Richten Sie IAM Berechtigungen ein für MLflow

Sie müssen die erforderlichen IAM Servicerollen konfigurieren, um mit Amazon MLflow zu beginnen SageMaker.

Wenn Sie eine neue SageMaker Amazon-Domain für den Zugriff auf Ihre Experimente in Studio erstellen, können Sie die erforderlichen IAM Berechtigungen bei der Domaineinrichtung konfigurieren. Weitere Informationen finden Sie unter Richten Sie MLflow IAM Berechtigungen ein, wenn Sie eine neue Domain erstellen.

Informationen zum Einrichten von Berechtigungen mithilfe der IAM Konsole finden Sie unterErstellen Sie die erforderlichen IAM Servicerollen in der IAM Konsole.

Sie müssen die Autorisierungskontrollen für sagemaker-mlflow Aktionen konfigurieren. Sie können optional detailliertere Autorisierungskontrollen definieren, um MLflow aktionsspezifische Berechtigungen zu regeln. Weitere Informationen finden Sie unter Erstellen Sie aktionsspezifische Autorisierungskontrollen.

Richten Sie MLflow IAM Berechtigungen ein, wenn Sie eine neue Domain erstellen

Wenn Sie eine neue SageMaker Amazon-Domain für Ihre Organisation einrichten, können Sie die IAM Berechtigungen für Ihre Domain-Servicerolle in den Einstellungen „Benutzer“ und „ML-Aktivitäten“ konfigurieren.

Die folgenden MLflow ML-Aktivitäten sind in Amazon SageMaker Role Manager verfügbar:

Weitere Informationen zu ML-Aktivitäten im Rollenmanager finden Sie unterReferenz zur ML-Aktivität.

Erstellen Sie die erforderlichen IAM Servicerollen in der IAM Konsole

Wenn Sie Ihre Domain-Servicerolle nicht erstellt oder aktualisiert haben, müssen Sie stattdessen die folgenden Servicerollen in der IAM Konsole erstellen, um einen MLflow Tracking-Server zu erstellen und zu verwenden:

IAMRichtlinien für die IAM Tracking-Server-Server-Server-Serverrolle

Die IAM Tracking-Server-Server-Server-Serverrolle wird vom Tracking-Server verwendet, um auf die benötigten Ressourcen wie Amazon S3 und die SageMaker Model Registry zuzugreifen.

Verwenden Sie bei der Erstellung der IAM Tracking-Server-Server-Server-Server-Serverrolle die folgende IAM Vertrauensrichtlinie:

{
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Fügen Sie in der IAM Konsole Ihrer Tracking-Server-Servicerolle die folgende Berechtigungsrichtlinie hinzu:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

IAMRichtlinie für die SageMaker IAM Servicerolle

Die SageMaker Servicerolle wird vom Client verwendet, der auf den MLflow Tracking-Server zugreift, und benötigt Zugriffsberechtigungen MLflow RESTAPIs. Die SageMaker Servicerolle benötigt außerdem SageMaker API Berechtigungen zum Erstellen, Aktualisieren, Starten, Stoppen und Löschen von Tracking-Servern.

Sie können eine neue Rolle erstellen oder eine bestehende Rolle aktualisieren. Für die SageMaker Servicerolle ist die folgende Richtlinie erforderlich:

{
    "Version": "2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Erstellen Sie aktionsspezifische Autorisierungskontrollen

Sie müssen Autorisierungskontrollen für einrichten und können optional aktionsspezifische Autorisierungskontrollen konfigurierensagemaker-mlflow, um detailliertere MLflow Berechtigungen zu regeln, die Ihre Benutzer auf einem Tracking-Server haben. MLflow

Mit dem folgenden Befehl wird eine Datei mit dem Namen erstelltmlflow-policy.json, die Ihrem Tracking-Server IAM Berechtigungen für alle verfügbaren SageMaker MLflow Aktionen gewährt. Sie können die Berechtigungen eines Benutzers optional einschränken, indem Sie die spezifischen Aktionen auswählen, die dieser Benutzer ausführen soll. Für eine Liste der verfügbaren Aktionen sieheIAMunterstützte Aktionen für MLflow.

# Replace "Resource":"*" with "Resource":"TrackingServerArn" 
# Replace "sagemaker-mlflow:*" with specific actions

printf '{
    "Version": "2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": "sagemaker-mlflow:*",            
            "Resource": "*"        
        }        
    ]
}' > mlflow-policy.json

Verwenden Sie die mlflow-policy.json Datei, um eine IAM Richtlinie mit dem zu erstellen AWS CLI.

aws iam create-policy \
  --policy-name MLflowPolicy \
  --policy-document file://mlflow-policy.json

Rufen Sie Ihre Konto-ID ab und fügen Sie die Richtlinie Ihrer IAM Rolle hinzu.

# Get your account ID
aws sts get-caller-identity

# Attach the IAM policy using your exported role and account ID
aws iam attach-role-policy \
  --role-name $role_name \
  --policy-arn arn:aws:iam::123456789012:policy/MLflowPolicy

IAMunterstützte Aktionen für MLflow

Die folgenden SageMaker MLflow Aktionen werden für die Autorisierungszugriffskontrolle unterstützt: