在中执行操作 AWS,从而向 SageMaker AI 授予代表您访问其他 AWS 资源的权限。此角色允许 SageMaker AI 执行诸如启动计算实例、访问存储在 Amazon S3 中的数据和模型项目或向写入日志等操作 CloudWatch。 SageMaker AI 在运行时担任执行角色,并被临时授予角色策略中定义的权限。角色应包含必要的权限,以定义身份可执行的操作和身份可访问的资源。您可以为各种身份分配角色,从而以灵活、细化的方式管理域内的权限和访问。有关域的更多信息,请参阅 [亚马逊 SageMaker AI 域名概述](gs-studio-onboard.md)。例如,您可以将 IAM 角色分配给:
+ **域执行角色**,向域内所有用户配置文件授予广泛权限。
+ **空间执行角色**,为域内的共享空间授予广泛权限。域中的所有用户配置文件都可以访问共享空间,并在共享空间内使用空间的执行角色。
+ **用户配置文件执行角色**,为特定用户配置文件授予精细权限。用户配置文件创建的专用空间将承担该用户配置文件的执行角色。
这样,您就可以向域授予必要的权限,同时仍能保持用户配置文件的最低权限原则,以遵守*《AWS IAM Identity Center 用户指南》*中 [IAM 的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
对执行角色的任何更改或修改都可能需要几分钟的时间来传播。更多信息,请分别参阅 [更改您的执行角色](sagemaker-roles.md#sagemaker-roles-change-execution-role) 或 [修改执行角色(管理控制台)的权限](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
## 具有执行角色的灵活权限示例
通过 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),您可以管理和授予广泛和精细的权限。下面的示例包括授予空间级和用户级权限。
假设您是一名管理员,正在为一个数据科学家团队建立一个域。*您可以允许域内的用户配置文件完全访问亚马逊简单存储服务 (Amazon S3) Storage Service 存储桶、 SageMaker 运行训练作业以及使用共享空间中的应用程序部署模型。*在此示例中,您可以创建具有广泛权限的名为 “DataScienceTeamRole” 的 IAM 角色。然后,您可以指定 “DataScienceTeamRole” 作为*空间的默认执行角色*,从而为您的团队授予广泛的权限。用户配置文件创建*共享空间*后,该空间将承担*空间默认执行角色*。有关为现有域分配执行角色的信息,请参阅 [获取空间执行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)。
您可以限制用户配置文件的权限,不允许其更改 Amazon S3 存储桶,而不是允许在自己的*专用空间*中作业的任何单个用户配置文件完全访问 Amazon S3 存储桶。在此示例中,您可以授予他们对 Amazon S3 存储桶的读取权限,以便在他们的*私有空间*中检索数据、运行 SageMaker 训练作业和部署模型。您可以创建一个名为 “DataScientistRole” 的用户级执行角色,其权限相对较为有限。然后,您可以将 “DataScientistRole” 分配给*用户配置文件执行角色*,授予在定义的范围内执行其特定数据科学任务所需的权限。当用户配置文件创建*专用空间*时,该空间将承担*用户执行角色*。有关为现有用户配置文件分配执行角色的信息,请参阅 [获取用户执行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
有关 SageMaker AI 执行角色以及为其添加其他权限的信息,请参阅[如何使用 SageMaker AI 执行角色](sagemaker-roles.md)。
# 查看您所在域中的 SageMaker AI 资源
## 使用 A SageMaker I 控制台查看您的域名资源
您可以使用 A SageMaker I 控制台查看您的亚马逊 A SageMaker I 域中的亚马逊 SageMaker AI 资源。使用以下说明了解如何查看用域 ARN 标记的资源。
按照此步骤显示的 SageMaker 资源是那些与其关联的相关`sagemaker:domain-arn`标签的资源。未标记的资源可能是在域范围之外创建的,或者是在 2022 年 11 月 30 日之前创建的,当时资源没有自动标记域 ARN。您可以按照 [回填域标签](domain-multiple-backfill.md) 中的步骤为未标记的资源添加标签,以便更好地筛选。在其他域中创建的资源会被自动筛选掉。
**注意**
这不是您域上活动资源的完整列表。有关所有活跃 SageMaker 资源,请参阅[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)。
**使用控制 SageMaker 台查看您网域中的 AI 资源**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 展开左侧导航窗格(如果尚未展开)。
1. 在**管理员配置**下,选择**域**。
1. 从域列表中选择要打开**域设置**页面的域。
1. 在**域详细信息**页面,选择**资源**选项卡。
1. 在**域资源**页面上,可以查看使用相对域 ARN 标记的资源的详细信息。默认情况下会显示正在运行的资源。
1. (可选)您可以使用每个资源类型顶部的搜索图标或**筛选状态**来筛选每个资源类型显示的资源。
## 使用 AWS CLI 查看您网域中的 SageMaker AI 空间
以下部分提供有关如何使用 AWS CLI查看域中空间的说明。
你需要知道你的*domain-id*. 要获取您的域详细信息,请参阅 [查看领域](domain-view.md)。
