[요청서 작성 가이드] Sagemaker

수정 날짜: 월, 3월 13, 2023 시간: 4:58 PM

요청서 (엑셀) 작성 가이드

역할 정보

역할
역할 이름	역할 이름 접미사		역할을 식별할 수 있는 이름 공백이 없는 영숫자여야 하며 _+=,.@-의 특수 문자만 포함해야 함 역할이 실 생성시에는 "SageMaker-" 접두어가 적용
	설명(Option)		역할에 관련된 설명 이름은 영숫자(a-z, A-Z, 0-9)만 사용 가능, 한글 사용 불가
	이 역할의 권한에 대한 페르소나	데이터 사이언티스트	SageMaker 환경 내에서 ML을 수행하는 역할 S3 스토리지 데이터를 처리하고 실험을 수행하며, 모델을 생성할 수 있는 권한
		ML 운영	SageMaker 환경 내에서 운영활동을 처리하는 역할 모델, 엔드포인트, 파이프라인, 감사 리소스를 관리 할 수 있는 권한
		SageMaker 컴퓨팅 역할	SageMaker 컴퓨팅 리소스(Worker 및 End-point)에서 사용하는 페르소나 ML 컴퓨팅을 위해 S3 리소스, ECR 리포지토리, CloudWatch 및 기타 서비스에 액세스 할 수 있는 권한 Model Serving 이후 단계의 자원에 대한 권한

네트워크 조건
네트워크(택1)	VPC 사용자 지정 사용 불가		SageMaker 리소스를 특정 VPC 서브넷 및 보안그룹에 한정하지 않음 퍼블릭 인터넷 전용으로 SageMaker 관리형 VPC 통과
	VPC 사용자 지정	VPC 서브넷	계정/Region에 있는 모든 서브넷 중 SageMaker가 사용할 서브넷 지정 SageMaker가 ML을 진행할 자원이 속해 있는 서브넷 지정 사용할 VPC 또는 서브넷 정보 필요
		보안 그룹	VPC 서브넷과 연동할 보안그룹 지정 사전에 In/Outbound 정책을 정의 필요(향후 변경 가능)

네트워크 조건
암호화(택1)	암호화 사용자 지정 사용 불가		SageMaker 리소스를 특정 VPC 서브넷 및 보안그룹에 한정하지 않음
	암호화 사용자 지정 사용	데이터 암호화 키	데이터 암호화를 위한 KMS 키 타 계정일 경우 권한이 허용된 ARN 정보 필요
		볼륨 암호화키	스토리지 볼륨에 대한 KMS 키 정보 필요

역할별 기본 ML 활동(Default)
이름	Data Scientist	MLOps Engineer	SageMaker Computering	설명
필수 AWS 서비스 액세스			○	S3, ECR, CloudWatch 및 EC2에 액세스할 수 있는 권한. 작업 및 엔드포인트의 실행 역할
Studio 애플리케이션 실행	○	○		Studio 환경 내에서 운영할 수 있는 권한. 도메인 및 사용자 프로파일 실행 역할
ML 작업 관리	○			수명 주기 전체에 걸쳐 SageMaker 작업을 관리할 수 있는 권한
모델 관리	○	○		SageMaker 모델 및 모델 레지스트리를 관리할 수 있는 권한
엔드포인트 관리		○		SageMaker 엔드포인트 배포 및 업데이트를 관리하는 권한
파이프라인 관리		○		SageMaker 파이프라인 및 파이프라인 실행을 관리하는 권한
실험 관리	○			실험 및 평가판을 관리하는 권한
실험 검색 및 시각화	○	○		실험과 관련하여 감사하고 계보를 쿼리하고 시각화할 수 있는 권한
모델 모니터링 관리				SageMaker 모델 모니터에 대한 모니터링 일정을 관리할 수 있는 권한
S3 전체 액세스				모든 S3 작업을 수행할 수 있는 권한
S3 버킷 액세스	○			지정된 버킷에서 작업을 수행할 수 있는 권한
Athena 작업그룹 쿼리				Amazon Athena 쿼리를 실행하고 관리할 수 있는 권한

