Grundlegendes zu Domänenbereichsberechtigungen und Ausführungsrollen - Amazon SageMaker
SageMaker AusführungsrollenBeispiel für flexible Berechtigungen mit Ausführungsrollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu Domänenbereichsberechtigungen und Ausführungsrollen

Eine SageMaker Amazon-Domain ist eine Umgebung, in der Ihr Team auf SageMaker Ressourcen zugreifen kann. Eine Domain vereinfacht die Verwaltung von Anwendungen, Ressourcen und Berechtigungen für maschinelles Lernen (ML) für die Benutzerprofile in der Domain. Sie können über Ihre Domain auf SageMaker Anwendungen wie den Code EditorOSS, der auf Code-, Visual Studio Code — Open Source basiert JupyterLabRStudio,, und Studio Classic zugreifen. Weitere Informationen zu Domänen finden Sie unter SageMaker Amazon-Domain-Übersicht.

Bei vielen SageMaker Anwendungen wird beim Starten einer SageMaker Anwendung innerhalb einer Domäne ein Bereich für die Anwendung erstellt. Wenn ein Benutzerprofil einen Bereich erstellt, nimmt dieser Bereich eine AWS Identity and Access Management (IAM) Rolle, die die Berechtigungen definiert, die diesem Bereich gewährt werden. Eine IAMRolle ist eine IAM Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM Rolle ähnelt einem IAM Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien, die festlegen, was die Identität tun kann und was nicht AWS. Anstatt jedoch eindeutig einer Person zugeordnet zu sein, soll eine Rolle von jedem übernommen werden können, der sie benötigt. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Anmerkung

Wenn Sie Amazon SageMaker Canvas oder startenRStudio, wird kein Bereich erstellt, der eine IAM Rolle übernimmt. Stattdessen ändern Sie die dem Benutzerprofil zugeordnete Rolle, um deren Berechtigungen für die Anwendung zu verwalten. Informationen zum Abrufen der Rolle eines SageMaker Benutzerprofils finden Sie unterRuft die Ausführungsrolle des Benutzers ab.

Informationen zu SageMaker Canvas finden Sie unterAmazon SageMaker Canvas einrichten und verwalten (für IT-Administratoren).

FürRStudio, sieheErstellen Sie eine SageMaker Amazon-Domain mit der RStudio App.

Benutzer können in einem gemeinsam genutzten oder privaten Bereich auf ihre SageMaker Anwendungen zugreifen.

Gemeinsam genutzte Bereiche

  • Einer Anwendung kann nur ein Bereich zugeordnet sein. Auf einen gemeinsam genutzten Bereich können alle Benutzerprofile innerhalb der Domäne zugreifen. Dadurch erhalten alle Benutzerprofile in der Domäne Zugriff auf dasselbe zugrunde liegende Dateispeichersystem für die Anwendung.

  • Dem gemeinsam genutzten Bereich werden die in der Standard-Ausführungsrolle des Spaces definierten Berechtigungen erteilt. Wenn Sie die Ausführungsrolle des gemeinsam genutzten Bereichs ändern möchten, müssen Sie die standardmäßige Ausführungsrolle des Spaces ändern.

    Informationen zum Abrufen der Standard-Ausführungsrolle für den Space finden Sie unterHolen Sie sich die Space-Ausführungsrolle.

    Informationen zum Ändern Ihrer Ausführungsrolle finden Sie unterÄndern Sie die Berechtigungen für die Ausführungsrolle.

  • Informationen zu gemeinsam genutzten Bereichen finden Sie unterArbeiten Sie in gemeinsam genutzten Bereichen zusammen.

  • Informationen zum Erstellen eines gemeinsam genutzten Bereichs finden Sie unterErstellen Sie einen gemeinsamen Bereich.

Private Bereiche

  • Einer Anwendung kann nur ein Bereich zugeordnet sein. Auf einen privaten Bereich kann nur das Benutzerprofil zugreifen, das ihn erstellt hat. Dieser Bereich kann nicht mit anderen Benutzern geteilt werden.

  • Der private Bereich übernimmt die Benutzerprofil-Ausführungsrolle des Benutzerprofils, das ihn erstellt hat. Wenn Sie die Ausführungsrolle des privaten Bereichs ändern möchten, müssen Sie die Ausführungsrolle des Benutzerprofils ändern.

    Informationen zum Abrufen der Ausführungsrolle des Benutzerprofils finden Sie unterRuft die Ausführungsrolle des Benutzers ab.

    Informationen zum Ändern Ihrer Ausführungsrolle finden Sie unterÄndern Sie die Berechtigungen für die Ausführungsrolle.

  • Alle Anwendungen, die Leerzeichen unterstützen, unterstützen auch private Bereiche.

  • Standardmäßig ist für jedes Benutzerprofil bereits ein privater Bereich für Studio Classic erstellt.

