Wir aktualisieren den Amazon Machine Learning Learning-Service nicht mehr und akzeptieren auch keine neuen Benutzer mehr dafür. Diese Dokumentation ist für bestehende Benutzer verfügbar, wir aktualisieren sie jedoch nicht mehr. Weitere Informationen finden Sie unter [Was ist Amazon Machine Learning](https://docs.aws.amazon.com/machine-learning/latest/dg/what-is-amazon-machine-learning.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon Machine Learning-Referenz
**Topics**
+ [Gewähren von Amazon ML-Berechtigungen zum Lesen von Daten aus Amazon S3](granting-amazon-ml-permissions-to-read-your-data-from-amazon-s3.md)
+ [Gewähren von Berechtigungen für Amazon ML zwecks Ausgabe von Voraussagen in Amazon S3](granting-amazon-ml-permissions-to-output-predictions-to-amazon-s3.md)
+ [Steuern des Zugriffs auf Amazon ML-Ressourcen – mit IAM](controlling-access-to-amazon-ml-resources-by-using-iam.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Dependency Management von asynchrone Operationen](dependency-management-of-asynchronous-operations.md)
+ [Das Überprüfen des Status einer Anfrage](operation-request-status.md)
+ [Systemeinschränkungen](system-limits.md)
+ [Namen und IDs für alle Objekte](names-and-ids-for-all-objects.md)
+ [Objektlebensdauer](object-lifetimes.md)
# Gewähren von Amazon ML-Berechtigungen zum Lesen von Daten aus Amazon S3
Um aus Ihren Eingabedaten in Amazon S3 ein Datenquellenobjekt zu erstellen, müssen Sie Amazon ML die folgenden Berechtigungen für den S3-Speicherort erteilen, an dem Ihre Eingabedaten gespeichert sind:
+ **GetObject**Berechtigung für den S3-Bucket und das Präfix.
+ **ListBucket**Erlaubnis für den S3-Bucket. Im Gegensatz zu anderen Aktionen **ListBucket**müssen Berechtigungen für den gesamten Bucket erteilt werden (und nicht für das Präfix). Sie können die Berechtigungen jedoch auf ein bestimmtes Präfix einschränken, indem Sie eine **Condition**-Klausel verwenden.
Wenn Sie die Amazon ML-Konsole zum Erstellen der Datenquelle verwenden, können diese Berechtigungen für Sie dem Bucket hinzugefügt werden. Sie werden aufgefordert, zu bestätigen, ob Sie sie hinzufügen möchten, wenn Sie die Schritte im Assistenten ausführen. Die folgende Beispielrichtlinie zeigt, wie Sie Amazon ML die Erlaubnis erteilen, Daten vom Beispielspeicherort s3://*examplebucket*/zu lesen*exampleprefix*, während die **ListBucket**Berechtigung nur auf den Eingabepfad beschränkt wird. *exampleprefix*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::examplebucket/exampleprefix/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::examplebucket",
"Condition": {
"StringLike": {
"s3:prefix": "exampleprefix/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Um diese Richtlinie für Ihre Daten anzuwenden, müssen Sie die Richtlinienanweisung in Zusammenhang mit dem S3-Bucket, in dem Sie Ihre Daten gespeichert haben, bearbeiten.
**Vorgehensweise zum Bearbeiten der Berechtigungsrichtlinie für einen S3-Bucket (unter Verwendung der alten Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Namen des Buckets aus, on dem sich Ihre daten befinden.
1. Wählen Sie **Properties** (Eigenschaften).
1. Wählen Sie **Edit bucket policy**.
1. Geben Sie die oben gezeigte Richtlinie ein, die Sie an Ihre Anforderungen anpassen sollten, und wählen Sie dann **Save** aus.
1. Wählen Sie **Speichern**.
**Vorgehensweise zum Bearbeiten der Berechtigungsrichtlinie für einen S3-Bucket (unter Verwendung der neuen Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Bucket-Namen und dann **Berechtigungen** aus.
