本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon SageMaker AI 網域概觀
Amazon SageMaker AI 使用網域來組織使用者設定檔、應用程式及其相關聯資源。Amazon SageMaker AI 網域由下列項目組成:
+ 一個相關聯的 Amazon Elastic File System (Amazon EFS) 磁碟區
+ 授權使用者清單
+ 各種安全、應用程式、政策和 Amazon Virtual Private Cloud (Amazon VPC) 組態
下圖提供每個網域內私有應用程式和共用空間的概觀。
![\[Overview of a domain.\]](http://docs.aws.amazon.com/zh_tw/sagemaker/latest/dg/images/domains/private-apps-shared-spaces.png)
若要存取大多數 Amazon SageMaker AI 環境和資源,您必須使用 SageMaker AI 主控台或 AWS CLI,完成 Amazon SageMaker AI 網域加入程序。如需描述如何根據您想要存取 SageMaker AI 的方式開始使用 SageMaker AI 的指南,以及在必要時如何設定網域,請參閱[使用 Amazon SageMaker AI 進行設定的指南](gs.md)。
**Topics**
+ [Amazon SageMaker AI 網域實體和狀態](sm-domain.md)
+ [選擇一個 Amazon VPC](onboard-vpc.md)
# Amazon SageMaker AI 網域實體和狀態
Amazon SageMaker AI 網域支援 SageMaker AI 機器學習 (ML) 環境。SageMaker AI 網域由下列實體及其相關聯的狀態值組成。如需建立網域的加入步驟,請參閱[Amazon SageMaker AI 網域概觀](gs-studio-onboard.md)。
+ **網域**:網域包含下列項目。
+ 一個相關聯的 Amazon Elastic File System (Amazon EFS) 磁碟區。
+ 授權使用者清單。
+ 各種安全、應用程式、政策和 Amazon Virtual Private Cloud (Amazon VPC) 組態。
網域內的使用者可以彼此共享筆記本檔案和其他成品。一個帳戶可有多個網域。如需多個網域的詳細資訊,請參閱[多個網域概觀](domain-multiple.md)。
+ **使用者檔案**:使用者設定檔代表網域內的單一使用者。這是參考使用者的主要方式,用於共享、報告和其他使用者導向功能。此實體是在使用者加入 Amazon SageMaker AI 網域時建立的。如需使用者設定檔的詳細資訊,請參閱[網域使用者設定檔](domain-user-profile.md)。
+ **共用空間**:共用空間包含共用的 JupyterServer 應用程式和共用目錄。網域內的所有使用者都可以存取共用空間。網域內的所有使用者設定檔都可以存取網域中的所有共用空間。如需空間共用的詳細資訊,請參閱[與共用空間協作](domain-space.md)。
+ **應用程式**:應用程式代表支援用戶筆記本,終端和主控台的讀取和執行體驗的應用程式。應用程式的類型可以是 JupyterServer、KernelGateway、RStudioServerPro 或 RSession。使用者可能會同時啟用多個應用程式。
下列資料表說明的狀態值是針對`domain`、`UserProfile`、`shared space`和`App`實體。如果適用,他們還提供故障排除步驟。
網域狀態值
| Value | Description |
| --- | --- |
| 待定 | 正在建立網域。 |
| InService | 成功建立網域。 |
| 更新中 | 正在更新網域。 |
| 正在刪除 | 正在刪除網域。 |
| 失敗 | 無法建立網域。呼叫 DescribeDomain API 以查看無法建立網域的原因。在修復 FailureReason 中提到的錯誤之後,刪除失敗的網域並重新建立網域。 |
| UPDATE\$1FAILED | 無法更新網域。呼叫 DescribeDomain API 以查看無法更新網域的原因。修復 FailureReason 中提到的錯誤後,呼叫 UpdateDomain API。 |
| Delete\$1Failed | 無法刪除網域。呼叫 DescribeDomain API 以查看無法刪除網域的原因。因為刪除失敗,所以您可能有一些資源仍在執行,但是您無法使用或更新網域。修復FailureReason中提到的錯誤後,再次呼叫 DeleteDomain API。 |
`UserProfile` 狀態值
| Value | Description |
| --- | --- |
| 待定 | 正在進行建立的UserProfile。 |
| InService | 成功建立UserProfile。 |
| 更新中 | 正在進行的更新UserProfile。 |
| 正在刪除 | 正在進行刪除的 UserProfile。 |
| 失敗 | 失敗建立的 UserProfile。呼叫 DescribeUserProfile API 以查看UserProfile建立失敗原因。修復FailureReason中提到的錯誤後,刪除失敗的UserProfile並重新建立網域。 |
| UPDATE\$1FAILED | UserProfile更新不成功。呼叫 DescribeUserProfile API 以查看UserProfile更新失敗原因。修復FailureReason中提到的錯誤後,再次呼叫 UpdateUserProfile API。 |
| Delete\$1Failed | 失敗刪除的UserProfile。呼叫 DescribeUserProfile API 以查看UserProfile刪除失敗原因。因為刪除失敗,所以您可能有一些資源仍在執行,但是您無法使用或更新UserProfile。修復FailureReason中提到的錯誤後,再次呼叫 DeleteUserProfile API。 |
共用空間狀態值
| Value | Description |
| --- | --- |
| 待定 | 持續建立共享空間。 |
| InService | 成功建立共享空間。 |
| 正在刪除 | 持續刪除共享空間。 |
| 失敗 | 失敗建立共享空間。呼叫 DescribeSpace API 以查看共用空間建立失敗原因。修復FailureReason中提到的錯誤後,刪除失敗的共用空間並重新建立它。 |
| UPDATE\$1FAILED | 更新失敗的共用空間。呼叫 DescribeSpace API 以查看共用空間更新失敗原因。修復FailureReason中提到的錯誤後,再次呼叫 UpdateSpace API。 |
| Delete\$1Failed | 失敗刪除共用空間。呼叫 DescribeSpace API 以查看共用空間刪除失敗原因。因為刪除失敗,所以您可能有一些資源仍在執行,但是您無法使用或更新共用空間。修復FailureReason中提到的錯誤後,再次呼叫 DeleteSpace API。 |
| 已刪除 | 成功刪除的共用空間。 |
`App` 狀態值
| Value | Description |
| --- | --- |
| 待定 | 正在進行建立的App。 |
| InService | 成功建立的 App。 |
| 正在刪除 | 正在進行刪除的 App。 |
| 失敗 | 失敗建立的 App。呼叫 DescribeApp API 以查看App建立失敗原因。修復FailureReason中提到的錯誤後,再次呼叫 CreateApp API。 |
| 已刪除 | 成功刪除的 App。 |
## 應用程式維護
至少每 90 天,SageMaker AI 對 Amazon SageMaker Studio Classic JupyterServer 和 KernelGateway、SageMaker Canvas 和 Amazon SageMaker Data Wrangler 應用程式的基礎軟體執行一次安全和效能更新。某些維護項目 (例如作業系統升級) 要求 SageMaker AI 在維護時段短時間內讓您的應用程式離線。由於此維護會使應用程式離線,因此您無法在更新基礎軟體時執行任何作業。維護活動進行中時,應用程式的狀態會從 **InService** 轉換為**待處理**中。維護完成後,應用程式的狀態會轉換回 **InService**。如果修補失敗,則應用程式的狀態會變成**失敗**。如果應用程式處於**失敗**狀態,建議您建立相同類型的新應用程式。如需建立 Studio Classic 應用程式的相關資訊,請參閱[關閉並更新 Amazon SageMaker Studio Classic 和應用程式](studio-tasks-update.md)。如需有關建立 SageMaker Canvas 應用程式的詳細資訊,請參閱[應用程式管理](canvas-manage-apps.md)。
如需詳細資訊,請洽此處。https://aws.amazon.com/premiumsupport/。
**Topics**
+ [應用程式維護](#domain-maintenance)
+ [完成事前準備](domain-prerequisites.md)
+ [在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps.md)
+ [在 Amazon SageMaker Studio UI 中隱藏執行個體類型和映像](studio-updated-ui-customize-instances-images.md)
+ [多個網域概觀](domain-multiple.md)
+ [隔離網域資源](domain-resource-isolation.md)
+ [Amazon SageMaker AI 網域的預設設定](domain-set-defaults.md)
+ [自訂標籤傳播](custom-tags.md)
+ [將自訂檔案系統新增至網域](domain-custom-file-system.md)
+ [檢視網域環境詳細資訊](domain-space-environment.md)
+ [檢視網域](domain-view.md)
+ [編輯網域設定](domain-edit.md)
+ [刪除 Amazon SageMaker AI 網域](gs-studio-delete-domain.md)
+ [網域使用者設定檔](domain-user-profile.md)
+ [網域中的 IAM Identity Center 群組](domain-groups.md)
+ [了解網域空間許可和執行角色](execution-roles-and-spaces.md)
+ [檢視您網域中的 SageMaker AI 資源](sm-console-domain-resources-view.md)
+ [關閉網域中的 SageMaker AI 資源](sm-console-domain-resources-shut-down.md)
+ [根據 SageMaker AI 功能關閉資源的位置](sm-shut-down-resources-per-feature.md)
# 完成事前準備
若要使用 Amazon SageMaker AI 網域中可用的功能,您必須完成下列先決條件。
+ 加入網域。如需詳細資訊,請參閱[加入 Amazon SageMaker AI 網域](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)。
+ (選用) 如果您使用 與網域互動 AWS CLI,您也必須完成下列先決條件。
+ AWS CLI 依照[安裝目前 AWS CLI 版本](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv1.html#install-tool-bundled)中的步驟更新 。
+ 從您的本機電腦執行`aws configure`並提供您的 AWS 登入資料。如需 AWS 登入資料的相關資訊,請參閱[了解並取得您的 AWS 登入](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)資料。
# 在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式
**重要**
自 2023 年 11 月 30 日起,先前的 Amazon SageMaker Studio 體驗現在命名為 Amazon SageMaker Studio Classic。下節專門介紹如何使用更新的 Studio 體驗。如需使用 Studio Classic 應用程式的資訊,請參閱 [Amazon SageMaker Studio Classic](studio.md)。
本主題說明如何隱藏 Amazon SageMaker Studio 使用者介面 (UI) 中顯示的應用程式和機器學習 (ML) 工具。如需 Studio UI 的相關資訊,請參閱[Amazon SageMaker Studio UI 概觀](studio-updated-ui.md)。
此自訂不會封鎖對這些資源的存取。如果您想要封鎖對應用程式的存取,請參閱[Amazon SageMaker 角色管理器](role-manager.md)。
如需應用程式的相關資訊,請參閱[Amazon SageMaker Studio 中支援的應用程式](studio-updated-apps.md)。
Amazon SageMaker Studio Classic 不提供自訂 Studio UI 功能。
您可以在網域層級和使用者層級自訂 Studio UI:
+ 網域層級的自訂會為網域中的所有使用者設定預設值。
這些預設設定適用於網域中*未*對其個別使用者設定進行這些變更的所有使用者。
+ 使用者層級的自訂將優先於網域層級設定。
使用以下主題,進一步了解不同的自訂層級以及如何套用這些層級。
**Topics**
+ [在網域層級隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps-domain.md)
+ [在使用者層級隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps-user.md)
# 在網域層級隱藏機器學習工具和應用程式
以下說明如何使用主控台,在網域層級自訂 Studio 中顯示的應用程式和 ML 工具。如需詳細資訊,請參閱[在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps.md)。
如果 Amazon SageMaker Studio Classic 設定為您的預設體驗,則無法使用此功能。
## 在網域層級隱藏機器學習工具和應用程式指示 (主控台)
**在網域層級隱藏機器學習工具和應用程式 Studio UI (主控台)**
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選擇您要編輯的網域連結。
1. 在**網域詳細資訊**頁面上,選擇**應用程式組態**索引標籤。
1. 在 **SageMaker Studio** 區段中,選擇**自訂 Studio UI**。
1. 在**自訂 Studio UI** 頁面上,您可以將應用程式和 ML 工具切換為關閉,以隱藏 Studio 中顯示的應用程式和 ML 工具。
請注意,並非所有區域皆提供所有 ML 功能。
1. 一旦檢閱了您的變更,請選擇**儲存**。
一旦完成,您就會在頁面頂端看到包含成功訊息的綠色橫幅。
## 在網域層級隱藏機器學習工具和應用程式指示 (AWS CLI)
**注意**
若要使用此功能,您可能需要更新至 AWS CLI 最新版本。如需詳細資訊,請參閱[安裝或更新至最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用 AWS CLI [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html),在網域層級自訂 Studio 中顯示的應用程式和 ML 工具。使用 `HiddenAppTypes` 隱藏應用程式和使用 `HiddenMlTools` 隱藏 ML 工具。
在下列範例中,網域 `domainId` 中的使用者看不到 SageMaker Canvas 和程式碼編輯器。
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
請注意,並非所有 AWS 區域皆提供所有 ML 功能。
# 在使用者層級隱藏機器學習工具和應用程式
以下說明如何在使用者層級自訂 Studio 中顯示的應用程式和 ML 工具。如需詳細資訊,請參閱[在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps.md)。
如果 Studio Classic 設定為您的預設體驗,則無法使用此功能。
## 在使用者層級隱藏機器學習工具和應用程式指示 (主控台)
**在使用者層級隱藏機器學習工具和應用程式 Studio UI (主控台)**
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選擇您要編輯的網域連結。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
1. 在**使用者設定檔**區段中,選擇您要編輯的使用者設定檔連結。
1. 選擇**應用程式組態**索引標籤。
1. 在 **SageMaker Studio** 區段中,選擇**自訂 Studio UI**。
1. 在**自訂 Studio UI** 頁面上,您可以將應用程式和 ML 工具切換為關閉,以隱藏 Studio 中顯示的應用程式和 ML 工具。
請注意,並非所有區域皆提供所有 ML 功能。
1. 一旦檢閱了您的變更,請選擇**儲存**。這將帶您回到使用者設定檔編輯流程。
1. 選擇**儲存變更**。
一旦完成,您就會在頁面頂端看到包含成功訊息的綠色橫幅。
## 在使用者層級隱藏機器學習工具和應用程式指示 (AWS CLI)
**注意**
若要使用此功能,您可能需要更新至 AWS CLI 最新版本。如需詳細資訊,請參閱[安裝或更新至最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用 AWS CLI [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html),在使用者層級自訂 Studio 中顯示的應用程式和 ML 工具。使用 `HiddenAppTypes` 隱藏應用程式和使用 `HiddenMlTools` 隱藏 ML 工具。
在下列範例中,網域 `domainId` 中的使用者 *userProfileName* 看不到 SageMaker Canvas 和程式碼編輯器。
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{"StudioWebPortalSettings": {"HiddenAppTypes": ["Canvas", "CodeEditor"]}}'
```
請注意,並非所有 AWS 區域皆提供所有 ML 功能。
# 在 Amazon SageMaker Studio UI 中隱藏執行個體類型和映像
**重要**
自 2023 年 11 月 30 日起,先前的 Amazon SageMaker Studio 體驗現在命名為 Amazon SageMaker Studio Classic。下節專門介紹如何使用更新的 Studio 體驗。如需使用 Studio Classic 應用程式的資訊,請參閱 [Amazon SageMaker Studio Classic](studio.md)。
本主題說明如何隱藏 Amazon SageMaker Studio 使用者介面 (UI) 中顯示的 Amazon SageMaker AI 執行個體類型和映像。如需 Studio UI 的相關資訊,請參閱[Amazon SageMaker Studio UI 概觀](studio-updated-ui.md)。
隱藏 SageMaker AI 執行個體類型和映像時:
+ 受影響的使用者將無法在 Studio UI 中檢視隱藏的資源。
+ 受影響的使用者將無法執行或建立具有隱藏組態的新空間。
+ 任何目前為受影響使用者執行的空間都不會生效。
+ 當受影響的使用者嘗試執行具有隱藏資源的空間時,他們將收到管理員已停用相關資源的通知。
**注意**
如果您想要透過 AWS Identity and Access Management 政策*限制*使用者可用的執行個體類型,而不是*隱藏*,請參閱:
[我可以限制資料科學家可以在 re:Post 中為 SageMaker AI 中的訓練任務啟動的執行個體類型嗎?](https://repost.aws/questions/QUd77APmdHTx-2FZCvZfS6Qg/can-i-limit-the-type-of-instances-that-data-scientists-can-launch-for-training-jobs-in-sagemaker) AWS
StackOverflow 中的[透過 IAM 政策限制 Amazon SageMaker AI 上的執行個體類型](https://stackoverflow.com/questions/76426316/limiting-instances-types-on-aws-sagemaker-via-iam-policy)。
Amazon SageMaker Studio Classic 不提供自訂 Studio UI 功能。
您可以在網域層級和使用者層級自訂 Studio UI:
+ 網域層級的自訂會為網域中的所有使用者設定預設值。
+ 使用者層級的自訂將優先於網域層級設定。
使用以下主題,進一步了解不同的自訂層級以及如何套用這些層級。
**Topics**
+ [在網域層級隱藏執行個體類型和映像](studio-updated-ui-customize-instances-images-domain.md)
+ [在使用者層級隱藏執行個體類型和映像](studio-updated-ui-customize-instances-images-user.md)
# 在網域層級隱藏執行個體類型和映像
以下說明如何使用主控台設定規則,以在*網域層級*隱藏 Amazon SageMaker AI 執行個體類型和映像,不要在 Amazon SageMaker Studio Classic UI 中顯示。如需詳細資訊,請參閱[在 Amazon SageMaker Studio UI 中隱藏執行個體類型和映像](studio-updated-ui-customize-instances-images.md)。
一旦在網域層級進行了這些變更:
+ 這些變更不會影響任何目前開啟的空間。
+ 這些變更將影響網域使用者從該時間點開始的*預設*可見性。
這些預設設定適用於網域中*未*對其個別使用者設定進行這些變更的所有使用者。
+ 使用者層級設定優先於網域層級設定。
Amazon SageMaker Studio Classic 不提供自訂 Studio UI 功能。
## 在網域層級隱藏執行個體類型和映像指示 (主控台)
**在網域層級隱藏執行個體類型和映像 Studio UI (主控台)**
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選擇您要編輯的網域連結。
1. 在**網域詳細資訊**頁面上,選擇**網域設定**。
1. 在**網域設定**索引標籤中,您可以在**網域規則**區段中檢視網域規則。
1. 在**網域規則**區段中,選擇**管理規則**。
1. 在**管理網域規則**頁面上,選擇**規則類型**。
請注意,並非所有 AWS 區域皆提供所有執行個體類型和映像。
1. 如果選擇**執行個體類型**,您可以使用**隱藏**動作,來隱藏您在**執行個體類型**下的下拉式清單中選擇的 SageMaker AI 執行個體類型。
1. 如果選擇**映像**,您可以使用**隱藏**動作,來隱藏您在**映像**下的下拉式清單下選擇的 SageMaker 映像。
1. (選用) 選擇 **\$1 新增規則**以新增更多規則。
1. 一旦檢閱了您的變更,請選擇**提交**。
一旦完成,您就會在頁面頂端看到包含成功訊息的綠色橫幅。
## 在網域層級隱藏執行個體類型和映像指示 (AWS CLI)
**注意**
若要使用此功能,您可能需要更新至 AWS CLI 最新版本。如需詳細資訊,請參閱[安裝或更新至最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用 [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html), AWS CLI 在網域層級上自訂 Studio UI 中顯示的 SageMaker AI 執行個體和映像。使用 `HiddenInstanceTypes` 隱藏執行個體類型和使用 `HiddenSageMakerImageVersionAliases` 隱藏 SageMaker 映像。
請注意,當您使用 `HiddenSageMakerImageVersionAliases` 時:
+ API 只接受次要 `VersionAliases` (例如 `1.9`),而不是修補程式版本 (例如 `1.9.1`)。
+ 您可以透過 CLI 或 SDK 輸入未發佈的版本。不過,這些版本不會顯示在主控台中,而且會在透過主控台編輯規則之後遭到覆寫。
在下列範例中,對於程式碼編輯器,根據 Code-OSS、Visual Studio Code - Open Source 和 JupyterLab,網域 `domainId` 中的使用者預設看不到下列項目:
+ 執行個體類型 `ml.r6id.24xlarge` 和 `ml.r6id.32xlarge`。
+ 映像 `sagemaker_distribution` 版本 `1.9` 和 `1.8`。
```
aws sagemaker update-domain \
--domain-id domainId \
--default-user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
請注意,並非所有 AWS 區域皆提供所有執行個體類型和映像。
# 在使用者層級隱藏執行個體類型和映像
**警告**
自訂使用者設定檔是永久的動作。如果儲存了自訂設定,此使用者描述檔將覆寫網域設定,且未來不會再透過網域動態更新。
以下說明如何使用主控台設定規則,以在*使用者層級*隱藏 Amazon SageMaker AI 執行個體類型和映像,不要在 Amazon SageMaker Studio Classic UI 中顯示。如需詳細資訊,請參閱[在 Amazon SageMaker Studio UI 中隱藏執行個體類型和映像](studio-updated-ui-customize-instances-images.md)。
此設定將優先於網域層級設定。
Studio Classic 不提供自訂 Studio UI 功能。
## 在使用者層級隱藏執行個體類型和映像指示 (主控台)
**在使用者層級隱藏執行個體類型和映像 Studio UI (主控台)**
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選擇您要編輯的網域連結。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
1. 在**使用者設定檔**區段中,選擇您要編輯的使用者設定檔連結。
1. 在 [使用者詳細資訊] 索引標籤上,您可以在 [使用者設定檔規則] 區段中檢視套用至使用者的規則。
1. 在 [使用者設定檔規則] 區段中,選擇 [管理規則]。
1. 在 [管理使用者設定檔規則] 頁面上,選擇 [規則類型]。
請注意,並非所有 AWS 區域皆提供所有執行個體類型和映像。
1. 如果選擇**執行個體類型**,您可以使用**隱藏**動作,來隱藏您在**執行個體類型**下的下拉式清單中選擇的 SageMaker AI 執行個體類型。
1. 如果選擇**映像**,您可以使用**隱藏**動作,來隱藏您在**映像**下的下拉式清單下選擇的 SageMaker 映像。
1. (選用) 選擇 **\$1 新增規則**以新增更多規則。
1. 一旦檢閱了您的變更,請選擇**提交**。
一旦完成,您就會在頁面頂端看到包含成功訊息的綠色橫幅。
## 在使用者層級隱藏執行個體類型和映像指示 (AWS CLI)
**注意**
若要使用此功能,您可能需要更新至 AWS CLI 最新版本。如需詳細資訊,請參閱[安裝或更新至最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
您可以使用 [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html),在使用者層級 AWS CLI 自訂 Studio 中顯示的應用程式和 ML 工具。使用 `HiddenInstanceTypes` 隱藏執行個體類型和使用 `HiddenSageMakerImageVersionAliases` 隱藏 SageMaker 映像。
請注意,當您使用 `HiddenSageMakerImageVersionAliases` 時:
+ API 只接受次要 `VersionAliases` (例如 `1.9`),而不是修補程式版本 (例如 `1.9.1`)。
+ 您可以透過 CLI 或 SDK 輸入未發佈的版本。不過,這些版本不會顯示在主控台中,而且會在透過主控台編輯規則之後遭到覆寫。
在下列範例中,對於程式碼編輯器,根據 Code-OSS、Visual Studio Code - Open Source 和 JupyterLab,網域 `domainId` 中的使用者 `userProfileName` 預設看不到下列項目:
+ 執行個體類型 `ml.r6id.24xlarge` 和 `ml.r6id.32xlarge`。
+ 映像 `sagemaker_distribution` 版本 `1.9` 和 `1.8`。
```
aws sagemaker update-user-profile \
--domain-id domainId \
--user-profile-name userProfileName \
--user-settings '{
"StudioWebPortalSettings": {
"HiddenInstanceTypes": [ "ml.r6id.24xlarge", "ml.r6id.32xlarge" ],
"HiddenSageMakerImageVersionAliases": [
{
"SageMakerImageName": "sagemaker_distribution",
"VersionAliases": [ "1.9", "1.8" ]
}
]
}
}'
```
請注意,並非所有 AWS 區域皆提供所有執行個體類型和映像。