```
aws sagemaker list-spaces \
--region region
--domain-id domain-id
```
## 使用 AWS CLI 查看您所在域中的 SageMaker AI 应用程序
以下部分提供有关如何使用 AWS CLI查看域中应用程序的说明。
你需要知道你的*domain-id*. 要获取您的域详细信息,请参阅 [查看领域](domain-view.md)。
```
aws sagemaker list-apps \
--domain-id-equals domain-id
```
如果您看不到自己的应用程序或域,则可能需要更改 AWS 区域。为此,`aws configure`请使用更新您的 AWS 凭证。有关更多信息,请参阅[配置](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configure/index.html)。
# 关闭你域中的 SageMaker AI 资源
你可以使用 A SageMaker I 控制台关闭你的 Amazon A SageMaker I 域中的亚马逊 SageMaker AI 资源。使用以下说明了解如何关闭域 ARN 标记的资源。
按照此步骤显示的 SageMaker 资源是那些与其关联的相关`sagemaker:domain-arn`标签的资源。未标记的资源可能是在域范围之外创建的,或者是在 2022 年 11 月 30 日之前创建的,当时资源没有自动标记域 ARN。您可以按照 [回填域标签](domain-multiple-backfill.md) 中的步骤为未标记的资源添加标签,以便更好地筛选。在其他域中创建的资源会被自动筛选掉。
**注意**
这不是您域上活动资源的完整列表。有关所有活跃 SageMaker 资源,请参阅[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)。
**使用控制 SageMaker 台关闭您域中的 AI 资源**
1. [查看您所在域中的 SageMaker AI 资源](sm-console-domain-resources-view.md)
1. 在资源类型部分,选中要关闭的资源的复选框。
1. 选择资源后,资源类型部分顶部将出现一个关闭选项。选择选项并按照说明关闭所选资源。
有关如何按照 SageMaker AI 功能删除资源的说明,请参阅[按照 SageMaker AI 功能在哪里关闭资源](sm-shut-down-resources-per-feature.md)。
# 按照 SageMaker AI 功能在哪里关闭资源
您可以关闭您的 Amazon SageMaker AI 资源,以免产生不必要的费用。在下表中,我们列出了 SageMaker AI 功能或资源,并提供了有关如何关闭 SageMaker AI 资源的文档的链接。
您也可以使用 A SageMaker I [APIs、CLI 和 SDKs](api-and-sdk-reference-overview.md) 提供的。例如,您可以在 [Amazon SageMaker API 参考](https://docs.aws.amazon.com/sagemaker/latest/APIReference/Welcome.html)中搜索用于删除已创建的部分资源的`Delete*`命令。更具体地说,您可以搜索 [DeleteDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html)API 来了解如何删除 Amazon A SageMaker I 域名。
**注意**
这不是您域上活动资源的完整列表。有关所有活跃的 SageMaker AI 资源,请参阅[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)。
| SageMaker AI 功能、基础架构、资源 | 关闭说明 |
| --- | --- |
| [画布](canvas.md) | [注销 Amazon SageMaker Canvas](canvas-log-out.md) |
| [代码编辑器](code-editor.md) | [关闭 Code Editor 资源](code-editor-use-log-out.md) |
| [域](sm-domain.md): | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Studio Classic 中的 EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html) | [从 Studio 或 Studio Classic 终止 Amazon EMR 集群](terminate-emr-clusters.md) |
| [实验](mlflow.md) | [清理 MLflow 资源](mlflow-cleanup.md) |
| [HyperPod](sagemaker-hyperpod.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [推理端点](realtime-endpoints-options.md) | [删除端点和资源](realtime-endpoints-delete-resources.md) |
| [JupyterLab](studio-updated-jl.md) | [删除未使用的资源](studio-updated-jl-admin-guide-clean-up.md) |
| [MLOps](mlops.md) | [使用 Amazon SageMaker Studio 或 Studio 经典版删除 MLOps 项目](sagemaker-projects-delete.md) |
| [Notebook 实例](nbi.md) | [清理 Amazon SageMaker 笔记本实例资源](ex1-cleanup.md) |