1. Wählen Sie **Bucket Policy** aus.
1. Geben Sie die oben gezeigte Richtlinie ein, die Sie an Ihre Anforderungen anpassen sollten.
1. Wählen Sie **Speichern**.
# Gewähren von Berechtigungen für Amazon ML zwecks Ausgabe von Voraussagen in Amazon S3
Um die Ergebnisse der Stapelvoraussage-Operation in Amazon S3 auszugeben, müssen Sie Amazon ML die folgenden Berechtigungen für den Ausgabeort gewähren, die als Input bei der Operation zum Erstellen von Stapelvoraussagen bereitgestellt werden:
+ **GetObject**Erlaubnis für Ihren S3-Bucket und Ihr Präfix.
+ **PutObject**Erlaubnis für Ihren S3-Bucket und Ihr Präfix.
+ **PutObjectAcl**auf Ihrem S3-Bucket und Präfix.
+ Amazon ML benötigt diese Berechtigung, um sicherzustellen, dass Ihrem AWS-Konto die [vorgemerkte bucket-owner-full-control ACL-Berechtigung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl) erteilt werden kann, nachdem Objekte erstellt wurden.
+ **ListBucket**Erlaubnis für den S3-Bucket. Im Gegensatz zu anderen Aktionen **ListBucket**müssen Berechtigungen für den gesamten Bucket erteilt werden (und nicht für das Präfix). Sie können die Berechtigungen jedoch auf ein bestimmtes Präfix einschränken, indem Sie eine **Bedingungsklausel** verwenden.
Wenn Sie die Amazon ML-Konsole zum Erstellen der Stapelvoraussageanforderung verwenden, können diese Berechtigungen für Sie dem Bucket hinzugefügt werden. Sie werden aufgefordert, zu bestätigen, ob Sie diese hinzufügen möchten, wenn Sie die Schritte im Assistenten ausführen.
Die folgende Beispielrichtlinie zeigt, wie Amazon ML die Erlaubnis erteilt wird, Daten an den Beispielspeicherort s3://examplebucket/exampleprefix zu schreiben, wobei die **ListBucket**Berechtigung nur auf den Beispielpräfix-Eingabepfad beschränkt wird und Amazon ML die Erlaubnis erteilt wird, das Put-Objekt ACLs auf das Ausgabepräfix zu setzen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::examplebucket/exampleprefix/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": "s3:PutObjectAcl",
"Resource": "arn:aws:s3:::examplebucket/exampleprefix/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::examplebucket",
"Condition": {
"StringLike": {
"s3:prefix": "exampleprefix/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Um diese Richtlinie für Ihre Daten anzuwenden, müssen Sie die Richtlinienanweisung in Zusammenhang mit dem S3-Bucket, in dem Sie Ihre Daten gespeichert haben, bearbeiten.
**Vorgehensweise zum Bearbeiten der Berechtigungsrichtlinie für einen S3-Bucket (unter Verwendung der alten Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Namen des Buckets aus, on dem sich Ihre daten befinden.
1. Wählen Sie **Properties** (Eigenschaften).
1. Wählen Sie **Edit bucket policy**.
1. Geben Sie die oben gezeigte Richtlinie ein, die Sie an Ihre Anforderungen anpassen sollten, und wählen Sie dann **Save** aus.
1. Wählen Sie **Speichern**.
**Vorgehensweise zum Bearbeiten der Berechtigungsrichtlinie für einen S3-Bucket (unter Verwendung der neuen Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Bucket-Namen und dann **Berechtigungen** aus.
1. Wählen Sie **Bucket Policy** aus.
1. Geben Sie die oben gezeigte Richtlinie ein, die Sie an Ihre Anforderungen anpassen sollten.
1. Wählen Sie **Speichern**.
# Steuern des Zugriffs auf Amazon ML-Ressourcen – mit IAM
AWS Identity and Access Management (IAM) ermöglicht es Ihnen, den Zugriff Ihrer Benutzer auf AWS-Services und -Ressourcen sicher zu kontrollieren. Mit IAM können Sie AWS-Benutzer, -Gruppen und -Rollen erstellen und verwalten und ihnen mithilfe von Berechtigungen den Zugriff auf AWS-Ressourcen gewähren oder verweigern. Durch die Verwendung von IAM mit Amazon Machine Learning (Amazon ML) können Sie steuern, ob Benutzer in Ihrer Organisation bestimmte AWS-Ressourcen verwenden können und ob sie eine Aufgabe mithilfe bestimmter Amazon ML-API-Aktionen ausführen können.
IAM ermöglicht Ihnen:
+ Erstellen von Benutzern und Gruppen für Ihr AWS-Konto
+ Zuweisen eindeutiger Sicherheitsanmeldeinformationen zu jedem Benutzer in Ihrem AWS-Konto
+ Steuern der Berechtigungen der einzelnen Benutzer zum Durchführen von Aufgaben mit AWS-Ressourcen
+ Einfache Freigabe Ihrer AWS-Ressourcen unter den Benutzern Ihres AWS-Kontos
+ Erstellen von Rollen für Ihr AWS-Konto und Verwalten ihrer Berechtigungen, um festzulegen, welche Benutzer oder Services sie übernehmen können
+ Sie können Rollen in IAM erstellen und Berechtigungen verwalten, um zu steuern, welche Operationen von einer Entität oder einem AWS-Service mit der Rolle ausgeführt werden können. Sie können auch bestimmen, welcher Entität die Rolle zugeordnet werden darf.
Wenn Ihre Organisation bereits über IAM-Identitäten verfügt, können Sie diese für die Gewährung von Berechtigungen zur Ausführung von Aufgaben mit AWS-Ressourcen verwenden.
Weitere Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
## Syntax der IAM-Richtlinie
Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jeder Anweisung hat die folgende Struktur:
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition operator":{
"key":"value"
}
}
}]
}
```
Eine Richtlinienanweisung umfasst die folgenden Elemente:
+ **Wirkung:** Steuert die Berechtigung zur Verwendung von Ressourcen und API-Aktionen, die Sie später in der Anweisung angeben. Gültige Werte sind `Allow` und `Deny`. IAM-Benutzer verfügen standardmäßig nicht über die Berechtigung zur Verwendung von Ressourcen und API-Aktionen. Daher werden alle Anfragen abgelehnt. Der Standardwert wird durch eine explizite Erlaubnis (`Allow`) überschrieben. Eine explizite Verweigerung (`Deny`) überschreibt alle Erlaubnisse (`Allows`).
+ **Aktion**: Die spezifische(n) API-Aktion oder -Aktionen, für die Sie eine Berechtigung gewähren oder verweigern.
+ **Resource**: Die von einer Aktion betroffene Ressource. Um eine Ressource in der Anweisung anzugeben, verwenden Sie deren Amazon-Ressourcennamen (ARN).
+ **Bedingung (optional)**: Steuert, wann Ihre Richtlinie in Kraft tritt.
Um die Erstellung und Verwaltung von IAM-Richtlinien zu vereinfachen, können Sie den AWS Policy Generator und den IAM Policy Simulator verwenden.
## Spezifizieren von IAM-Richtlinienaktionen für Amazon ML MLAmazon
In einer IAM-Richtlinienerklärung können Sie eine API-Aktion für jeden Service angeben, der IAM unterstützt. Wenn Sie eine Richtlinienerklärung für Amazon ML-API-Aktionen erstellen, stellen Sie `machinelearning:` sie dem Namen der API-Aktion voran, wie in den folgenden Beispielen gezeigt:
+ `machinelearning:CreateDataSourceFromS3`
+ `machinelearning:DescribeDataSources`
+ `machinelearning:DeleteDataSource`
+ `machinelearning:GetDataSource`
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": ["machinelearning:action1", "machinelearning:action2"]
```
Sie können auch mehrere Aktionen mittels Platzhaltern angeben. Beispielsweise können Sie alle Aktionen festlegen, deren Name mit dem Wort "Get" beginnt:
```
"Action": "machinelearning:Get*"
```
Um alle Amazon ML-Aktionen anzugeben, verwenden Sie den Platzhalter \$1:
```
"Action": "machinelearning:*"
```
Die vollständige Liste der Amazon ML-API-Aktionen finden Sie in der [Amazon Machine Learning API-Referenz](https://docs.aws.amazon.com/machine-learning/latest/APIReference/).
## Angabe von ARNs Amazon ML-Ressourcen in IAM-Richtlinien
IAM-Richtlinienerklärungen gelten für eine oder mehrere Ressourcen. Sie spezifizieren die Ressourcen für Ihre Richtlinien anhand ihrer ARNs.