필수 AWS 서비스 액세스
S3	S3Buckets	하나 이상의 S3 버켓(예: 'my-bucket')을 지정 ML 활동에는 S3 버킷에 대한 읽기 및 쓰기 권한이 필요
ECR	ECRRepoArns	하나 이상의 ECR 리포지토리 ARN을 지정 ML 활동에는 ECR 리포지토리에 대한 이미지 가져오기 권한이 필요

ML 작업 관리
ML 작업 관리	PassRoles	하나 이상의 IAM 역할 ARN을 지정 사용자를 대신해 역할을 위임하기 위해 SageMaker 서비스로 역할을 전달

모델 관리
모델 관리	PassRoles	하나 이상의 IAM 역할 ARN을 지정 사용자를 대신해 역할을 위임하기 위해 SageMaker 서비스로 역할을 전달

엔드포인트 관리
엔드포인트 관리	PassRoles	하나 이상의 IAM 역할 ARN을 지정 사용자를 대신해 역할을 위임하기 위해 SageMaker 서비스로 역할을 전달

파이프라인 관리
파이프라인 관리	PassRoles	하나 이상의 IAM 역할 ARN을 지정 사용자를 대신해 역할을 위임하기 위해 SageMaker 서비스로 역할을 전달

모델 모니터링 관리
모델 모니터링 관리	PassRoles	하나 이상의 IAM 역할 ARN을 지정 사용자를 대신해 역할을 위임하기 위해 SageMaker 서비스로 역할을 전달

S3 버킷 액세스
S3	buchet	하나 이상의 S3 버킷(예: 'my-bucket')을 지정 ML 활동에는 S3 버킷에 대한 읽기 및 쓰기 권한이 필요

Athena 작업 그룹 쿼리
Athena	WorkGroupNames	하나 이상의 Amazon Athena 작업 그룹을 지정, 사전 Athena에서 설정 필요 기본 작업 그룹을 사용하는 경우 'primary'을 지정

더 많은 정책 및 태그 추가
IAM 정책	정책		사전 생성된 VPc 정보 선택 인터넷 액세스를 활성화하려면 VPC에 NAT 게이트웨이가 있도록 하고 보안 그룹이 아웃바운드 연결을 허용 필요
태그	태그(최대 47개 추가 가능)	키
		값 - 선택사항

도메인 : 일반 설정

도메인 이름
이름	이름	AWS 계정 전체에서 고유한 값, 영숫자(a-z, A-Z, 0-9) 및 특수문자 "-"만 사용 가능

인증
인증 (택1)	AWS Identity and Access Management(IAM)	Amazon SageMaker 콘솔을 사용하여 IAM 기반으로 도메인에 엑세스
	AWS IAM Identity Center	해당 AWS 리전에 IAM Identity Center 계정 필요

권한
권한	기본 실행 역할	새 역할 생성	SageMaker 사용하는데 필요한 권한을 자동으로 신규 생성 AmazonSageMakerFullAccess 정책 포함
		사용자 지정 IAM 역할 ARN	타계정의 IAM 역할이 있을 경우 ARN정보
		기존 역할 사용	기존에 생성한 역할이 있을 경우 사용
	공간 기본 실행 역할	새 역할 생성	SageMaker 사용하는데 필요한 권한을 자동으로 신규 생성 AmazonSageMakerFullAccess 정책 포함
		사용자 지정IAM 역할 ARN	타계정의 IAM 역할이 있을 경우 ARN정보
		기존 역할 사용	기존에 생성한 역할이 있을 경우 사용
새 역할 생성 S3 권한	지정하는 S3 버킷(택1)		모든 S3 버킷
			특정 S3 버킷(버킷 정보 필요)
			없음
	이름에 "sagemaker"가 있는 모든 S3 버킷
	이름에 "sagemaker"가 있는 모든 S3 객체
	SageMaker 액세스를 허용하는 버킷 정책이 있는 S3 버킷