| [Pipelines](pipelines.md) | [停止管道](pipelines-studio-stop.md) |
| [Projects](sagemaker-projects.md) | [使用 Amazon SageMaker Studio 或 Studio 经典版删除 MLOps 项目](sagemaker-projects-delete.md) |
| [RStudio 在亚马逊上 A SageMaker I](rstudio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [ Studio](studio-updated.md) | [查看您的 Studio 正在运行的实例、应用程序和空间](studio-updated-running.md) |
| [Studio Classic](studio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [AWS CloudFormation中的堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) | [在 AWS CloudFormation 控制台上删除堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) |
| [TensorBoard 在 SageMaker 人工智能中](tensorboard-on-sagemaker.md) | [删除未使用的 TensorBoard 应用程序](debugger-htb-delete-app.md) |
# 选择 Amazon VPC
本主题提供有关在注册亚马逊 A SageMaker I 域时选择亚马逊虚拟私有云(Amazon VPC)的详细信息。有关加入 SageMaker AI 域的更多信息,请参阅[亚马逊 SageMaker AI 域名概述](gs-studio-onboard.md)。
默认情况下, SageMaker AI 域使用两个 Amazon VPCs。一个 Amazon VPC 由亚马逊 SageMaker AI 管理,可直接访问互联网。您指定的另一个 Amazon VPC 在域和您的 Amazon Elastic File System (Amazon EFS) 卷之间提供加密流量。
您可以更改此行为,以便 SageMaker AI 通过您指定的 Amazon VPC 发送所有流量。选择此选项时,必须提供与 SageMaker API 和 SageMaker AI 运行时通信所需的子网、安全组和接口终端节点,以及 Studio 使用的各种 AWS 服务,例如亚马逊简单存储服务 (Amazon S3) Simple Storage Servic CloudWatch e 和 Amazon。
当您加入 SageMaker AI 域时,您可以通过将网络访问类型设置为 “**仅限 VPC” 来告诉 A SageMaker I 通过您的 Amazon VPC** 发送所有流量。
**指定 Amazon VPC 信息**
在以下步骤中指定 Amazon VPC 实体(即 Amazon VPC、子网或安全组)时,会根据当前 AWS 区域中实体的数量显示三个选项中的一个。行为如下:
+ 一个实体 — SageMaker AI 使用该实体。这一点无法更改。
+ 多个实体 - 必须从下拉列表中选择实体。
+ 无实体 - 必须创建一个或多个实体才能使用域。选择**创建 ** 以在新的浏览器选项卡中打开 VPC 控制台。创建实体后,返回域**开始使用**页面继续载入流程。
当您选择 “为**组织设置” 时,此过程是 SageMaker Amazon AI 域名注册**流程的一部分。您的 Amazon VPC 信息在**网络**部分下指定。
1. 选择网络访问类型。
**注意**
如果选择了 “**仅限 VPC**”, SageMaker AI 会自动将为该域定义的安全组设置应用于在该域中创建的所有共享空间。如果选择 “**仅限公共互联网**”, SageMaker AI 不会将安全组设置应用于在域中创建的共享空间。
+ **仅限公共互联网** — 非 Amazon EFS 流量通过 A SageMaker I 托管的 Amazon VPC,该虚拟私有网络允许访问互联网。域与 Amazon EFS 卷之间的流量通过指定的 Amazon VPC 传输。
+ **仅限 VPC** — 所有 SageMaker AI 流量均通过指定的 Amazon VPC 和子网。在**仅 VPC** 模式下,您必须使用无法直接访问 Internet 的子网。默认情况下,禁用 Internet 访问。
1. 选择 Amazon VPC。
1. 选择一个或多个子网。如果您不选择任何子网, SageMaker AI 将使用 Amazon VPC 中的所有子网。我们建议您使用不在受限可用区中创建的多个子网。在这些受限可用区中使用子网可能会导致容量不足错误和更长的应用程序创建时间。有关受约束可用区的更多信息,请参阅《AWS 区域 和可用区用户指南》**中的[受约束可用区](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-availability-zones.html#constrained-zones)。
1. 选择安全组。如果您选择**仅公共互联网**,则此步骤为可选步骤。如果您选择**仅 VPC**,则必须执行此步骤。
**注意**
有关允许的最大安全组数量,请参阅[UserSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UserSettings.html)。
有关**仅 VPC 模式**下的 Amazon VPC 要求,请参阅[将 VPC 中的 Studio 笔记本连接到外部资源](studio-notebooks-and-internet-access.md)。