# 多個網域概觀
**重要**
允許 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic 建立 Amazon SageMaker 資源的自訂 IAM 政策也必須授與許可,才能將標籤新增至這些資源。需要將標籤新增至資源的許可,因為 Studio 和 Studio Classic 會自動標記它們建立的任何資源。如果 IAM 政策允許 Studio 和 Studio Classic 建立資源,但不允許標記,則在嘗試建立資源時可能會發生 "AccessDenied" 錯誤。如需詳細資訊,請參閱[提供標記 SageMaker AI 資源的許可](security_iam_id-based-policy-examples.md#grant-tagging-permissions)。
提供許可來建立 SageMaker 資源的 [AWS Amazon SageMaker AI 的 受管政策](security-iam-awsmanpol.md) 已包含建立這些資源時新增標籤的許可。
具有多個 Amazon SageMaker AI 網域可針對具有不同業務單位、團隊或專案的企業管理員簡化其管理機器學習工作流程。每個網域都做為邏輯上獨立的環境,具有自己的組態、設定和使用者存取控制。此分隔可讓組織在不同的群組、團隊或使用案例之間強制執行明確的界限,從而增強在廣泛且精細的層級安全地配置 AWS 資源和許可的能力。
以下提供建立多個網域的相關資訊。
+ Amazon SageMaker AI 支援 AWS 區域 為每個帳戶在單一 中建立多個 Amazon SageMaker AI 網域。
+ 中的其他網域 AWS 區域 具有與區域中第一個網域相同的特徵和功能。
+ 每個網域都可以具有不同的網域設定。
+ 同一個使用者設定檔無法新增至同一帳戶內單一地區的多個網域。
如需網域限制的相關資訊,請參閱 [Amazon SageMaker AI 端點與配額](https://docs.aws.amazon.com//general/latest/gr/sagemaker.html)。
下列主題提供如何為您的網域使用標籤的相關資訊。
**Topics**
+ [自動化標籤傳播](domain-multiple-tag.md)
+ [網域資源顯示篩選的運作方式](domain-multiple-filtering.md)
+ [回填網域標籤](domain-multiple-backfill.md)
# 自動化標籤傳播
標籤可讓您根據各種條件來分類和標記資源,例如專案、團隊、環境 (例如 dev、staging、prod) 或任何其他自訂中繼資料。在您的網域內建立資源時,您可以依該網域自動標記這些資源。這可讓您更輕鬆地跨網域識別和管理資源。使用 AWS 帳單與成本管理,您也可以使用這些標籤來配置成本。如需詳細資訊,請參閱 [使用 AWS 成本分配標籤](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
根據預設,任何支援標記且在 2022 年 11 月 30 日之後從 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic UI 中建立的 SageMaker AI 資源都會自動標記為網域 ARN 標籤。網域 ARN 標籤是以資源建立所在網域的網域 ID 為基礎。
若要回填 SageMaker AI 資源,您可以依照[回填網域標籤](domain-multiple-backfill.md)中的步驟,將 `sagemaker:domain-arn` 標籤新增至未標記的資源。
下列清單說明唯一*不*支援自動標籤傳播的 SageMaker AI 資源,以及因為未自動設定標籤而未傳回的受影響 API 呼叫。
**注意**
所有 SageMaker `List` API 都不支援以標籤為基礎的資源隔離。
管理 Studio 使用者介面的`default`應用程式不會自動加上標籤。
| SageMaker AI 資源 | 受影響的 API 呼叫 |
| --- | --- |
| ImageVersionArn | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/sagemaker/latest/dg/domain-multiple-tag.html) |
| ModelCardExportJobArn | [describe-model-card-export-job](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-card-export-job.html) |
| ModelPackageArn | [describe-model-package](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/describe-model-package.html) |
# 網域資源顯示篩選的運作方式
Amazon SageMaker AI 會根據 Amazon SageMaker AI 網域自動篩選 Studio 或 Studio Classic 中顯示的資源。此篩選是透過使用附加到 SageMaker AI 資源的 `sagemaker:domain-arn` 標籤來完成。在其他網域中建立的資源會自動隱藏。
**注意**
這僅適用於 Studio 或 Studio Classic UI。SageMaker AI AWS CLI 預設不支援使用 進行資源篩選。
在 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic 中,您只會看到下列情況的資源:
+ 已在目前網域內建立。
+ 沒有與其相關聯的 `sagemaker:domain-arn` 標籤。這些未標記的資源可能是在領域的前後關聯之外建立的,或是在 2022 年 11 月 30 日之前建立的。
若要改善資源篩選,您可以依照 [回填網域標籤](domain-multiple-backfill.md) 中的步驟,將 `sagemaker:domain-arn` 標籤新增至未標記的資源。
此外,在共用空間中建立的所有資源都會自動篩選至該特定共用空間。
# 回填網域標籤
您可以將網域標籤新增至未標記的資源,以改善資源篩選。若有未標記的資源,您可以回填這些資源。
如果您在 2022 年 11 月 30 日之前在網域中建立資源,則這些資源不會自動標記為網域 Amazon Resource Name (ARN) 標籤。
若要將資源準確歸因至其各自的網域,您必須使用 將網域標籤新增至現有資源 AWS CLI,如下所示。
1. 將所有現有的 SageMaker AI 資源及其各自網域的 ARN 對應至您帳戶中存在的網域。
1. 從本機電腦執行以下命令,以使用資源各自網域的 ARN 標記資源。您帳戶中的每個 SageMaker AI 資源都必須重複此動作。
```
aws resourcegroupstaggingapi tag-resources \
--resource-arn-list arn:aws:sagemaker:region:account-id:space/domain-id/space-name \
--tags sagemaker:domain-arn=arn:aws:sagemaker:region:account-id:domain/domain-id
```
# 隔離網域資源
**重要**
允許 Amazon SageMaker Studio 或 Amazon SageMaker Studio Classic 建立 Amazon SageMaker 資源的自訂 IAM 政策也必須授與許可,才能將標籤新增至這些資源。需要將標籤新增至資源的許可,因為 Studio 和 Studio Classic 會自動標記它們建立的任何資源。如果 IAM 政策允許 Studio 和 Studio Classic 建立資源,但不允許標記,則在嘗試建立資源時可能會發生 "AccessDenied" 錯誤。如需詳細資訊,請參閱[提供標記 SageMaker AI 資源的許可](security_iam_id-based-policy-examples.md#grant-tagging-permissions)。
提供許可來建立 SageMaker 資源的 [AWS Amazon SageMaker AI 的 受管政策](security-iam-awsmanpol.md) 已包含建立這些資源時新增標籤的許可。
您可以使用 AWS Identity and Access Management (IAM) 政策,在帳戶中 AWS 區域 的每個網域之間隔離資源。隔離的資源將再也不能從其他網域存取。在本主題中,我們將討論 IAM 政策所需的條件,以及如何套用這些條件。
可由此政策隔離的資源是具有條件金鑰 (其中包含 `aws:ResourceTag/${TagKey}` 或 `sagemaker:ResourceTag/${TagKey}`) 的資源類型。如需 SageMaker AI 資源和相關聯條件金鑰的參考,請參閱 [Amazon SageMaker AI 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)。
**警告**
*未*包含上述條件金鑰 (因此為使用資源類型的[動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions)) 的資源類型*不*受此資源隔離政策影響。例如,[pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) 資源類型*不*包含上述條件金鑰,且*不*受此政策影響。因此,以下是具有 pipeline-execution 資源類型的一些動作,*不*支援進行資源隔離:
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
下列主題說明如何建立新的 IAM 政策,將網域中資源的存取限制為具有網域標籤的使用者設定檔,以及如何將此政策附加至網域的 IAM 執行角色。您必須針對帳戶中的每個網域重複此程序。如需網域標籤和回填這些標籤的詳細資訊,請參閱[多個網域概觀](domain-multiple.md)。
## 主控台
下列章節說明如何建立新的 IAM 政策,將網域中資源的存取限制為具有網域標籤的使用者設定檔,以及如何從 Amazon SageMaker AI 主控台將此政策附加至網域的 IAM 執行角色。
**注意**
此政策僅適用於使用 Amazon SageMaker Studio Classic 作為預設體驗的網域。
1. 透過完成[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)中的步驟,並藉由以下 JSON 政策文件,建立 IAM 政策並命名為 `StudioDomainResourceIsolationPolicy-domain-id`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. 完成[修改角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) 中的步驟,將 `StudioDomainResourceIsolationPolicy-domain-id` 政策附加至網域的執行角色。
## AWS CLI
下列章節說明如何建立新的 IAM 政策,將網域中資源的存取限制為具有網域標籤的使用者設定檔,以及如何從 AWS CLI將此政策附加至網域的 IAM 執行角色。
**注意**
此政策僅適用於使用 Amazon SageMaker Studio Classic 作為預設體驗的網域。
1. 從您的本機機器,藉由以下內容,建立一個檔案且檔名為 `StudioDomainResourceIsolationPolicy-domain-id`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. 使用 `StudioDomainResourceIsolationPolicy-domain-id` 檔案,建立新的 IAM 政策。
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. 將新建立的政策附加至作為網域執行角色使用的新角色或現有角色。
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```
# Amazon SageMaker AI 網域的預設設定
使用 SageMaker AI,您可以在 Amazon SageMaker AI 網域層級為資源設定預設設定。這些預設設定用於建立網域內的資源。下列各節列出網域的預設設定,並提供設定預設值時使用內容金鑰的相關資訊。
**Topics**
+ [網域預設設定](#domain-set-defaults-domains)
+ [內容金鑰](#domain-set-defaults-context)
## 網域預設設定
您可以在建立或更新網域時設定下列預設值。在使用者設定檔和共用空間層級傳遞的值會覆寫在網域層級設定的預設值。
+ [ DefaultUserSettings ](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UserSettings.html)
+ 預設空間設定
**注意**
`DefaultSpaceSettings`只支援在 `SageMakerImageArn` 使用 JupyterLab 3 映像 ARN。如需更多詳細資訊,請參閱[Amazon SageMaker Studio Classic 中的 JupyterLab 版本控制](studio-jl.md)。
```
"DefaultSpaceSettings": {
"ExecutionRole": "string",
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"KernelGatewayAppSettings": {
"CustomImages": [
{
"AppImageConfigName": "string",
"ImageName": "string",
"ImageVersionNumber": number
}
],
"DefaultResourceSpec": {
"InstanceType": "string",
"LifecycleConfigArn": "string",
"SageMakerImageArn": "string",
"SageMakerImageVersionArn": "string"
},
"LifecycleConfigArns": [ "string" ]
},
"SecurityGroups": [ "string" ]
}
```
## 內容金鑰
您可以將內容金鑰新增至建立網域的 IAM 政策。這會限制使用者可傳遞給這些欄位的值。下列清單顯示網域支援的內容金鑰及其實作位置。
+ `sagemaker:ImageArns`
+ **已實施,並作為 `DefaultUserSettings` 的一部份:**`SagemakerImageArn` 在 `DefaultUserSettings.JupyterServerAppSettings` 以及 `DefaultUserSettings.KernelGatewayAppSettings` 中。 `CustomImages` 在 `DefaultUserSettings.KernelGatewayAppSettings` 中。