네트워크 및 스토리지 섹션
네트워크	VPC		사전 생성된 VPC 정보 선택 인터넷 액세스를 활성화하려면 VPC에 NAT 게이트웨이가 있도록 하고 보안 그룹이 아웃바운드 연결을 허용 필요
	서브넷		SageMaker가 지원하는 가용 영역에 대한 서브넷 선택 VPC와 연결된 서브넷을 1개 이상 선택
	보안그룹		VPC에 연결된 보안 그룹 1개 이상 선택 RStudioServerPro 앱과도 연결
	엑세스 범위	퍼블릭 인터넷 전용	SageMaker 도메인이 인터넷 액세스 사용 VPC는 EFS 스토리지에 액세스 할 용도로만 사용
		VPC 전용	SageMaker 도메인이 VPC를 사용 직접 인터넷 접속은 기본적으로 중지 상태(외부 리소스를 이용한 학습 불가 상태) 인터넷 엑세스 활성화 할 경우 NAT G/W추 가 후
스토리지	암호화 키(선택사항)	사용자 지정 암호화 없음	기본적으로 AWS 관리형 CMK를 사용하여 EFS 및 EBS 암호화
		KMS 키 ARN
		aws/s3

도메인 : Studio 설정

Jupyter Lab버전
Jupiter	기본 Jupyter Lab 버전(택1)	Jupyter 서버는 도메인의 모든 사용자에 대해 기본적으로 선택한 버전으로 실행 Jupiter Lab 3.0 Jupiter Lab 1.0

Jupyer Notebook 공유
Notebook 공유	공유 가능한 노트북 리소스		Notebook 리소스 공유 활성화 (여/부) Cell 단위 출력, Git Repo. 에 있는 내용 포함
	공유 가능한 노트북 리소스의 S3 위치	기본 위치	s3의 기본 위치(자동생성) 예) s3://sagemaker-studio-521600877459-102tbix6im9/sharing
	공유 가능한 노트북 리소스의 S3 위치	사용자 위치	s3 특정 버킷 주소(s3:// ) 사전에 리소스 공유용 버킷 생성 필요
	암호화 키(택1)	사용자 지정 암호화 없음	Default
		KMS 키 ARN
		aws/s3
	Cell 출력 공유	Cell출력 공유 허용	Notebook Cell 단위 출력 결과 공유 허용
	Cell 출력 공유	Cell출력 공유 비활성화	Notebook Cell 단위 출력 결과 공유 비활성화

SageMaker 프로젝트 및 Jumpstart - Option
기타	프로젝트 템플릿 및 JumpStart [활성화]	관리자는 AWS Service Catalog에 게시된 내장 프로젝트 템플릿 및 JumpStart 솔루션을 볼수 있음
	Studio 사용자를 위한 템플릿 및 JumpStart [활성화]	도메인 실행 역할을 가진 사용자가 AWS Service Catalog에 게시된 내장 프로젝트 템플릿 및 JumpStart 솔루션 사용하여 프로젝트 생성 가능
	최신 업데이트된 Service Catalog 사용에 필요한 역할 [생성]	생성할 역할: APIGateway, CloudFormation, CodeBuild, CodePipeline, Events, Firehose, Glue, Lambda, Sagemaker

도메인 : RStudio 설정

Rstudio
RStudio	Rstudio Workbench	사용을 위해서는 AWS License Manager에 RStudio Workbench 라이센스 추가 필요

도메인 : SageMaker Canvas(AutoML) 설정

Canvas 기본 권한 구성
기본권한	Canvas 기본 권한 활성화[Default : 활성화]	사용자는 캔버스에서 모델을 빌드하는 데 필요한 권한 사용 가능 사용자에게 수동으로 권한 할당시에는 AmazonSageMakerCanvasFullAccessPolicy 역할을 추가

시계열 예측 구성
시계열	시계열 예측 활성화[Default : 활성화]		Cancas에서 시계열 예측을 사용할 수 있도록 시계열 예측을 활성화
	Amazon Forcast 역할	새 실행 역할 생성 및 사용	“AmazonSagemakerCanvasForecastRole- “ 접두사로 역할생성 AmazonSagemakerCanvasForecastRolePolicy 정책 포함 이름은 최대 63자까지 입력가능하며, 입력 가능 문자는 A~Z, a~z, 0~9, -(하이픈)
		기존 실행 역할 사용	AmazonSagemakerCanvasForecastRolePolicy 정책 포함

로컬 파일 업로드
파일 업로드	로컬 파일 업로드 활성화[Default : 활성화]	Canvas에서 로컬 파일을 업로드할 수 있도록 로컬 파일 업로드를 활성화 CORS (Cross-Origin Resource Sharing) 구성이 재정의 되어 파일 업로드 기능 활성화