  • So erstellen Sie einen privaten Bereich in Amazon SageMaker Studio

    1. Starten Sie Amazon SageMaker Studio.

    2. Wählen Sie im linken Navigationsbereich unter Anwendungen die Anwendung aus, die Sie ausführen möchten.

    3. Wählen Sie + Bereich erstellen.

    4. Geben Sie einen Namen für Ihren Bereich ein und wählen Sie Privat.

    5. Wähle Bereich erstellen.

SageMaker Ausführungsrollen

Eine SageMaker Ausführungsrolle ist eine AWS Identity and Access Management Zugriffsmanagement-Rolle (IAM), die einer IAM Identität zugewiesen ist, die Ausführungen in SageMaker ausführt. Eine IAMIdentität ermöglicht den Zugriff auf eine AWS Konto und steht für einen menschlichen Benutzer oder einen programmatischen Workload, der authentifiziert und dann autorisiert werden kann, Aktionen auszuführen in AWS, das Berechtigungen für den Zugriff SageMaker auf andere gewährt AWS Ressourcen in Ihrem Namen. Diese Rolle ermöglicht SageMaker das Ausführen von Aktionen wie das Starten von Compute-Instances, den Zugriff auf Daten und Modellartefakte, die in Amazon S3 gespeichert sind, oder das Schreiben von Protokollen in CloudWatch. SageMaker nimmt zur Laufzeit die Ausführungsrolle an und erhält vorübergehend die in der Rollenrichtlinie definierten Berechtigungen. Die Rolle sollte die erforderlichen Berechtigungen enthalten, die definieren, welche Aktionen die Identität ausführen kann und auf welche Ressourcen die Identität Zugriff hat. Sie können verschiedenen Identitäten Rollen zuweisen, um einen flexiblen und detaillierten Ansatz für die Verwaltung von Berechtigungen und Zugriffen innerhalb Ihrer Domain bereitzustellen. Weitere Informationen zu Domänen finden Sie unter. SageMaker Amazon-Domain-Übersicht Sie können beispielsweise folgenden Personen IAM Rollen zuweisen:

  • Rolle zur Ausführung von Domänen, um allen Benutzerprofilen innerhalb der Domäne umfassende Berechtigungen zu gewähren.

  • Rolle „Space Execution“, um umfassende Berechtigungen für gemeinsam genutzte Bereiche innerhalb der Domain zu gewähren. Alle Benutzerprofile in der Domäne können auf gemeinsam genutzte Bereiche zugreifen und verwenden die Ausführungsrolle des Bereichs, solange sie sich innerhalb des gemeinsam genutzten Bereichs befinden.

  • Rolle zur Ausführung von Benutzerprofilen, um detaillierte Berechtigungen für bestimmte Benutzerprofile zu gewähren. Ein durch ein Benutzerprofil erstellter privater Bereich übernimmt die Ausführungsrolle dieses Benutzerprofils.

Auf diese Weise können Sie der Domäne die erforderlichen Berechtigungen gewähren und gleichzeitig das Prinzip der geringsten Rechte für Benutzerprofile beibehalten, um die bewährten Sicherheitsverfahren in der IAM AWS IAM Identity Center Benutzerleitfaden.

Es kann einige Minuten dauern, bis alle Änderungen oder Modifikationen an den Ausführungsrollen wirksam werden. Weitere Informationen finden Sie jeweils unter Ändern Sie Ihre Ausführungsrolle oderÄndern Sie die Berechtigungen für die Ausführungsrolle.

Beispiel für flexible Berechtigungen mit Ausführungsrollen

Mit IAMRollen können Sie Berechtigungen auf breiter und detaillierter Ebene verwalten und gewähren. Das folgende Beispiel beinhaltet die Gewährung von Berechtigungen auf Space-Ebene und Benutzerebene.

Angenommen, Sie sind ein Administrator, der eine Domäne für ein Team von Datenwissenschaftlern einrichtet. Sie können den Benutzerprofilen innerhalb der Domain vollen Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren, SageMaker Trainingsjobs ausführen und Modelle mithilfe einer Anwendung in einem gemeinsam genutzten Bereich bereitstellen. In diesem Beispiel können Sie eine IAM Rolle namens "DataScienceTeamRole" mit umfassenden Berechtigungen erstellen. Anschließend können Sie "DataScienceTeamRole" als standardmäßige Ausführungsrolle für den Space zuweisen und so Ihrem Team umfassende Berechtigungen gewähren. Wenn ein Benutzerprofil einen gemeinsam genutzten Bereich erstellt, übernimmt dieser Bereich die standardmäßige Ausführungsrolle des Bereichs. Informationen zum Zuweisen einer Ausführungsrolle zu einer vorhandenen Domäne finden Sie unterHolen Sie sich die Space-Ausführungsrolle.

Anstatt einzelnen Benutzerprofilen, die in ihrem eigenen privaten Bereich arbeiten, vollen Zugriff auf Amazon S3 S3-Buckets zu gewähren, können Sie die Berechtigungen eines Benutzerprofils einschränken und ihnen nicht erlauben, die Amazon S3 S3-Buckets zu ändern. In diesem Beispiel können Sie ihnen Lesezugriff auf Amazon S3 S3-Buckets gewähren, um Daten abzurufen, SageMaker Trainingsjobs auszuführen und Modelle in ihrem privaten Bereich bereitzustellen. Sie können eine Ausführungsrolle auf Benutzerebene mit dem Namen "DataScientistRole" mit den relativ eingeschränkteren Berechtigungen erstellen. Anschließend können Sie der Ausführungsrolle des Benutzerprofils DataScientistRole "" zuweisen und so die erforderlichen Berechtigungen für die Ausführung der spezifischen datenwissenschaftlichen Aufgaben innerhalb des definierten Bereichs gewähren. Wenn ein Benutzerprofil einen privaten Bereich erstellt, übernimmt dieser Bereich die Rolle der Benutzerausführung. Informationen zum Zuweisen einer Ausführungsrolle zu einem vorhandenen Benutzerprofil finden Sie unterRuft die Ausführungsrolle des Benutzers ab.

Informationen zu SageMaker Ausführungsrollen und dem Hinzufügen zusätzlicher Berechtigungen zu diesen Rollen finden Sie unterWie verwendet man SageMaker Ausführungsrollen.