Verwenden Sie das folgende Format, um die ARNs für Amazon ML-Ressourcen anzugeben:
"Ressource": `arn:aws:machinelearning:region:account:resource-type/identifier `
Die folgenden Beispiele zeigen, wie „common“ angegeben wird ARNs.
Datenquellen-ID: `my-s3-datasource-id `
```
"Resource":
arn:aws:machinelearning:::datasource/my-s3-datasource-id
```
ML-Modell-ID: `my-ml-model-id `
```
"Resource":
arn:aws:machinelearning:::mlmodel/my-ml-model-id
```
Stapelvoraussage-ID: `my-batchprediction-id `
```
"Resource":
arn:aws:machinelearning:::batchprediction/my-batchprediction-id
```
Evaluierungs-ID: `my-evaluation-id `
```
"Resource": arn:aws:machinelearning:::evaluation/my-evaluation-id
```
## Beispielrichtlinien für Amazon MLs
**Beispiel 1: Benutzern das Lesen der Metadaten von Ressourcen für maschinelles Lernen erlauben**
Die folgende Richtlinie ermöglicht es einem Benutzer oder einer Gruppe, die Metadaten von Datenquellen, ML-Modellen, Batch-Vorhersagen und Evaluierungen zu lesen [DescribeDataSources](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_DescribeDataSources.html), indem sie Aktionen MLModels [DescribeBatchPredictions](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_DescribeBatchPredictions.html), [Describe [DescribeEvaluations[GetDataSource](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_GetDataSource.html)](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_DescribeEvaluations.html)](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_DescribeMLModels.html),,MLModel, [Get [GetBatchPrediction](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_GetBatchPrediction.html)](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_GetMLModel.html), und [GetEvaluation](https://docs.aws.amazon.com/machine-learning/latest/APIReference/API_GetEvaluation.html)Aktionen für die angegebenen Ressourcen ausführen. Die Describe \$1-Operationsberechtigungen können nicht auf eine bestimmte Ressource beschränkt werden.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"machinelearning:Get*" ], "Resource": [
"arn:aws:machinelearning:us-east-1:123456789012:datasource/S3-DS-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:datasource/REDSHIFT-DS-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:mlmodel/ML-MODEL-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:batchprediction/BP-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:evaluation/EV-ID1"
] }, { "Effect": "Allow", "Action": [ "machinelearning:Describe*" ], "Resource": [ "*" ] } ]
}
```
------
**Beispiel 2: Benutzern das Erstellen von Ressourcen für maschinelles Lernen erlauben**
Die folgende Richtlinie erlaubt es einem Benutzer oder einer Gruppe, Machine Learning-Datenquellen, ML-Modelle. Stapelvoraussagen und Evaluierungen durch Ausführung der `CreateDataSourceFromS3`-, `CreateDataSourceFromRedshift`-, `CreateDataSourceFromRDS`-, `CreateMLModel`-, `CreateBatchPrediction`- und `CreateEvaluation`-Aktionen zu erstellen. Sie können die Berechtigungen für diese Aktionen nicht auf eine bestimmte Ressource einschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"machinelearning:CreateDataSourceFrom*",
"machinelearning:CreateMLModel",
"machinelearning:CreateBatchPrediction",
"machinelearning:CreateEvaluation"
],
"Resource": [
"*"
]
}
]
}
```
------
**Beispiel 3: Benutzer das Erstellen und Löschen von Echtzeitendpunkten sowie das Ausführen von Echtzeitvoraussagen mit einem ML-Modell erlauben**
Die folgende Richtlinie erlaubt es Benutzern oder Gruppen, Echtzeitendpunkte zu erstellen und zu löschen sowie Echtzeitvoraussagen für ein bestimmtes ML-Modell zu generieren, indem sie `CreateRealtimeEndpoint`-, `DeleteRealtimeEndpoint`- und `Predict`-Aktionen für dieses Modell ausführen.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"machinelearning:CreateRealtimeEndpoint", "machinelearning:DeleteRealtimeEndpoint",
"machinelearning:Predict" ], "Resource": [
"arn:aws:machinelearning:us-east-1:123456789012:mlmodel/ML-MODEL"
] } ] }
