Verwenden Sie den Rollenmanager (Konsole) - Amazon SageMaker

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie den Rollenmanager (Konsole)

Sie können den Amazon SageMaker Role Manager von den folgenden Stellen in der linken Navigationsleiste der SageMaker Amazon-Konsole aus verwenden:

  • Erste Schritte – Fügen Sie schnell Berechtigungsrichtlinien für Ihre Benutzer hinzu.

  • Domains — Fügen Sie Berechtigungsrichtlinien für Benutzer innerhalb einer SageMaker Amazon-Domain hinzu.

  • Notebooks – Fügen Sie Benutzern, die Notebooks erstellen und ausführen, die geringsten Berechtigungen hinzu.

  • Training – Fügen Sie Benutzern, die Trainingsaufträge erstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

  • Inferenz – Fügen Sie Benutzern, die Inferenzmodelle bereitstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

Sie können die folgenden Verfahren verwenden, um den Prozess der Erstellung einer Rolle von verschiedenen Stellen in der SageMaker Konsole aus zu starten.

Wenn Sie die Rolle SageMaker zum ersten Mal verwenden, empfehlen wir, im Abschnitt Erste Schritte eine Rolle zu erstellen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die SageMaker Amazon-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Admin Konfigurationen aus.

  3. Wählen Sie unter Admin Konfigurationen die Option Rollenmanager aus.

  4. Wählen Sie Rolle erstellen aus.

Sie können mit dem Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung einer SageMaker Amazon-Domain beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die SageMaker Amazon-Konsole.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen.

  3. Wählen Sie unter Admin-Konfigurationen die Option Domains aus.

  4. Wählen Sie Domain erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung eines Notizbuchs beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die SageMaker Amazon-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Notebook aus.

  3. Wählen Sie Notebook instances (Notebook-Instances) aus.

  4. Wählen Sie Create notebook instance (Notebook-Instance erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung eines Schulungsjobs beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die SageMaker Amazon-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Training aus.

  3. Wählen Sie Trainingsaufträge aus.

  4. Wählen Sie Create training job (Trainingsauftrag erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Bereitstellung eines Inferenzmodells beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die SageMaker Amazon-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Inferenz aus.

  3. Wählen Sie Modelle aus.

  4. Wählen Sie Modell erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Nachdem Sie eines der vorherigen Verfahren abgeschlossen haben, können Sie die Informationen in den folgenden Abschnitten verwenden, um die Rolle zu erstellen.

Voraussetzungen

Um Amazon SageMaker Role Manager verwenden zu können, benötigen Sie die Berechtigung, eine IAM Rolle zu erstellen. Diese Berechtigung steht in der Regel ML-Administratoren und Rollen mit den geringsten Rechten für ML-Praktiker zur Verfügung.

Sie können vorübergehend eine IAM Rolle in der übernehmen, AWS Management Console indem Sie die Rollen wechseln. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter IAM Rollen verwenden im IAMBenutzerhandbuch.

Schritt 1. Geben Sie Rolleninformationen ein

Geben Sie einen Namen an, der als eindeutiges Suffix für Ihre neue SageMaker Rolle verwendet werden soll. Standardmäßig "sagemaker-" wird das Präfix jedem Rollennamen hinzugefügt, um die Suche in der IAM Konsole zu vereinfachen. Wenn Sie Ihrer Rolle beispielsweise bei test-123 der Rollenerstellung einen Namen geben, wird Ihre Rolle wie sagemaker-test-123 in der IAM Konsole angezeigt. Optional können Sie auch eine Beschreibung Ihrer Rolle hinzufügen, um zusätzliche Informationen bereitzustellen.

Wählen Sie dann eine der verfügbaren Personas aus, um Vorschläge für Berechtigungen für Personas wie Datenwissenschaftler, Dateningenieure oder Techniker für maschinelles Lernen (MLOps) zu erhalten. Informationen zu verfügbaren Personas und ihren empfohlenen Berechtigungen finden Sie unter Persönliche Referenz. Wählen Sie Benutzerdefinierte Rolleneinstellungen, um eine Rolle zu erstellen, ohne dass Ihnen vorgeschlagene Berechtigungen als Leitfaden dienen.