+ **已實施,並作為 `DefaultSpaceSettings` 的一部份:**`SagemakerImageArn` 在 `DefaultSpaceSettings.JupyterServerAppSettings` 以及 `DefaultSpaceSettings.KernelGatewayAppSettings` 中。 `CustomImages` 在 `DefaultSpaceSettings.KernelGatewayAppSettings` 中。
+ `sagemaker:VpcSecurityGroupIds`
+ **已實施,並作為 `DefaultUserSettings` 的一部份:**`SecurityGroups` 在 `DefaultUserSettings` 中。
+ **已實施,並作為 `DefaultSpaceSettings` 的一部份:**`SecurityGroups` 在 `DefaultSpaceSettings` 中。
+ `sagemaker:DomainSharingOutputKmsKey`
**已實施,並作為 `DefaultUserSettings` 的一部份:**`S3KmsKeyId` 在 `DefaultSpaceSettings.SharingSettings` 中。
使用前後關聯索引鍵作為預設值時,您無法限制使用者傳遞不相容的值。例如,`SageMakerImageArn` 設定的值,作為 `DefaultUserSettings` 和 `DefaultSpaceSettings` 的一部分必須相容。您無法設定不相容的預設值。
# 自訂標籤傳播
Amazon SageMaker AI 支援您能夠將網域、使用者設定檔和空間層級設定的自訂標籤傳播到 Amazon SageMaker Studio、JupyterLab、程式碼編輯器內容中建立的所有 SageMaker AI 資源,以 Code-OSS、Visual Studio Code - Open Source 和 Amazon SageMaker Canvas 為基礎。透過自訂標籤傳播,使用者可以將自己的自訂標籤傳播至資源,以改善成本追蹤並將資源繫結至特定專案和團隊。
若要啟用此功能,請使用 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) 和 [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) API 中的 `TagPropagation` 屬性。自訂標籤傳播只能在網域層級設定,這表示網域中的所有使用者和空間在啟用時都會使用該功能。無法在使用者設定檔或空間層級修改自訂標籤傳播設定。如需使用自訂標籤傳播的詳細資訊,請參閱[將自訂標籤新增至資源](custom-tags-add.md)。
**注意**
網域、使用者設定檔和空間上由 AWS 服務新增的系統標籤不會傳播。
## 範例使用案例
自訂標籤傳播對於下列使用案例特別有用。
+ 追蹤 Amazon SageMaker Studio 中建立的所有 SageMaker AI 資源的成本。
+ 追蹤 Amazon SageMaker Canvas 中建立的 SageMaker AI 資源的成本。這包括部署在 SageMaker AI 端點上的模型。
+ 透過將 Amazon DataZone 專案 ID 傳播至 Amazon SageMaker Studio 建立的所有資源,追蹤 Amazon DataZone 專案所產生的成本。
## 標籤合併
啟用自訂標籤傳播後,在使用者設定檔和空間層級建立的資源會接受在網域層級指定的標籤,以及在使用者設定檔或空間建立期間指定的標籤。
SageMaker AI 資源有 50 個標籤限制。如果新增至資源的標籤數量超過 50,SageMaker AI 會在資源建立期間傳回錯誤。我們建議限制標籤數以避免發生此情況。例如,假設使用者有 25 個標籤用於網域,有 30 個標籤用於使用者設定檔。當使用者建立資源時,總共 55 個標籤會傳播到資源。由於彙總標籤總計超過 50,資源建立會失敗,直到使用者移除至少 5 個標籤為止。
**注意**
根據預設,SageMaker AI 會自動將 `sagemaker:user-profile-arn` `sagemaker:domain-arn` 或 `sagemaker:space-arn` 標籤新增至 SageMaker AI 資源。SageMaker AI 新增 ARN 標籤,無論網域是否正在使用自訂標籤傳播。這些 ARN 標籤也計入 50 個標籤的限制。
# 將自訂標籤新增至資源
以下頁面示範使用自訂標籤傳播所需的步驟。自訂標籤傳播需要下列步驟:
+ 選擇加入自訂標籤傳播
+ 將自訂標籤新增至資源
當您在現有網域中啟用自訂標籤傳播時,在應用程式重新啟動之前,標籤傳播不適用於現有應用程式。同樣地,新增自訂標籤時,不會更新現有資源上的標籤。例如,假設網域有兩個標籤,而使用者在該網域中建立資源。然後,資源有兩個標籤。如果將新標籤新增至網域,則該新標籤不會新增至現有資源。不過,任何新建立的資源都將具有附加至資源的新標籤。
## 先決條件
+ 使用者必須具有 `sagemaker:AddTags` 許可,才能建立任何資源。
+ 對於使用 `SageMakerFullAccess` 受管政策或使用 SageMaker 角色管理員建立的新網域,會預先填入 `sagemaker:AddTags` 許可。
+ 對於使用自訂 AWS Identity and Access Management 政策的現有網域,您必須更新政策以包含允許使用者建立資源的 `sagemaker:AddTags`許可。
## 選擇加入自訂標籤傳播
選擇加入自訂標籤傳播的程序會根據您是從主控台還是從 AWS CLI選擇加入而有所不同。從主控台中,您只能透過更新現有的網域來選擇加入自訂標籤傳播。在建立網域或更新現有網域時 AWS CLI,您可以選擇加入自訂標籤傳播。
### 從主控台選擇加入
下列步驟概述如何從主控台選擇加入自訂標籤傳播。您只能透過更新現有的網域,從主控台選擇加入自訂標籤傳播。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽上,選取**管理員組態**。在**管理員組態**下,選取**網域**。
1. 在**網域**頁面上,選取您要為其啟用自訂標籤傳播的網域。
1. 在**網域詳細資訊**頁面中,選取**網域設定**標籤。
1. 在**網域設定**索引標籤上,導覽至**自訂標籤傳播**。
1. 選擇 **Edit** (編輯)。
1. 從**編輯自訂標籤傳播**頁面中,選取**自動傳播自訂標籤**
1. 選取**提交**。
### 使用 選擇加入 AWS CLI
若要使用 選擇加入自訂標籤傳播 AWS CLI,請使用 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) 和 [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) APIs中的 `TagPropagation` 屬性。根據預設,此欄位的預設值為 `DISABLED`。空白值也會預設為 `DISABLED`。下列範例顯示如何啟用自訂標籤傳播。
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation ENABLED
```
## 新增自訂標籤
新增自訂標籤傳播的程序會根據您是從主控台還是從 AWS CLI新增它們而有所不同。
### 從主控台新增
下列步驟概述如何從主控台將自訂標籤新增至網域。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽上,選取**管理員組態**。在**管理員組態**下,選取**網域**。
1. 在**網域**頁面上,選取要將自訂標籤新增至其中的網域。
1. 在**網域詳細資訊**頁面中,選取**網域設定**標籤。
1. 在**網域設定**索引標籤上,導覽至**標籤**。
1. 選擇 **Edit** (編輯)。
1. 從**標籤**頁面中,選取**新增標籤**。為自訂標籤新增金鑰和值對。
1. 選取**儲存**。此自訂標籤現在會傳播到網域中建立的 SageMaker AI 資源。
下列步驟概述如何從主控台將自訂標籤新增至使用者設定檔。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽上,選取**管理員組態**。在**管理員組態**下,選取**網域**。
1. 在**網域**頁面上,選取其中包含您要將自訂標籤新增至其中的使用者設定檔的網域。
1. 從**網域詳細資料**頁面中,選取**使用者設定檔**索引標籤。
1. 在**使用者設定檔**索引標籤上,選取您要將自訂標籤新增至其中的使用者設定檔。
1. 在**使用者詳細資訊**索引標籤上,導覽至**詳細資訊**區段。
1. 選擇 **Edit** (編輯)。
1. 從**標籤**區段中,選取**新增標籤**。為自訂標籤新增金鑰和值對。
1. 選取**提交**。此自訂標籤現在會傳播到網域中建立的 SageMaker AI 資源。
### 使用 新增 AWS CLI
啟用自訂標籤傳播之後,您可以在建立或更新期間, AWS CLI 在網域、使用者設定檔或空間層級使用 新增自訂標籤。新增自訂標籤的方法會有所不同,取決於您是建立新資源,還是將標籤新增至現有資源。
下列範例顯示如何在建立期間於網域層級新增自訂標籤。
```
aws sagemaker create-domain \
--domain-name domain-id \
--auth-mode IAM \
--default-user-settings '{"ExecutionRole": "execution-role"}' \
--subnet-ids subnet-id \
--vpc-id vpc-id \
--tags Key=key,Value=value \
--tag-propagation ENABLED
```
您必須使用 [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html) API 來新增現有網域、使用者設定檔和空間的自訂標籤,如下所示。
```
aws sagemaker add-tags \
--resource-arn resource-arn-to-attach-tags \
--tags Key=key, Value=value
```
# 選擇退出自訂標籤傳播
選擇退出自訂標籤傳播的程序會根據您是從主控台還是從 AWS CLI選擇退出而有所不同。
## 從主控台選擇退出
下列步驟概述如何從主控台選擇退出自訂標籤傳播。您只能透過更新現有的網域,從主控台選擇退出自訂標籤傳播。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽上,選取**管理員組態**。在**管理員組態**下,選取**網域**。
1. 在**網域**頁面上,選取您要選擇退出自訂標籤傳播的網域。
1. 在**網域詳細資訊**頁面中,選取**網域設定**標籤。
1. 在**網域設定**索引標籤上,導覽至**自訂標籤傳播**。
1. 選擇 **Edit** (編輯)。
1. 從**編輯自訂標籤傳播**頁面中,選取**自動傳播自訂標籤**
1. 選取**提交**。
## 使用 選擇退出 AWS CLI
若要選擇退出自訂標籤傳播,請將 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) 和 [UpdateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) API 中的 `TagPropagation` 屬性設定為 `DISABLED`,如下列範例所示。根據預設,此欄位的值為 `DISABLED`。空白值也會預設為 `DISABLED`。
**注意**
當 `TagPropagation` 設定為 `DISABLED` 時,不會自動關閉現有應用程式的標籤傳播。必須重新啟動應用程式,才能讓現有應用程式選擇退出生效。
```
aws sagemaker update-domain \
--domain-id domain-id \
--region region \
--tag-propagation DISABLED
```
# 將自訂檔案系統新增至網域
當您建立網域時,Amazon SageMaker AI 會將預設 Amazon Elastic File System (Amazon EFS) 磁碟區新增至網域。SageMaker AI 會為您建立此磁碟區。您也可以選擇新增自訂 Amazon EFS 或已建立的自訂 Amazon FSx for Lustre 檔案系統。新增後,您的檔案系統可供屬於您網域的使用者使用。您的使用者可以在使用 Amazon SageMaker Studio 時存取檔案系統。他們可以將檔案系統連接至他們為下列受支援應用程式建立的空間:
+ JupyterLab
+ 程式碼編輯器
在執行空間並啟動應用程式之後,您的使用者可以存取檔案系統包含的任何資料、程式碼或其他成品。
您可以讓使用者以下列方式存取您的檔案系統:
+ 透過*共用空間* - 任何屬於您網域的使用者都可以建立共用空間。然後,任何屬於您網域的使用者都可以使用它。
+ 透過*私有空間* - 任何屬於您網域的使用者都可以建立私有空間。然後,只有該使用者才能使用它。
+ 僅以個別使用者身分 - 如果您不想要讓所有使用者可以存取檔案系統,您只能讓特定使用者存取該檔案系統。如果您這樣做,只能在特定使用者建立的私有空間中使用檔案系統。
您可以使用 Amazon SageMaker API、 AWS SDKs 或 新增自訂檔案系統 AWS CLI。您無法使用 SageMaker AI 主控台新增自訂檔案系統。
## 先決條件
您必須先符合下列要求,才能將自訂檔案系統新增至網域:
+ 您在 SageMaker AI 中有一個網域。在新增檔案系統之前,您需要網域 ID。您可以使用 SageMaker AI 主控台查閱 ID。您也可以使用 AWS CLI執行 [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/list-domains.html) 命令。
+ 您的 AWS 帳戶中有 Amazon EFS 或 FSx for Lustre 檔案系統。
------
#### [ For Amazon EFS ]
+ 如需建立 Amazon EFS 的步驟,請參閱《Amazon Elastic File System 使用者指南》**中的[建立 Amazon EFS 檔案系統](https://docs.aws.amazon.com/efs/latest/ug/gs-step-two-create-efs-resources.html)。
+ 在 Studio 可以存取您的檔案系統之前,它必須在與網域相關聯的每個子網路中具有掛載目標。如需將掛載目標指派給子網路的詳細資訊,請參閱《Amazon Elastic File System 使用者指南》**中的[建立和管理掛載目標和安全群組](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)。
+ 對於每個掛載目標,您必須在建立網域 AWS 帳戶 時新增 Amazon SageMaker AI 在 中建立的安全群組。安全群組名稱具有格式 `security-group-for-inbound-nfs-domain-id`。如需如何取得網域 ID 的指示,請參閱[檢視網域](domain-view.md)。
+ 您的 IAM 許可必須允許您使用 `elasticfilesystem:DescribeMountTargets` 動作。如需此動作的詳細資訊,請參閱《服務授權參考》**中的 [Amazon Elastic File System 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)。
------
#### [ For FSx for Lustre ]
+ 如需建立 FSx for Lustre 檔案系統的步驟,請參閱《Amazon FSx for Lustre 使用者指南》**中的[開始使用 Amazon FSx for Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/getting-started.html.html)。確定 FSx for Lustre 檔案系統存在於:
+ 與您網域相同的 Amazon VPC。
+ 您網域中存在的其中一個子網路。
+ 在 Studio 可以存取 FSx for Lustre 檔案系統之前,您必須將網域的安全群組新增至 FSx for Lustre 檔案系統中的所有彈性網路介面 (ENI)。若沒有此步驟,應用程式建立會失敗並顯示錯誤。使用下列指示,將網域安全群組新增至 FSx for Lustre 檔案系統 ENI。
**將您的網域安全群組新增至 FSx for Lustre 檔案系統 ENI (主控台)**
1. 導覽至 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)。
1. 選擇**檔案系統**。
1. 使用**檔案系統 ID** 下的對應連結,選擇您的 FSx for Lustre 檔案系統。
1. 如果尚未選取,請選擇**網路與安全**索引標籤。
1. 在**子網路**下選擇**若要查看所有 ENI,請參閱 Amazon EC2 主控台**。這將帶您前往 Amazon EC2 主控台,並顯示連結至 FSx for Lustre 檔案系統的所有 ENI。
1. 針對每個 ENI:
1. 在**網路介面 ID** 下選擇對應的連結,以選擇 ENI。
1. 選擇摘要頁面右上角的**動作**,以展開下拉式功能表。
1. 在下拉式功能表中,選擇**選擇安全群組**。
1. 搜尋您的網域安全群組。
安全群組名稱具有格式 `security-group-for-inbound-nfs-domain-id`。如需如何取得網域 ID 的指示,請參閱[檢視網域](domain-view.md)。
1. 選擇**新增安全群組**。
------
## 使用 將自訂檔案系統新增至網域 AWS CLI
若要使用 將自訂檔案系統新增至網域或使用者設定檔 AWS CLI,當您使用下列任何命令時,會傳遞`CustomFileSystemConfigs`定義:
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-domain.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-user-profile.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-user-profile.html)
下列範例顯示如何將檔案系統新增至現有的網域或使用者設定檔。
**新增可在共用空間存取的檔案系統**
+ 更新網域的預設空間設定。下列範例會將檔案系統設定新增至預設空間設定:
```
aws sagemaker update-domain --domain-id domain-id \
--default-space-settings file://file-system-settings.json
```
此範例會以 JSON 檔案的形式傳遞檔案系統組態,如後續範例所示。
**新增可在私有空間存取的檔案系統**
+ 更新網域的預設使用者設定。下列範例會將檔案系統設定新增至預設使用者設定:
```
aws sagemaker update-domain --domain-id domain-id \
--default-user-settings file://file-system-settings.json
```
此範例會以 JSON 檔案的形式傳遞檔案系統組態,如後續範例所示。
**新增僅個別使用者可以存取的檔案系統**
+ 更新使用者的使用者設定檔。下列範例會將檔案系統設定新增至使用者設定檔:
```
aws sagemaker update-user-profile --domain-id domain-id \
--user-profile-name user-profile-name \
--user-settings file://file-system-settings.json
```
此範例會以 JSON 檔案的形式傳遞檔案系統組態,如下列範例所示。
**Example 檔案系統設定檔案**
上述範例中的檔案 `file-system-settings.json` 具有下列設定:
```
{
"CustomFileSystemConfigs":
[
{
"FSxLustreFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
此範例組態具有下列金鑰:
`CustomFileSystemConfigs`
自訂檔案系統的設定 (僅支援 Amazon EFS 檔案系統)。
`FSxLustreFileSystemConfig`
自訂 FSx for Lustre 檔案系統的設定。
`FileSystemId`
Amazon EFS 檔案系統的 ID。
`FileSystemPath`
Studio 中網域使用者在其空間中可存取的檔案系統目錄路徑。允許的使用者只能存取此目錄和以下目錄。預設路徑是檔案系統根目錄:`/`。
```
{
"CustomFileSystemConfigs":
[
{
"EFSFileSystemConfig":
{
"FileSystemId": "file-system-id",
"FileSystemPath": "/"
}
}
]
}
```
此範例組態具有下列金鑰:
`CustomFileSystemConfigs`
自訂檔案系統的設定 (僅支援 Amazon EFS 檔案系統)。
`EFSFileSystemConfig`
自訂 Amazon EFS 檔案系統的設定。
`FileSystemId`
Amazon EFS 檔案系統的 ID。
`FileSystemPath`
Studio 中網域使用者在其空間中可存取的檔案系統目錄路徑。允許的使用者只能存取此目錄和以下目錄。預設路徑是檔案系統根目錄:`/`。
當您將檔案系統指派給網域的預設空間設定時,您亦須在設定中包含執行角色:
```
{
"ExecutionRole": "execution-role-arn"
}
```
此範例組態具有下列金鑰:
`ExecutionRole`
網域使用者的預設執行角色。
如果您想要針對檔案系統套用 POSIX 許可,您也可以將下列設定傳遞至 `create-domain` 或 `create-user-profile` 命令:
```
{
"CustomPosixUserConfig":
{
"Uid": UID,
"Gid": GID
}
}
```
此範例組態具有下列金鑰:
`CustomPosixUserConfig`
用於檔案系統操作的預設 POSIX 身分。您可以使用這些設定,將現有的 POSIX 許可結構套用至存取自訂檔案系統的使用者設定檔。在 POSIX 許可層級,您可以控制哪些使用者可以存取檔案系統,以及他們可以存取哪些檔案或資料。
您也可以使用 `create-user-profile` 命令,在建立使用者設定檔時套用 `CustomPosixUserConfig` 設定。您套用至使用者設定檔的設定會覆寫您套用至相關聯網域的設定。
您可以在使用 `create-domain` 和 `create-user-profile` 命令時套用 `CustomPosixUserConfig` 設定。不過,當您執行下列動作時,無法套用這些設定:
+ 針對已與任何使用者設定檔相關聯的網域使用 `update-domain` 命令。您只能將這些設定套用至沒有使用者設定檔的網域。
+ 使用 `update-user-profile` 命令。若要將這些設定套用到您已建立的設定檔,請刪除設定檔,然後建立一個具有已更新設定的新設定檔。
`Uid`
POSIX 使用者 ID。預設值為 200001。
`Gid`
POSIX 群組 ID。預設值為 1001。
## 使用 將自訂檔案系統連接至空間 AWS CLI
在將自訂檔案系統新增至網域之後,網域使用者可以將檔案系統連接至他們建立的空間。例如,當使用 Studio 或 [create-space](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-space.html) 命令搭配 AWS CLI時,他們可以連接檔案系統。
**將自訂檔案系統連接至空間**
+ 將檔案系統組態新增至空間設定。下列範例命令會將檔案系統連接至新的空間。
```
aws sagemaker create-space \
--space-name space-name \
--domain-id domain-id \
--ownership-settings "OwnerUserProfileName=user-profile-name" \
--space-sharing-settings "SharingType=Private" \
--space-settings file://space-settings.json
```
在此範例中,檔案 `space-settings.json` 具有下列設定,其中包含具有 `FileSystemId` 金鑰的 `CustomFileSystems` 組態。
------
#### [ For your FSx for Lustre file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"FSxLustreFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
#### [ For your Amazon EFS file systems ]
```
{
"AppType": "JupyterLab",
"JupyterLabAppSettings":
{
"DefaultResourceSpec":
{
"InstanceType": "instance-type"
}
},
"CustomFileSystems":
[
{
"EFSFileSystem":
{
"FileSystemId": "file-system-id"
}
}
]
}
```
------
SageMaker AI 會在下列路徑建立符號連結:`/home/sagemaker-user/custom-file-systems/file-system-type/file-system-id`。如此一來,網域使用者可以從主目錄 `/home/sagemaker-user` 內導覽至自訂檔案系統。
# 檢視網域環境詳細資訊
此頁面提供有關修改 Amazon SageMaker AI 網域環境的資訊。完成下列程序以檢視連接至網域環境的自訂映像、生命週期組態和 git 儲存庫。
**開啟環境頁面**
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取網域以開啟**環境**頁面。
1. 在**網域詳細資訊**頁面上,選擇**環境**索引標籤。
如需攜帶自訂 Amazon SageMaker Studio Classic 映像的詳細資訊,請參閱[攜帶您自己的 SageMaker 映像](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html)。
如需有關帶入自訂 RStudio 映像的詳細資訊,請參閱[使用您自己的映像至 RStudio on SageMaker](https://docs.aws.amazon.com/sagemaker/latest/dg/rstudio-byoi.html)。
如需搭配 Studio Classic 使用生命週期組態的指示,請參閱[搭配 Amazon SageMaker Studio 使用生命週期組態](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lcc.html)。
如需將 git 儲存庫連接至網域的相關資訊,請參閱[將建議的 Git 儲存庫連接至 SageMaker AI](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-git-attach.html)。
使用 `space-settings` 參數將值 AWS CLI 傳遞至 [create-space](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/create-space.html) 命令,也可以使用 將這些值連接到共用空間。
# 檢視網域
下節說明如何檢視您的網域清單,以及來自 SageMaker AI 主控台或 AWS CLI的個別網域詳細資訊。
## 主控台
主控台的網域概觀頁面會提供網域結構的相關資訊,並提供您的網域清單。頁面的網域結構圖描述網域元件,以及它們彼此之間的互動方式。
下列程序顯示如何從 SageMaker AI 主控台檢視網域清單。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
若要檢視網域的詳細資訊,請完成下列程序。此頁面提供網域一般設定的相關資訊,包括名稱、網域 ID、用於建立網域的執行角色,以及網域的驗證方法。
1. 從網域清單中,選取您要為其開啟**網域設定**頁面的網域。
1. 在**網域詳細資訊**頁面上,選擇**網域設定**索引標籤。
## AWS CLI
從本機電腦的終端執行下列命令,以檢視來自 AWS CLI的網域清單。
```
aws sagemaker list-domains --region region
```
# 編輯網域設定
您可以從 SageMaker AI 主控台或 AWS CLI編輯網域設定。更新網域設定時要注意下列事項。
+ 如果 `DefaultUserSettings` 和 `DefaultSpaceSettings` 已經設定,則無法取消設定。
+ 只有在網域內的任何使用者設定檔中沒有應用程式執行時才能更新 `DefaultUserSettings.ExecutionRole`。此值無法取消設定。
+ 只有在網域內的任何共用空間中沒有應用程式執行時才能更新 `DefaultSpaceSettings.ExecutionRole`。此值無法取消設定。
+ 如果網域是在**僅限 VPC** 模式下建立的,SageMaker AI 會自動將為網域定義的安全群組設定的更新套用至網域中建立的所有共用空間。
+ 無法編輯 `DomainId` 和 `DomainName`。
下節說明如何從 SageMaker AI 主控台或 AWS CLI編輯網域設定。
## 主控台
您可以使用下列程序從 SageMaker AI 主控台編輯網域。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要為其開啟**網域設定**頁面的網域。
1. 在**網域詳細資訊**頁面上,您可以選擇適當的索引標籤來設定和管理網域詳細資訊。
1. 若要設定一般設定,請在**網域詳細資訊**頁面上選擇**網域設定**索引標籤,然後選擇**編輯**。
## AWS CLI
從本機電腦的終端執行下列命令,以更新來自 AWS CLI的網域。如需 `default-user-settings` 架構的詳細資訊,請參閱[建立網域](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateDomain.html#API_CreateDomain_RequestSyntax)。
```
aws sagemaker update-domain \
--domain-id domain-id \
--default-user-settings default-user-settings \
--default-space-settings default-space-settings \
--domain-settings-for-update settings-for-update \
--region region
```
# 刪除 Amazon SageMaker AI 網域
此頁面說明如何刪除網域和所需的要求。網域包含授權使用者清單、組態和 Amazon Elastic File System (Amazon EFS) 磁碟區。Amazon EFS 磁碟區包含使用者的資料,包括筆記本、資源和成品。使用者可以擁有多個應用程式 (app),這些應用程式支援使用者的筆記本、終端機和主控台的讀取和執行體驗。您可以使用下列其中一個來刪除您的網域:
+ AWS 主控台
+ AWS Command Line Interface (AWS CLI)
+ SageMaker SDK
## 要求
您必須滿足下列要求才能刪除網域。
+ 您必須具有管理員許可才能刪除網域。
+ 您只能刪除網域中狀態 `InService` 顯示為**備妥**的應用程式。若要刪除包含網域,您不需要刪除狀態為 `Failed` 的應用程式。在網域中,嘗試刪除處於失敗狀態的應用程式會產生錯誤。
+ 若要刪除網域,網域不能包含任何使用者設定檔或共用空間。若要刪除使用者設定檔或共用空間,使用者設定檔或共用空間不能包含任何非失敗的應用程式。
當您刪除這些資源時會發生下列情況:
+ 應用程式 - 儲存使用者主目錄中的資料 (檔案和筆記本)。未儲存的筆記本資料會遺失。
+ 使用者設定檔 — 使用者再也無法登入網域。使用者無法存取其主目錄,但不會刪除資料。管理員可以從 Amazon EFS 磁碟區擷取使用者 AWS 帳戶下儲存的資料。
+ 若要將驗證模式從 IAM 切換到 IAM Identity Center,您必須刪除網域。
## EFS 檔案
您的檔案會作為備份保存在 Amazon EFS 磁碟區中。此備份包括掛載目錄中的檔案,其中 `/home/sagemaker-user` 適用於 Amazon SageMaker Studio 和 `/root` 適用於您的核心。
當您從這些掛載的目錄中刪除文件時,內核或應用程式可能會將已刪除的文件移動到隱藏的垃圾文件夾中。如果垃圾桶資料夾位於掛接的目錄內,則這些檔案會複製到 Amazon EFS 磁碟區,並產生費用。若要避免這些 Amazon EFS 費用,您必須識別並清理垃圾桶資料夾位置。預設應用程式和核心的垃圾箱文件夾位置是`~/.local/`。這可能會根據用於自訂應用程式或內核的 Linux 發行版而有所不同。如需 Amazon EFS 磁碟區的詳細資訊,請參閱[在 Amazon SageMaker Studio Classic 中管理您的 Amazon EFS 儲存磁碟區](studio-tasks-manage-storage.md)。
當您使用 SageMaker AI 主控台刪除網域時,Amazon EFS 磁碟區會分離但不會刪除。依預設,當您使用 AWS CLI 或 SageMaker Python SDK 刪除網域時,會發生相同的行為。不過,當您使用 AWS CLI 或 SageMaker Python SDK 時,您可以將 `RetentionPolicy` 設定為 `HomeEfsFileSystem=Delete`。這會刪除 Amazon EFS 磁碟區與網域。
## 刪除 Amazon SageMaker AI 網域 (主控台)
**重要**
刪除使用者、空間或網域時,包含對應資料的 Amazon EFS 磁碟區將會遺失。這包括筆記本和其他成品。
**刪除網域**
1. 開啟 [SageMaker AI 主控台](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格上,選擇**管理員組態**以展開選項,如果尚未展開的話。
1. 在**管理員組態**下,選擇**網域**。
1. 選取您要刪除的網域名稱連結。
1. 選擇**使用者設定檔**索引標籤。
1. 針對**使用者設定檔**清單中的每個使用者,重複執行下列步驟。
1. 選擇使用者名稱連結。
1. 如果尚未選取,請選擇**使用者詳細資訊**索引標籤。
1. 尋找任何應用程式和空間,然後在對應的**動作**欄下選擇**刪除**。
1. 遵循刪除指示。
1. 一旦所有應用程式和空間的**狀態**都為**已刪除**,請選擇頁面右上角的**刪除**。
1. 遵循刪除指示。
1. 刪除所有使用者後,選擇**空間管理**標籤。
1. 針對**空間**清單中的每個空間重複下列步驟。
1. 選取與空間對應的泡泡。
1. 選擇 **刪除**。
1. 遵循刪除指示。
1. 刪除所有使用者和空間後,請選擇**網域設定**索引標籤。
1. 尋找**刪除網域**區段。
1. 選擇**刪除網域**。如果此按鈕不可用,您必須重複上述步驟來刪除所有空間和使用者。
1. 遵循刪除指示。
## 刪除 Amazon SageMaker AI 網域 (AWS CLI)
**刪除網域**
1. 擷取您帳戶中的網域清單。
```
aws --region Region sagemaker list-domains
```
1. 擷取要刪除之網域的應用程式清單。
```
aws --region Region sagemaker list-apps \
--domain-id-equals DomainId
```
1. 刪除清單中的每個應用程式。
```
aws --region Region sagemaker delete-app \
--domain-id DomainId \
--app-name AppName \
--app-type AppType \
--user-profile-name UserProfileName
```
1. 擷取網域中的使用者描述檔清單。
```
aws --region Region sagemaker list-user-profiles \
--domain-id-equals DomainId
```
1. 刪除清單中的每個使用者描述檔。
```
aws --region Region sagemaker delete-user-profile \
--domain-id DomainId \
--user-profile-name UserProfileName
```
1. 擷取網域中共用空間的清單。
```
aws --region Region sagemaker list-spaces \
--domain-id DomainId
```
1. 刪除清單中的每個共用空間。
```
aws --region Region sagemaker delete-space \
--domain-id DomainId \
--space-name SpaceName
```
1. 刪除網域。若要同時刪除 Amazon EFS 磁碟區,請指定 `HomeEfsFileSystem=Delete`。
```
aws --region Region sagemaker delete-domain \
--domain-id DomainId \
--retention-policy HomeEfsFileSystem=Retain
```
# 網域使用者設定檔
使用者設定檔代表 Amazon SageMaker AI 網域內的單一使用者。使用者設定檔的主要方式是參照一個使用者,用於共享、報告和其他使用者導向功能。此實體是在使用者加入 Amazon SageMaker AI 網域時建立的。使用者設定檔可以在共用空間內容之外擁有 (最多) 單一 JupyterServer 應用程式。使用者設定檔的 Studio Classic 應用程式與使用者設定檔直接相關聯,並具有隔離的 Amazon EFS 目錄、與使用者設定檔相關聯的執行角色,以及核心閘道應用程式。使用者設定檔也可以從主控台或 Amazon SageMaker Studio 建立其他應用程式。
**Topics**
+ [新增使用者設定檔](domain-user-profile-add.md)
+ [移除使用者設定檔](domain-user-profile-remove.md)
+ [檢視網域中的使用者設定檔](domain-user-profile-view.md)
+ [檢視用戶描述檔詳細](domain-user-profile-describe.md)
# 新增使用者設定檔
下節說明如何使用 SageMaker AI 主控台或 AWS CLI,將使用者設定檔新增至網域。
將使用者設定檔新增至網域後,使用者可以使用 URL 登入。如果網域使用 AWS IAM Identity Center 進行身分驗證,使用者會收到一封電子郵件,其中包含登入網域的 URL。如果網域使用 AWS Identity and Access Management,您可以使用 [CreatePresignedDomainUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) 為使用者設定檔建立 URL
## 從主控台新增使用者設定檔
您可以遵循此程序,從 SageMaker AI 主控台將使用者設定檔新增至網域。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要將使用者設定檔新增至其中的網域。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
1. 選擇**新增使用者**。這會開啟新頁面。
1. 使用您的使用者設定檔的預設名稱或新增自訂名稱。
1. 對於**執行角色**,請從角色選擇器中選擇選項。如果您選擇**輸入自訂 IAM 角色 ARN**,則該角色至少必須具有授與 SageMaker AI 擔任角色許可的信任政策。如需詳細資訊,請參閱 [SageMaker AI 角色](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html)。
如果您選擇**建立新角色**,**建立 IAM 角色**對話方塊隨即開啟:
1. 在**您指定的 S3 儲存貯體** 中,指定筆記本的使用者可以存取的其他 Amazon S3 儲存貯體。如果您不想將存取許可新增至更多儲存貯體,請選擇**無**。
1. 選擇建**立角色**。SageMaker AI 會建立新 IAM 角色,即 `AmazonSageMaker-ExecutionPolicy`,並連接 [AmazonSageMakerFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess) 政策。
1. (選用) 將標籤新增至使用者設定檔。使用者設定檔建立的所有資源都會有網域 ARN 標籤和使用者設定檔 ARN 標籤。網域 ARN 標籤是以網域識別碼為基礎,而使用者設定檔 ARN 標籤則以使用者設定檔名稱為基礎。
1. 選擇**下一步**。
1. 在 **SageMaker Studio** 區段中,您可以選擇較新還是 Classic 版本的 Studio 作為預設體驗。
+ 如果您選擇 **SageMaker Studio** (建議) 作為預設體驗,則 Studio Classic IDE 具有預設設定。如需預設設定的相關資訊,請參閱[預設設定](onboard-quick-start.md#onboard-quick-start-defaults)。
如需 Studio 的相關資訊,請參閱 [Amazon SageMaker Studio](studio-updated.md)。
+ 如果選擇 **Studio Classic** 作為預設體驗,您可以選擇啟用或停用筆記本資源共用。筆記本資源包含成品,例如儲存格輸出和 Git 儲存庫。如需筆記本資源的詳細資訊,請參閱[共用和使用 Amazon SageMaker Studio Classic 筆記本](notebooks-sharing.md)。
1. 在 **SageMaker Canvas** 下,您可以設定 SageMaker Canvas 設定。如需加入的指示和組態詳細資訊,請參閱 [Amazon Sagemaker Canvas 使用入門](canvas-getting-started.md)。
1. 對於**Canvas 基礎許可組態**,請選取是否要建立使用 SageMaker Canvas 應用程式所需的最低許可。
1. 在 **RStudio** 下,如果是 RStudio 授權,請選取是否要使用下列其中一個授權建立使用者:
+ 未經授權
+ RStudio 管理員
+ RStudio 使用者
1. 選擇**下一步**。
1. 在**自訂 Studio UI** 頁面中,您可以自訂 Studio 中顯示的可檢視應用程式和機器學習 (ML) 工具。此自訂只會隱藏 Studio 左側導覽窗格中的應用程式和 ML 工具。如需 Studio UI 的相關資訊,請參閱[Amazon SageMaker Studio UI 概觀](studio-updated-ui.md)。
如需應用程式的相關資訊,請參閱[Amazon SageMaker Studio 中支援的應用程式](studio-updated-apps.md)。
Studio Classic 不提供自訂 Studio UI 功能。如果您想要將 Studio 設定為預設體驗,請選擇**上一個**並返回上一個步驟。
1. 選擇**下一步**。
1. 在檢閱了您的變更之後,請選擇**建立使用者設定檔**。
## 從 建立使用者設定檔 AWS CLI
若要從 在網域中建立使用者設定檔 AWS CLI,請從本機電腦的終端機執行下列命令。如需有關 JupyterLab 可用版本 ARN 的詳細資訊,請參閱[設定預設 JupyterLab 版本](studio-jl.md#studio-jl-set)。
```
aws --region region \
sagemaker create-user-profile \
--domain-id domain-id \
--user-profile-name user-name \
--user-settings '{
"JupyterServerAppSettings": {
"DefaultResourceSpec": {
"SageMakerImageArn": "sagemaker-image-arn",
"InstanceType": "system"
}
}
}'
```
您可以使用 AWS CLI ,使用 [StudioWebPortalSettings](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StudioWebPortalSettings.html) 為使用者自訂 Studio 中顯示的應用程式和 ML 工具。使用 `HiddenAppTypes` 隱藏應用程式和使用 `HiddenMlTools` 隱藏 ML 工具。如需自訂 Studio UI 左側導覽的詳細資訊,請參閱[在 Amazon SageMaker Studio UI 中隱藏機器學習工具和應用程式](studio-updated-ui-customize-tools-apps.md)。此功能不適用於 Studio Classic。
# 移除使用者設定檔
必須刪除使用者設定檔啟動的所有應用程式和使用者設定檔擁有的所有空間,才能刪除使用者設定檔。下節說明如何使用 SageMaker AI 主控台或 AWS CLI,將使用者設定檔從網域移除。
## 從主控台移除使用者設定檔
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要從中移除使用者設定檔的網域。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
1. 選取您要刪除的使用者設定檔。
1. 在 **使用者詳細資訊**頁面上,對於**應用程式**清單中的每個非失敗應用程式,選擇 **動作**。
1. 從下拉式選單中選擇**刪除**。
1. 在 **刪除應用程式** 對話方塊中,選擇**是,刪除應用程式**。然後在確認欄位中,輸入*刪除*,並且選擇**刪除**。
1. 當所有應用程式的**狀態**顯示為**已刪除**時,請導覽回**網域詳細資訊**頁面,然後選擇**空間管理**索引標籤。
1. 刪除使用者設定檔擁有的任何空間。對於使用者設定檔為擁有者的每個空間,選取空間,然後選擇**刪除**。如需詳細步驟,請參閱[刪除 Studio 空間](studio-updated-running-stop.md#studio-updated-running-stop-space)。
1. 返回**使用者設定檔**索引標籤,然後選擇**編輯**。
1. 在**編輯使用者**頁面,選擇**刪除使用者**。
1. 在**刪除使用者**彈出視窗中,選擇 **是,刪除使用者**。
1. 輸入 *刪除*到欄位中,以確認刪除。
1. 選擇 **刪除**。
## 從 移除使用者設定檔 AWS CLI
若要從 刪除使用者設定檔 AWS CLI,請先刪除使用者設定檔擁有的任何空格,然後刪除使用者設定檔。從本機電腦的終端執行下列命令。
```
# Delete spaces owned by the user profile
aws sagemaker delete-space \
--region region \
--domain-id domain-id \
--space-name space-name
# Delete the user profile
aws sagemaker delete-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# 檢視網域中的使用者設定檔
下節說明如何從 SageMaker AI 主控台或 AWS CLI檢視網域中使用者設定檔的清單。
## 從主控台檢視使用者設定檔
完成下列程序,從 SageMaker AI 主控台檢視網域中使用者設定檔的清單。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要檢視其使用者設定檔清單的網域。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
## 從 檢視使用者設定檔 AWS CLI
若要從 檢視網域中的使用者設定檔 AWS CLI,請從本機電腦的終端機執行下列命令。
```
aws sagemaker list-user-profiles \
--region region \
--domain-id domain-id
```
# 檢視用戶描述檔詳細
下節說明如何從 SageMaker AI 主控台或 AWS CLI檢視網域中使用者設定檔的詳細資料。
## 從主控台檢視使用者設定檔詳細資訊
完成下列程序,從 SageMaker AI 主控台檢視使用者設定檔的詳細資訊。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要檢視其使用者設定檔清單的網域。
1. 在**網域詳細資訊**頁面上,選擇**使用者設定檔**索引標籤。
1. 選取您要檢視詳細資訊的使用者設定檔。
## 從 檢視使用者設定檔詳細資訊 AWS CLI
若要從 描述使用者設定檔 AWS CLI,請從本機機器的終端機執行下列命令。
```
aws sagemaker describe-user-profile \
--region region \
--domain-id domain-id \
--user-profile-name user-name
```
# 網域中的 IAM Identity Center 群組
AWS IAM Identity Center 是管理人力使用者存取 AWS 資源的建議 AWS 服務。這是單一位置,在這裡您可以將使用者一致存取權指派給多個 AWS 帳戶 和應用程式。如需有關 IAM Identity Center 身分驗證的詳細資訊,請參閱 [什麼是 IAM Identity Center?](https://docs.aws.amazon.com//singlesignon/latest/userguide/what-is.html)。
如果您使用 Amazon SageMaker AI 網域的 AWS IAM Identity Center 身分驗證,您可以使用下列主題來了解如何檢視、新增和移除網域的 IAM Identity Center 群組和使用者。
**Topics**
+ [檢視群組和使用者](domain-groups-view.md)
+ [新增群組和使用者](domain-groups-add.md)
+ [移除群組](domain-groups-remove.md)
# 檢視群組和使用者
完成下列程序,即可從 Amazon SageMaker AI 主控台檢視 IAM Identity Center 群組和使用者的清單。
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左側導覽窗格中,選擇**管理員組態**。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要為其開啟**網域設定**頁面的網域。
1. 在**網域詳細資訊**頁面上,選擇**群組**索引標籤。
# 新增群組和使用者
下列各節說明如何從 SageMaker AI 主控台或 AWS CLI將群組和使用者新增至網域。
**注意**
如果網域是在 2023 年 10 月 1 日之前建立的,您只能從 SageMaker AI 主控台將群組和使用者新增至網域。
## SageMaker AI 主控台
完成下列程序,從 SageMaker AI 主控台將群組和使用者新增至網域。
1. 在**群組**標籤上,選擇**指派使用者和群組**。
1. 在**指派使用者和群組**]頁面上,選取您要新增的使用者和群組。
1. 選擇**指派使用者和群組**。
## AWS CLI
完成下列程序,從AWS CLI將群組和使用者新增至網域。
1. 透過呼叫 [describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) 來擷取網域的 `SingleSignOnApplicationArn`。`SingleSignOnApplicationArn` 是 IAM Identity Center 中受管應用程式的 ARN。
```
aws sagemaker describe-domain \
--region region \
--domain-id domain-id
```
1. 將使用者或群組與網域建立關聯。若要完成此操作,請將 [describe-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/swf/describe-domain.html) 命令傳回 `SingleSignOnApplicationArn` 的值做為呼叫中的 `application-arn` 參數傳遞至 [create-application-assignment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/create-application-assignment.html)。您還必須傳遞要關聯的實體類型和 ID。
```
aws sso-admin create-application-assignment \
--application-arn application-arn \
--principal-id principal-id \
--principal-type principal-type
```
# 移除群組
完成下列程序,從 SageMaker AI 主控台將群組從您的網域移除。如需瞭解刪除使用者的相關資訊,請參閱[移除使用者設定檔](domain-user-profile-remove.md)。
1. 在**群組**標籤上,選擇您要移除的群組。
1. 選擇**取消指派群組**。
1. 在彈出視窗中,選擇**是,取消指派群組**。
1. 在欄位中輸入*取消指派*。
1. 選擇**取消指派群組**。
# 了解網域空間許可和執行角色
對於許多 SageMaker AI 應用程式,當您在網域內啟動 SageMaker AI 應用程式時,會為應用程式建立一個空間。當使用者設定檔建立空間時,該空間會擔任 AWS Identity and Access Management (IAM) 角色,定義授與該空間的許可。下列頁面提供空間類型和定義空間許可之執行角色的相關資訊。
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。
**注意**
當您啟動 Amazon SageMaker Canvas 或 RStudio 時,它不會建立一個擔任 IAM 角色的空間。反之,您可以變更與使用者設定檔相關聯的角色,以管理其對應用程式的許可。如需取得 SageMaker AI 使用者設定檔角色的相關資訊,請參閱 [取得使用者執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
對於 SageMaker Canvas,請參閱 [Amazon SageMaker Canvas 設定和許可管理 (適用於 IT 管理員)](canvas-setting-up.md)。
對於 RStudio,請參閱 [使用 RStudio 應用程式建立 Amazon SageMaker AI 網域](rstudio-create-cli.md#rstudio-create-cli-domain)。
使用者可以在共用或私有空間內存取其 SageMaker AI 應用程式。
**共用空間**
+ 只能有一個與應用程式相關聯的空間。共用空間可由網域內的所有使用者設定檔存取。這會授權網域中的所有使用者設定檔可以存取應用程式的相同基礎檔案儲存系統。
+ 共用空間將獲授與**空間預設執行角色**定義的許可。如果想要修改共用空間的執行角色,您必須修改空間預設執行角色。
如需取得空間預設執行角色的相關資訊,請參閱[取得空間執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)。
如需修改執行角色的相關資訊,請參閱[修改執行角色的許可](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
+ 如需共用空間的相關資訊,請參閱[與共用空間協作](domain-space.md)。
+ 若要建立共用空間,請參閱[建立共用空間](domain-space-create.md#domain-space-create-app)。
**私有空間**
+ 只能有一個與應用程式相關聯的空間。私有空間只能由建立該私有空間的使用者設定檔存取。此空間無法與其他使用者共用。
+ 私有空間將擔任建立該私有空間的使用者設定檔的**使用者設定檔執行角色**。如果想要修改私有空間的執行角色,則必須修改使用者設定檔的執行角色。
如需取得使用者設定檔執行角色的相關資訊,請參閱[取得使用者執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
如需修改執行角色的相關資訊,請參閱[修改執行角色的許可](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
+ 支援空間的所有應用程式也支援私有空間。
+ 根據預設,已為每個使用者設定檔建立 Studio Classic 的私有空間。
**Topics**
+ [SageMaker AI 執行角色。](#sagemaker-execution-roles)
+ [具有執行角色的彈性許可範例](#sagemaker-execution-roles-example)
## SageMaker AI 執行角色。
SageMaker AI 執行角色是指派給在 SageMaker AI 中進行執行之 IAM 身分的 [AWS Identity and Access Management (IAM) 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。[IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)可讓您存取 AWS 帳戶,並代表可進行身分驗證,然後獲授權在其中執行動作的人類使用者或程式設計工作負載 AWS,以授予 SageMaker AI 代表您存取其他 AWS 資源的許可。此角色可讓 SageMaker AI 執行動作,例如啟動運算執行個體、存取 Amazon S3 中存放的資料和模型成品,或將日誌寫入 CloudWatch。SageMaker AI 會在執行時期擔任執行角色,並暫時獲授與角色政策中定義的許可。角色應包含必要的許可,其會定義身分可以執行的動作,以及身分可以存取的資源。您可以將角色指派給各種身分,以提供彈性且精細的方法,來管理網域內的許可和存取。如需網域的詳細資訊,請參閱[Amazon SageMaker AI 網域概觀](gs-studio-onboard.md)。例如,您可以將 IAM 角色指派給:
+ **網域執行角色**,授與網域內所有使用者設定檔的廣泛許可。
+ **空間執行角色**,授與網域內共用空間的廣泛許可。網域中的所有使用者設定檔都可以存取共用空間,並會在位於共用空間內時使用空間的執行角色。
+ **使用者設定檔執行角色**,授與特定使用者設定檔的精細許可。使用者設定檔建立的私有空間將擔任該使用者設定檔的執行角色。
這可讓您將必要許可授與網域,同時仍維持使用者設定檔的最低權限許可原則,以遵循《AWS IAM Identity Center 使用者指南》**中的 [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
執行角色的任何變更或修改可能需要幾分鐘的時間才能傳播。如需詳細資訊,請分別參閱 [變更您的執行角色](sagemaker-roles.md#sagemaker-roles-change-execution-role) 或 [修改執行角色的許可](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
## 具有執行角色的彈性許可範例
透過 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),您可以管理和授與廣泛且精細層級的許可。下列範例包含授與空間層級和使用者層級的許可。
假設您是為資料科學家團隊設定網域的管理員。您可以允許網域內的使用者設定檔完整存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體、執行 SageMaker 訓練任務,以及使用*共用空間*中的應用程式部署模型。在此範例中,您可以搭配廣泛許可,建立稱為 "DataScienceTeamRole" 的 IAM 角色。然後,您可以將 "DataScienceTeamRole" 指派為*空間預設執行角色*,為您的團隊授與廣泛的許可。當使用者設定檔建立*共用空間*時,該空間將擔任*空間預設執行角色*。如需將執行角色指派給現有網域的相關資訊,請參閱[取得空間執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)。