```
------
**Beispiel 4: Benutzern das Aktualisieren und Löschen bestimmter Ressourcen erlauben**
Die folgende Richtlinie erlaubt es einem Benutzer oder einer Gruppe, bestimmte Ressourcen in Ihrem AWS-Konto zu aktualisieren oder zu löschen, indem die Berechtigungen zum Ausführen von `UpdateDataSource`-, `UpdateMLModel`-, `UpdateBatchPrediction`-, `UpdateEvaluation`-, `DeleteDataSource`-, `DeleteMLModel`-, `DeleteBatchPrediction`- und `DeleteEvaluation`-Aktionen für diese Ressourcen in Ihrem Konto gewährt werden.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"machinelearning:Update*", "machinelearning:DeleteDataSource", "machinelearning:DeleteMLModel",
"machinelearning:DeleteBatchPrediction", "machinelearning:DeleteEvaluation" ], "Resource": [
"arn:aws:machinelearning:us-east-1:123456789012:datasource/S3-DS-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:datasource/REDSHIFT-DS-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:mlmodel/ML-MODEL-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:batchprediction/BP-ID1",
"arn:aws:machinelearning:us-east-1:123456789012:evaluation/EV-ID1"
] } ] }
```
------
**Beispiel 5: Beliebiges Amazon zulassen MLaction**
Die folgende Richtlinie ermöglicht es einem Benutzer oder einer Gruppe, jede Amazon ML-Aktion zu verwenden. Da diese Richtlinie vollen Zugriff auf alle Ihre Ressourcen für maschinelles Lernen gewährt, sollten Sie sie auf Administratoren beschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"machinelearning:*"
],
"Resource": [
"*"
]
}
]
}
```
------
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. Ein AWS dienstübergreifender Identitätswechsel kann zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Machine Learning einem anderen Service für die Ressource erteilt. Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Amazon ML verwenden können, um das Problem des verwirrten Stellvertreters beim Lesen von Daten aus einem Amazon S3 S3-Bucket zu vermeiden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::examplebucket/exampleprefix/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "machinelearning.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::examplebucket",
"Condition": {
"StringLike": {
"s3:prefix": "exampleprefix/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:machinelearning:us-east-1:123456789012:*"
}
}
}
]
}
```
------
# Dependency Management von asynchrone Operationen
Batch-Operationen in Amazon ML hängen von anderen Operationen ab, um erfolgreich abgeschlossen werden zu können. Um diese Abhängigkeiten zu verwalten, identifiziert Amazon ML Anfragen, die Abhängigkeiten aufweisen, und prüft, ob die Operationen abgeschlossen wurden. Wenn die Operationen nicht abgeschlossen wurden, wird die entsprechende Anfrage von Amazon ML so lange zurückgestellt, bis die Operationen, von denen sie abhängen, abgeschlossen wurden.
Es gibt einige Abhängigkeiten zwischen Batch-Operationen. Bevor Sie beispielsweise ein ML-Modell erstellen können, müssen Sie eine Datenquelle erstellt haben, mit der Sie das ML-Modell schulen können. Amazon ML kann ein ML-Modell nicht ohne verfügbare Datenquelle schulen.
Amazon ML unterstützt jedoch das Abhängigkeiten-Management für asynchrone Operationen. Beispielsweise müssen Sie nicht warten, bis die Statistiken berechnet wurden, bevor Sie eine Anforderung senden können, um ein ML-Modell für die Datenquelle zu schulen. Stattdessen können Sie, sobald die Datenquelle erstellt wurde, eine Anforderung senden, um ein ML-Modell mit der Datenquelle zu schulen. Amazon ML startet den Schulungsvorgang erst, nachdem die Datenquellenstatistiken berechnet wurden. Die MLModel Erstellungsanforderung wird in eine Warteschlange gestellt, bis die Statistiken berechnet wurden. Sobald dies erledigt ist, versucht Amazon ML sofort, den MLModel Erstellungsvorgang auszuführen. Ebenso können Sie Anfragen für Stapelvoraussagen und Überprüfungen für ML-Modelle senden, welche die Schulung noch nicht beendet haben.
