Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifender Offline-Zugriff auf den Shop

Amazon SageMaker Feature Store ermöglicht es Benutzern, eine Feature-Gruppe in einem Konto (Konto A) zu erstellen und sie mit einem Offline-Store unter Verwendung eines Amazon S3 S3-Buckets in einem anderen Konto (Konto B) zu konfigurieren. Sie können dies mithilfe der Schritte im folgenden Abschnitt einrichten.

Schritt 1: Richten Sie die Offline-Speicher-Zugriffsrolle in Konto A ein

Richten Sie zunächst eine Rolle für Amazon SageMaker Feature Store ein, um die Daten in den Offline-Store zu schreiben. Der einfachste Weg, dies zu erreichen, besteht darin, mithilfe der AmazonSageMakerFeatureStoreAccess Richtlinie eine neue Rolle zu erstellen oder eine bestehende Rolle zu verwenden, an die die AmazonSageMakerFeatureStoreAccess Richtlinie bereits angehängt ist. In diesem Dokument wird diese Richtlinie als Account-A-Offline-Feature-Store-Role-ARN bezeichnet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        }
    ]
}   

Der vorherige Codeausschnitt zeigt die AmazonSageMakerFeatureStoreAccess Richtlinie. Der Resource Abschnitt der Richtlinie ist standardmäßig auf S3-Buckets beschränkt, deren Namen, oder enthalten SageMaker Sagemaker oder sagemaker. Das bedeutet, dass der verwendete Amazon-S3-Bucket im Offline-Speicher dieser Namenskonvention entsprechen muss. Wenn dies nicht der Fall ist oder Sie die Ressource weiter eingrenzen möchten, können Sie die Richtlinie kopieren und in Ihre Amazon-S3-Bucket-Richtlinie in der Konsole einfügen, den entsprechenden Resource Abschnitt anpassen und dann der Rolle zuordnen. arn:aws:s3:::your-offline-store-bucket-name

Darüber hinaus müssen dieser Rolle AWS KMS Berechtigungen zugewiesen sein. Sie benötigt mindestens die kms:GenerateDataKey Erlaubnis, mit Ihrem vom Kunden verwalteten Schlüssel in den Offline-Speicher schreiben zu können. In Schritt 3 erfahren Sie, warum ein vom Kunden verwalteter Schlüssel für das kontoübergreifende Szenario erforderlich ist und wie Sie ihn einrichten. Die folgende Richtlinie zeigt ein Beispiel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:Account-A-Account-Id:key/*"
        }
    ]
}

Der Resource Abschnitt dieser Richtlinie ist auf jeden Schlüssel in Konto A beschränkt. Um diesen Bereich weiter einzuschränken, kehren Sie nach der Einrichtung des KMS Offline-Store-Schlüssels in Schritt 3 zu dieser Richtlinie zurück und ersetzen Sie ihn durch den Schlüssel. ARN

Schritt 2: Richten Sie einen Amazon-S3-Bucket im Offline-Speicher in Konto B ein

Erstellen Sie einen Amazon-S3-Bucket in Konto B. Wenn Sie die AmazonSageMakerFeatureStoreAccess Standardrichtlinie verwenden, muss der Bucket-Name SageMaker,Sagemaker, oder sagemaker enthalten. Bearbeiten Sie die Bucket-Richtlinie wie im folgenden Beispiel gezeigt, damit Konto A Objekte lesen und schreiben kann.

Dieses Dokument bezieht sich auf die folgende Beispiel-Bucket-Richtlinie als Account-B-Offline-Feature-Store-Bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3CrossAccountBucketAccess",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetBucketAcl"
            ],
            "Principal": {
                "AWS": [
                    "*Account-A-Offline-Feature-Store-Role-ARN*"
                ],
            },
            "Resource": [
                "arn:aws:s3:::offline-store-bucket-name/*",
                "arn:aws:s3:::offline-store-bucket-name"
            ]
        }
    ]
} 

In der vorherigen Richtlinie ist der Principal die RolleAccount-A-Offline-Feature-Store-Role-ARN, die in Schritt 1 in Konto A erstellt und Amazon SageMaker Feature Store zur Verfügung gestellt wurde, um in den Offline-Shop zu schreiben. Unter können Sie mehrere ARN Rollen angebenPrincipal.

Schritt 3: Einrichten eines AWS KMS Offline-Speicher-Verschlüsselungsschlüssels in Konto A

Amazon SageMaker Feature Store stellt sicher, dass die serverseitige Verschlüsselung für Amazon S3 S3-Objekte im Offline-Store immer aktiviert ist. Für kontoübergreifende Anwendungsfälle müssen Sie einen vom Kunden verwalteten Schlüssel bereitstellen, sodass Sie kontrollieren können, wer in den Offline-Speicher schreiben kann (in diesem Fall Account-A-Offline-Feature-Store-Role-ARN von Konto A) und wer aus dem Offline-Speicher lesen kann (in diesem Fall Identitäten aus Konto B).

Dieses Dokument bezieht sich auf das folgende Beispiel für eine Schlüsselrichtlinie als Account-A-Offline-Feature-Store-KMS-Key-ARN.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::Account-A-Account-Id:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::Account-A-Account-Id:role/Administrator",
                ]
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow Feature Store to get information about the customer managed key",
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*Account-A-Offline-Feature-Store-Role-ARN*",
                    "*arn:aws:iam::Account-B-Account-Id:root*"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKey",
                "kms:ListAliases",
                "kms:ListGrants"
            ],
            "Resource": "*",
        }
    ]
}   

Schritt 4: Erstellen Sie eine Feature-Gruppe in Konto A

Erstellen Sie als Nächstes die Feature-Gruppe in Konto A mit einem Amazon-S3-Bucket im Offline-Speicher in Konto B. Geben Sie dazu jeweils die folgenden Parameter für RoleArn, OfflineStoreConfig.S3StorageConfig.KmsKeyId und OfflineStoreConfig.S3StorageConfig.S3Uri an: