Richten Sie kontoübergreifendes Karten-Sharing ein

Kontoübergreifender Support für Amazon SageMaker Model Cards

Verwenden Sie die kontoübergreifende Unterstützung in Amazon SageMaker Model Cards, um Modellkarten zwischen AWS Konten zu teilen. Das Konto, in dem die Modellkarten erstellt werden, ist das Modellkartenkonto. Benutzer des Modellkartenkontos teilen sie mit den gemeinsamen Konten. Die Benutzer eines gemeinsamen Kontos können die Modellkarten aktualisieren oder PDFs daraus erstellen.

Benutzer im Modellkartenkonto teilen ihre Modellkarten über AWS Resource Access Manager (AWS RAM). AWS RAM hilft Ihnen dabei, Ressourcen für mehrere AWS Konten gemeinsam zu nutzen. Eine Einführung in das AWS RAM finden Sie unter Was ist AWS Resource Access Manager?

Im Folgenden wird beschrieben, wie Modellkarten gemeinsam genutzt werden:

Ein Benutzer im Modellkartenkonto richtet das kontoübergreifende Modellkarten-Sharing mithilfe von AWS Resource Access Manager ein.
Wenn die Modellkarten mit AWS KMS Schlüsseln verschlüsselt sind, muss der Benutzer, der Model Sharing einrichtet, auch den Benutzern im gemeinsamen Konto AWS KMS Berechtigungen gewähren.
Ein Benutzer im gemeinsamen Konto akzeptiert die Einladung zur gemeinsamen Nutzung der Ressource.
Ein Benutzer im gemeinsamen Konto gewährt den anderen Benutzern Berechtigungen für den Zugriff auf die Modellkarten.

Wenn Sie ein Benutzer des Model Card-Kontos sind, finden Sie in den folgenden Abschnitten weitere Informationen:

Richten Sie kontoübergreifendes Karten-Sharing ein
Richten Sie AWS KMS Berechtigungen für das gemeinsame Konto ein
Erhalten Sie Antworten auf Ihre Einladung zur gemeinsamen Nutzung von Ressourcen

Wenn Sie ein Benutzer des gemeinsamen Kontos sind, finden Sie unter Richten Sie IAM Benutzerberechtigungen für das gemeinsame Konto ein Informationen zum Einrichten von Berechtigungen für sich selbst und die anderen Benutzer des Kontos.

Richten Sie kontoübergreifendes Karten-Sharing ein

Verwenden Sie AWS Resource Access Manager (AWS RAM), um Benutzern in Ihrem AWS Konto Zugriff auf die Anzeige oder Aktualisierung von Modellkarten zu gewähren, die in einem anderen AWS Konto erstellt wurden.

Um die gemeinsame Nutzung von Modellkarten einzurichten, müssen Sie eine Ressourcenfreigabe erstellen. Eine Ressourcenfreigabe legt fest:

Die gemeinsam genutzten Ressourcen
Wer oder was hat Zugriff auf die Ressourcen
Verwaltete Berechtigungen für die Ressourcen

Weitere Informationen zu gemeinsam genutzten Ressourcen finden Sie unter Begriffe und Konzepte für AWS RAM. Wir empfehlen Ihnen, sich die Zeit zu nehmen, um das AWS RAM Konzept zu verstehen, bevor Sie mit der Erstellung einer Resource Share beginnen.

Wichtig

Sie benötigen Berechtigungen zum Erstellen einer Ressourcenfreigabe. Weitere Informationen zu Berechtigungen finden Sie unter Wie AWS RAM funktioniert mit IAM.

Verfahren zum Erstellen einer Ressourcenfreigabe und weitere Informationen dazu finden Sie unter Erstellen einer Ressourcenfreigabe.

Wenn Sie das Verfahren zum Erstellen einer Ressourcenfreigabe ausführen, geben Sie sagemaker:ModelCard als Ressourcentyp an. Sie müssen auch die Amazon-Ressourcennummer (ARN) der AWS RAM ressourcenbasierten Richtlinie angeben. Sie können entweder die Standardrichtlinie oder die Richtlinie angeben, die über zusätzliche Berechtigungen zum Erstellen PDF einer Modellkarte verfügt.

Mit der standardmäßigen AWSRAMPermissionSageMakerModelCards ressourcenbasierten Richtlinie sind die Benutzer im gemeinsamen Konto berechtigt, die folgenden Vorgänge auszuführen:

Mit der AWSRAMPermissionSageMakerModelCardsAllowExport ressourcenbasierten Richtlinie sind die Benutzer im gemeinsamen Konto berechtigt, alle oben genannten Aktionen auszuführen. Sie sind außerdem berechtigt, einen Modellkarten-Exportauftrag zu erstellen und ihn anhand der folgenden Operationen zu beschreiben:

Die Benutzer im gemeinsamen Konto können einen Exportauftrag erstellen, um eine PDF Modellkarte zu generieren. Sie können auch einen Exportauftrag beschreiben, der PDF erstellt wurde, um Amazon S3 zu findenURI.

Modellkarten und Exportaufträge sind Ressourcen. Das Modellkartenkonto besitzt die Exportaufträge, die von einem Benutzer im gemeinsamen Konto erstellt wurden. Beispiel: Ein Benutzer in Konto A teilt die Modellkarte X mit dem gemeinsamen Konto B. Ein Benutzer in Konto B erstellt den Exportauftrag Y für Modellkarte X, der die Ausgabe an einem Amazon S3-Speicherort speichert, den der Benutzer in Konto B angibt. Obwohl Konto B den Exportauftrag Y erstellt hat, gehört er zu Konto A.

Jedes AWS Konto hat Ressourcenkontingente. Informationen zu Kontingenten im Zusammenhang mit Modellkarten finden Sie unter SageMaker Amazon-Endpunkte und Kontingente.

Richten Sie AWS KMS Berechtigungen für das gemeinsame Konto ein

Wenn die Modellkarten, die Sie teilen, mit AWS Key Management Service Schlüsseln verschlüsselt wurden, müssen Sie auch den Zugriff auf die Schlüssel mit dem gemeinsamen Konto teilen. Andernfalls können die Benutzer des gemeinsamen Kontos die Modellkarten nicht anzeigen, aktualisieren oder exportieren. Eine Übersicht über finden AWS KMS Sie unter AWS Key Management Service.

Um Benutzern im gemeinsamen Konto AWS KMS Berechtigungen zu gewähren, aktualisieren Sie Ihre wichtige Richtlinie mit der folgenden Erklärung:



{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::shared-account-id::role/example-IAM-role"
        ]
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
    ]
    "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id"
    "Condition": {
        "Bool": {"kms:GrantIsForAWSResource": true },
        "StringEquals": {
            "kms:ViaService": [
                "sagemaker.AWS-Region.amazonaws.com", 
                "s3.AWS-Region.amazonaws.com"
            ],
        },
        "StringLike": {
          "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name"
        }
    }    
}

Mit der vorstehenden Anweisung erhalten die Benutzer des gemeinsamen Kontos die Berechtigungen kms:Decrypt und kms:GenerateDataKey. Mit kms:Decrypt können Benutzer die Modellkarten entschlüsseln. Mit kms:GenerateDataKey können Benutzer die Modellkarten verschlüsseln, die sie aktualisieren oder PDFs die sie erstellen.

Erhalten Sie Antworten auf Ihre Einladung zur gemeinsamen Nutzung von Ressourcen

Nachdem Sie eine Ressourcenfreigabe erstellt haben, erhalten die gemeinsamen Konten, die Sie in der Ressourcenfreigabe angegeben haben, eine Einladung, der Ressource beizutreten. Sie müssen die Einladung annehmen, um auf die Ressourcen zugreifen zu können.

Informationen zum Annehmen einer Einladung zur gemeinsamen Nutzung von Ressourcen finden Sie unter Verwenden von gemeinsam genutzten AWS Ressourcen im AWS Resource Access Manager Manager-Benutzerhandbuch.

Richten Sie IAM Benutzerberechtigungen für das gemeinsame Konto ein

Bei den folgenden Informationen wird davon ausgegangen, dass Sie die Einladung zur gemeinsamen Nutzung von Ressourcen über das Modelkartenkonto akzeptiert haben. Weitere Informationen zum Annehmen einer Einladung zur gemeinsamen Nutzung von Ressourcen finden Sie unter Gemeinsam genutzte AWS Ressourcen verwenden.

Sie und die anderen Benutzer in Ihrem Konto verwenden eine IAM Rolle, um auf die Modellkarten zuzugreifen, die vom Modelkartenkonto aus geteilt wurden. Verwenden Sie die folgende Vorlage, um die Richtlinie der IAM Rolle zu ändern. Sie können die Vorlage für Ihren eigenen Anwendungsfall ändern.



{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeModelCard",
                 "sagemaker:UpdateModelCard",
                 "sagemaker:CreateModelCardExportJob",
                 "sagemaker:ListModelCardVersions",
                 "sagemaker:DescribeModelCardExportJob"
             ],
             "Resource": [
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0",
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*"
             ]
        },
        { 
             "Effect": "Allow", 
             "Action": "s3:PutObject",
             "Resource": "arn:aws:s3:::Amazon-S3-bucket-storing-the-pdf-of-the-model-card/model-card-name/*"
        }
    ]
}

Um auf mit verschlüsselte Modellkarten zugreifen zu können AWS KMS, müssen Sie den Benutzern in Ihrem Konto die folgenden AWS KMS Berechtigungen gewähren.



{
     "Effect": "Allow",
     "Action": [
         "kms:GenerateDataKey",
         "kms:Decrypt",
     ],
     "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id"
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Modellkarten verwalten

SageMaker APIs