Die folgende Tabelle zeigt die Anforderungen zur Weiterverarbeitung von verschiedenen AmazonML Aktionen
| **Um …** | **Muss ...** |
| --- | --- |
| Erstellen Sie ein ML-Modell (createMLModel) | Eine Datenquelle mit berechneten Datenstatistiken vorhanden sein |
| Erstellen Sie eine Batch-Vorhersage (createBatchPrediction) | Eine Datenquelle vorhanden sein ML-Modell |
| Erstellen Sie eine Batch-Auswertung (createBatchEvaluation) | Eine Datenquelle vorhanden sein ML-Modell |
# Das Überprüfen des Status einer Anfrage
Wenn Sie eine Anfrage einreichen, können Sie ihren Status mit der Amazon Machine Learning (Amazon ML) API überprüfen. Wenn Sie beispielsweise eine `createMLModel` Anfrage einreichen, können Sie ihren Status mithilfe des `describeMLModel` Anrufs überprüfen. Amazon ML antwortet mit einem der folgenden Status.
| **Status** | **Definition** |
| --- | --- |
| PENDING | Amazon ML validiert die Anfrage. ODER Amazon ML wartet vor der Ausführung der Anfrage auf freiwerdende Rechenressourcen. Dies kann auftreten, wenn Ihr Konto die maximale Anzahl gleichzeitig ausgeführter Batch-Operation-Anfragen überschreitet. Wenn dies der Fall ist, wechselt der Status zu dem **InProgress**Zeitpunkt, zu dem andere laufende Anfragen abgeschlossen wurden oder storniert wurden. ODER Amazon ML wartet eine Batch-Operation, die Ihre Anfrage benötigt, um abgeschlossen zu werden. |
| INPROGRESS | Ihre Anfrage wird noch ausgeführt. |
| COMPLETED | Die Anfrage wurde abgeschlossen, und das Objekt ist bereit zur Verwendung (ML-Modelle und Datenquellen) oder Überprüfung (Stapelvoraussagen und -Auswertungen). |
| FEHLGESCHLAGEN | Es besteht ein Problem mit den Daten, die Sie zur Verfügung gestellt haben, oder Sie haben den Vorgang abgebrochen. Wenn Sie beispielsweise versuchen, Datenstatistiken auf einer Datenquelle zu berechnen, die nicht abgeschlossen wurde, erhalten Sie möglicherweise die Statusmeldung Invalid oder Failed. Die Fehlermeldung erklärt, warum der Vorgang nicht erfolgreich abgeschlossen wurde. |
| GELÖSCHT | Das Objekt wurde bereits gelöscht. |
Amazon ML stellt auch Informationen zu einem Objekt bereit, z. B. wann Amazon ML die Erstellung dieses Objekts abgeschlossen hat. Weitere Informationen finden Sie unter [Auflisten von Objekten](listing-objects.md).
# Systemeinschränkungen
Um einen robuste, zuverlässigen Service bereitzustellen, gelten Amazon ML bestimmte Einschränkungen hinsichtlich der Anfragen, die an das System gestellt werden. Ein Großteil der ML-Probleme fällt in diese Einschränkungen. Wenn Sie jedoch der Ansicht sind, dass Ihre Nutzung von Amazon ML durch diese Einschränkungen eingeschränkt wird, können Sie sich an den [AWS-Kundenservice](https://aws.amazon.com/contact-us/) wenden und die Anfrage stellen, dass eine Einschränkung gelockert wird. Vielleicht gibt es beispielsweise eine Begrenzung von 5 für die Anzahl von Aufträgen, die Sie gleichzeitig ausführen können. Wenn Sie feststellen, dass sich häufig Aufträge in der Warteschlange befinden, die aufgrund dieser Einschränkung auf Ressourcen warten, so ist es wahrscheinlich sinnvoller, diese Einschränkung für Ihr Konto zu lockern.
In der folgenden Tabelle sind standardmäßige Einschränkungen pro Konto in Amazon ML aufgeführt. Nicht all diese Einschränkungen können vom AWS-Kundenservice gelockert werden.
| **Einschränkungstyp** | **Systemeinschränkungen** |
| --- | --- |
| Größe der einzelnen Beobachtungen | 100 KB |
| Größe der Schulungsdaten\$1 | 100 GB |
| Eingabegröße für Stapelvoraussage | 1 TB |
| Eingabegröße für Stapelvoraussage (Anzahl Datensätze) | 100 Mio. |
| Anzahl der Variablen in einer Datendatei (Schema) | 1.000 |
| Rezeptkomplexität (Anzahl verarbeiteter Ausgabevariablen) | 10.000 |
| TPS für jeden Echtzeitvoraussage-Endpunkt | 200 |
| TPS insgesamt für alle Echtzeitvoraussage-Endpunkte | 10.000 |
| RAM insgesamt für alle Echtzeitprognose-Endpunkte | 10 GB |
| Anzahl gleichzeitiger Aufträge | 25 |
| Längste Laufzeit für jeden Auftrag | 7 Tage |
| Anzahl Klassen für Mehrklassen-ML-Modelle | 100 |
| Größe ML-Modell | Mindestens 1 MB, maximal 2 GB |
| Anzahl von Tags pro Objekt | 50 |
+ Die Größe Ihrer Datendateien ist begrenzt, um sicherzustellen, dass Aufträge rechtzeitig abgeschlossen werden. Aufträge, die seit mehr als sieben Tagen ausgeführt werden, werden automatisch mit dem Status FEHLGESCHLAGEN beendet.
# Namen und IDs für alle Objekte
Alle Objekte in Amazon ML müssen über eine ID verfügen. Die Amazon ML-Konsole generiert ID-Werte für Sie. Wenn Sie die API verwenden, müssen Sie jedoch Ihre eigenen generieren. Jede ID muss eindeutig innerhalb der Amazon ML-Objekte desselben Typs in Ihrem AWS-Konto sein. Sie können also nicht zwei Evaluierungen mit derselben ID haben. Es ist möglich, eine Evaluierung und eine Datenquelle mit der gleichen ID zu haben, dies wird aber nicht empfohlen.
Wir empfehlen, dass Sie zufällig generierte IDs für Ihre Objekte verwenden, mit einer kurzen Zeichenfolge zur Identifizierung des Typs als Präfix. Wenn die Amazon ML-Konsole beispielsweise eine Datenquelle generiert, weist sie der Datenquelle eine zufällige, eindeutige ID wie „ds-Zsc F“ zu. WIu WiOx Diese ID ist ausreichend zufällig, um Kollisionen für einen einzelnen Benutzer zu vermeiden, und gelichzeitig kompakt und lesbar. Das Präfix "ds" ist aus praktischen Gründen und für die Klarheit vorhanden, aber nicht erforderlich. Wenn Sie sich nicht sicher sind, was Sie für Ihre ID-Strings verwenden sollen, empfehlen wir die Verwendung von hexadezimalen UUID-Werten (wie 28b1e915-57e5-4e6c-a7bd-6fb4e729cb23), die in modernen Programmierungsumgebungen problemlos verfügbar sind.
ID-Zeichenfolgen können ASCII-Buchstaben, Ziffern, Bindestriche und Unterstriche enthalten und bis zu 64 Zeichen lang sein. Es ist möglich und vielleicht auch praktisch, Metadaten in eine ID-Zeichenfolge zu codieren. Es wird aber nicht empfohlen, da nach Erstellung eines Objekts seine ID nicht geändert werden kann.
Objektnamen bieten eine einfache Möglichkeit für Sie, den einzelnen Objekten benutzerfreundliche Metadaten zuzuordnen. Namen könne nach der Erstellung eines Objekts geändert werden. Dadurch ist es möglich, einige Aspekte Ihres ML-Workflows im Namen eines Objekts wiederzugeben. Sie können einem ML-Modell beispielsweise zu Beginn den Namen "Experiment 3" geben und es dann in "Finales Produktionsmodell" umbenennen. Namen können aus einer beliebigen Zeichenfolge mit bis zu 1 024 Zeichen bestehen.
# Objektlebensdauer
Sie können von Ihnen mit Amazon ML erstellte Datenquellen, ML-Modelle, Auswertungen oder Batch-Voraussageobjekte mindestens zwei Jahre lang verwenden. Amazon ML entfernt möglicherweise automatisch Objekte, auf die länger als zwei Jahre nicht zugegriffen wurde bzw. die in diesem Zeitraum nicht verwendet wurden.