您可以限制使用者設定檔的許可,且不允許他們變更 Amazon S3 儲存貯體,而不是允許在其自己*私有空間*中工作的任何個別使用者設定檔能夠完整存取 Amazon S3 儲存貯體。在此範例中,您可以授予他們 Amazon S3 儲存貯體的讀取存取權,以擷取資料、執行 SageMaker 訓練任務,以及在其*私有空間*中部署模型。您可以搭配相對更多限制的許可,建立稱為 "DataScientistRole" 的使用者層級執行角色。然後,您可以將 "DataScientistRole" 指派給*使用者設定檔執行角色*,授與在定義範圍內執行其特定資料科學任務的必要許可。當使用者設定檔建立*私有空間*時,該空間將擔任*使用者執行角色*。如需將執行角色指派給現有使用者設定檔的相關資訊,請參閱[取得使用者執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
如需 SageMaker AI 執行角色和新增其他許可至其中的相關資訊,請參閱[如何使用 SageMaker AI 執行角色](sagemaker-roles.md)。
# 檢視您網域中的 SageMaker AI 資源
## 使用 SageMaker AI 主控台檢視您的網域資源
您可以使用 Amazon SageMaker AI 主控台,檢視 Amazon SageMaker AI 網域中的 Amazon SageMaker AI 資源。使用以下指示,了解如何檢視網域 ARN 標記的資源。
遵循此程序顯示的 SageMaker 資源是具有與其相關聯的相關 `sagemaker:domain-arn` 標籤的資源。當資源未自動標記為網域 ARN 時,未標記的資源可能已在網域內容之外建立,或在 11/30/2022 之前建立。您可以遵循[回填網域標籤](domain-multiple-backfill.md)中的步驟,將標籤新增至這些未標記的資源,以進行更好的過濾。在其他網域中建立的資源會自動篩選掉。
**注意**
這不是網域上作用中資源的完整清單。如需所有作用中的 SageMaker 資源,請參閱[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)。
**使用主控台檢視您網域中的 SageMaker AI 資源**
1. 開啟 Amazon SageMaker AI 主控台,網址為 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 如果尚未展開,請展開左側導覽窗格。
1. 在**管理員組態**下,選擇**網域**。
1. 從網域清單中,選取您要開啟**網域設定**頁面的網域。
1. 在**網域詳細資訊**頁面上,選擇**資源**索引標籤。
1. 在**網域資源**頁面上,您可以檢視以相對網域 ARN 標記的資源詳細資訊。預設會顯示執行中的資源。
1. (選用) 您可以使用搜尋圖示或每個資源類型頂端的**篩選狀態**,篩選每個資源類型的顯示資源。
## 使用 AWS CLI 檢視您網域中的 SageMaker AI 空間
下節提供如何使用 AWS CLI檢視網域中空間的指示。
您將需要知道您的 *domain-id*。若要取得您的網域詳細資訊,請參閱[檢視網域](domain-view.md)。
```
aws sagemaker list-spaces \
--region region
--domain-id domain-id
```
## 使用 AWS CLI 檢視您網域中的 SageMaker AI 應用程式
下節提供如何使用 AWS CLI檢視網域中應用程式的指示。
您將需要知道您的 *domain-id*。若要取得您的網域詳細資訊,請參閱[檢視網域](domain-view.md)。
```
aws sagemaker list-apps \
--domain-id-equals domain-id
```
如果您沒有看到應用程式或網域,您可能需要變更您的 AWS 區域。若要這樣做,請使用 `aws configure` 更新您的 AWS 登入資料。如需詳細資訊,請參閱[設定](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configure/index.html)。
# 關閉網域中的 SageMaker AI 資源
您可以使用 Amazon SageMaker AI 主控台,關閉 Amazon SageMaker AI 網域中的 Amazon SageMaker AI 資源。使用以下指示,了解如何關閉網域 ARN 標記的資源。
遵循此程序顯示的 SageMaker 資源是具有與其相關聯的相關 `sagemaker:domain-arn` 標籤的資源。當資源未自動標記為網域 ARN 時,未標記的資源可能已在網域內容之外建立,或在 11/30/2022 之前建立。您可以遵循[回填網域標籤](domain-multiple-backfill.md)中的步驟,將標籤新增至這些未標記的資源,以進行更好的過濾。在其他網域中建立的資源會自動篩選掉。
**注意**
這不是網域上作用中資源的完整清單。如需所有作用中的 SageMaker 資源,請參閱[AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)。
**使用主控台關閉您網域中的 SageMaker AI 資源**
1. [檢視您網域中的 SageMaker AI 資源](sm-console-domain-resources-view.md)
1. 在資源類型區段下,勾選您要關閉的資源方塊。
1. 一旦選取了資源,關閉選項就會在資源類型區段頂端變成可用。選擇該選項,並遵循指示關閉選取的資源。
如需如何根據 SageMaker AI 功能刪除資源的指示,請參閱[根據 SageMaker AI 功能關閉資源的位置](sm-shut-down-resources-per-feature.md)。
# 根據 SageMaker AI 功能關閉資源的位置
您可以關閉 Amazon SageMaker AI 資源,以避免產生不必要的費用。在下表中,我們會列出 SageMaker AI 功能或資源,並提供有關如何關閉 SageMaker AI 資源的文件連結。
您也可以使用 SageMaker AI 提供的 [API、CLI 和開發套件](api-and-sdk-reference-overview.md)。例如,您可以搜尋 [Amazon SageMaker API 參考](https://docs.aws.amazon.com/sagemaker/latest/APIReference/Welcome.html)以取得 `Delete*` 命令,以刪除您已建立的部分資源。更具體地說,您可以搜尋 [DeleteDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) API 來了解如何刪除 Amazon SageMaker AI 網域。
**注意**
這不是網域上作用中資源的完整清單。如需所有作用中的 SageMaker AI 資源,請參閱 [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)。
| SageMaker AI 功能、基礎設施、資源 | 關閉的指示 |
| --- | --- |
| [畫布](canvas.md) | [登出 Amazon SageMaker Canvas](canvas-log-out.md) |
| [程式碼編輯器](code-editor.md) | [關閉程式碼編輯器資源](code-editor-use-log-out.md) |
| [網域](sm-domain.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Studio Classic 中的 EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html) | [從 Studio 或 Studio Classic 終止 Amazon EMR 叢集](terminate-emr-clusters.md) |
| [實驗](mlflow.md) | [清除 MLflow 資源](mlflow-cleanup.md) |
| [HyperPod](sagemaker-hyperpod.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [推論端點](realtime-endpoints-options.md) | [刪除端點和資源](realtime-endpoints-delete-resources.md) |
| [JupyterLab](studio-updated-jl.md) | [刪除未使用的資源](studio-updated-jl-admin-guide-clean-up.md) |
| [MLOps](mlops.md) | [使用 Amazon SageMaker Studio 或 Studio Classic 刪除 MLOps 專案](sagemaker-projects-delete.md) |
| [筆記本執行個體](nbi.md) | [清除 Amazon SageMaker 筆記本執行個體資源](ex1-cleanup.md) |
| [管道](pipelines.md) | [停止管道](pipelines-studio-stop.md) |
| [專案](sagemaker-projects.md) | [使用 Amazon SageMaker Studio 或 Studio Classic 刪除 MLOps 專案](sagemaker-projects-delete.md) |
| [RStudio on Amazon SageMaker AI](rstudio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [Studio](studio-updated.md) | [檢視您的 Studio 執行中執行個體、應用程式和空間](studio-updated-running.md) |
| [Studio Classic](studio.md) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/sagemaker/latest/dg/sm-shut-down-resources-per-feature.html) |
| [AWS CloudFormation中的堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) | [刪除 AWS CloudFormation 主控台上的堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) |
| [SageMaker AI 中的 TensorBoard ](tensorboard-on-sagemaker.md) | [刪除未使用的 TensorBoard 應用程式](debugger-htb-delete-app.md) |
# 選擇一個 Amazon VPC
本主題提供有關加入 Amazon SageMaker AI 網域時選擇 Amazon Virtual Private Cloud (Amazon VPC) 的詳細資訊。如需加入 SageMaker AI 網域的詳細資訊,請參閱 [Amazon SageMaker AI 網域概觀](gs-studio-onboard.md)。
根據預設,SageMaker AI 網域使用兩個 Amazon VPC。一個 Amazon VPC 由 Amazon SageMaker AI 管理,並提供直接網際網路存取。您可以指定另一個 Amazon VPC,該 VPC 可在網域和 Amazon Elastic File System (Amazon EFS) 磁碟區之間提供加密流量。
您可以變更此動作,讓 SageMaker AI 透過指定的 Amazon VPC 傳送所有流量。選擇此選項時,您必須提供與 SageMaker API 和 SageMaker AI 執行時期通訊所需的子網路、安全群組和介面端點,以及 Studio 所使用的各種 AWS 服務,例如 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch。
當您加入 SageMaker 網域時,您可以透過將網路存取類型設定為**僅限 VPC**,告知 SageMaker AI 透過您的 Amazon VPC 傳送所有流量。
**若要指定 Amazon VPC 資訊**
在下列程序中指定 Amazon VPC 實體 (亦即 Amazon VPC、子網路或安全群組) 時,會根據您在目前 AWS 區域中擁有的實體數量顯示三個選項中的其中一個。行為如下:
+ 一個實體 - SageMaker AI 會使用該實體。這點無法變更。
+ 多個實體 — 您必須從下拉式清單中選擇實體。
+ 無實體 - 您必須建立一或多個實體才能使用網域。選擇 **建立 **以在新的瀏覽器標籤中開啟 VPC 主控台。在建立實體之後,請返回網域**入門**頁面以繼續加入程序。
當您選擇**為組織設定**時,此程序是 Amazon SageMaker AI 網域加入程序的一部分。您的 Amazon VPC 資訊是在**網路**區段下指定的。
1. 選擇網路存取類型。
**注意**
如果選取了**僅限 VPC**,SageMaker AI 會將針對網域定義的安全群組設定自動套用至網域中建立的所有共用空間。如果選取了**僅限公有網際網路**,SageMaker AI 不會將安全群組設定套用至網域中建立的共用空間。
+ **僅限公有網際網路** - 非 Amazon EFS 流量通過 SageMaker AI 管理的 Amazon VPC,從而允許網際網路存取。網域與您的 Amazon EFS 磁碟區之間的流量是通過指定的 Amazon VPC。
+ **僅限 VPC** - 所有 SageMaker AI 流量均通過指定的 Amazon VPC 和子網路。在**僅限 VPC** 模式下,您必須使用沒有直接網際網路存取的子網路。網際網路存取預設為停用。
1. 選擇 Amazon VPC。
1. 選擇一或多個子網路。如果您不選擇任何子網路,SageMaker AI 會使用 Amazon VPC 中的所有子網路。建議您使用不在限制可用區域中建立的多個子網路。在這些受限的可用區域中使用子網路可能會導致容量不足錯誤,並延長應用程式建立時間。如需受限可用區域的詳細資訊,請參閱《AWS 區域 和可用區域使用者指南》**中的[受限可用區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-availability-zones.html#constrained-zones)。
1. 選擇安全群組。如果您選擇**僅限公有網際網路**,則此步驟為選用步驟。如果您選擇**僅限 VPC**,則需要執行此步驟。
**注意**
有關允許的安全群組的最大數量,請參閱[使用者設定](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UserSettings.html)。
對於 Amazon VPC 要求**僅限 VPC**模式,請參閱[將 VPC 中的 Studio 筆記本連線至外部資源](studio-notebooks-and-internet-access.md)。