Anmerkung

Wir empfehlen, dass Sie zunächst den Rollenmanager verwenden, um eine SageMaker Rechenrolle zu erstellen, damit SageMaker Rechenressourcen Aufgaben wie Training und Inferenz ausführen können. Verwenden Sie die SageMaker Compute Role-Persona, um diese Rolle mit dem Rollenmanager zu erstellen. Nachdem Sie eine SageMaker Rechenrolle erstellt haben, notieren Sie sich diese ARN für die future Verwendung.

Netzwerk- und Verschlüsselungsbedingungen

Wir empfehlen Ihnen, die VPC Anpassung zu aktivieren, um VPC Konfigurationen, Subnetze und Sicherheitsgruppen mit IAM Richtlinien zu verwenden, die mit Ihrer neuen Rolle verknüpft sind. Wenn die VPC Anpassung aktiviert ist, werden IAM Richtlinien für ML-Aktivitäten, die mit VPC Ressourcen interagieren, auf den Zugriff mit den geringsten Rechten beschränkt. VPCDie Anpassung ist standardmäßig nicht aktiviert. Weitere Informationen zur empfohlenen Netzwerkarchitektur finden Sie im AWS technischen Leitfaden unter Netzwerkarchitektur.

Sie können auch einen KMS Schlüssel verwenden, um Daten für regulierte Workloads mit hochsensiblen Daten zu verschlüsseln, zu entschlüsseln und erneut zu verschlüsseln. Wenn die AWS KMS Anpassung aktiviert ist, werden IAM Richtlinien für ML-Aktivitäten, die benutzerdefinierte Verschlüsselungsschlüssel unterstützen, auf den Zugriff mit den geringsten Rechten beschränkt. Weitere Informationen finden Sie unter Verschlüsselung mit AWS KMS im AWS technischen Leitfaden.

Schritt 2. Konfigurieren von ML-Aktivitäten

Jede ML-Aktivität von Amazon SageMaker Role Manager enthält vorgeschlagene IAM Berechtigungen, um Zugriff auf relevante AWS Ressourcen zu gewähren. Bei einigen ML-Aktivitäten müssen Sie eine Servicerolle hinzufügenARNs, um die Einrichtung abzuschließen. Informationen zu vordefinierten ML-Aktivitäten und ihren Berechtigungen finden Sie unter Referenz zur ML-Aktivität. Weitere Informationen zum Hinzufügen von Servicerollen finden Sie unter Servicerollen.

Basierend auf der ausgewählten Persona sind bestimmte ML-Aktivitäten bereits ausgewählt. Sie können alle vorgeschlagenen ML-Aktivitäten abwählen oder zusätzliche Aktivitäten auswählen, um Ihre eigene Rolle zu erstellen. Wenn Sie die Persona Benutzerdefinierte Rolleneinstellungen ausgewählt haben, sind in diesem Schritt keine ML-Aktivitäten vorausgewählt.

Sie können Ihrer Rolle in weitere AWS oder vom Kunden verwaltete IAM Richtlinien hinzufügen. Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu

Servicerollen

Für einige AWS Dienste ist eine Servicerolle erforderlich, um Aktionen in Ihrem Namen ausführen zu können. Wenn Sie für die von Ihnen ausgewählte ML-Aktivität eine Servicerolle übergeben müssen, müssen Sie die ARN für diese Servicerolle angeben.

Sie können entweder eine neue Servicerolle erstellen oder eine vorhandene verwenden, z. B. eine Servicerolle, die mit der SageMaker Compute Role-Persona erstellt wurde. Sie finden die Rolle ARN einer vorhandenen Rolle, indem Sie den Rollennamen im Bereich Rollen der IAMKonsole auswählen. Weitere Informationen zu Servicerollen finden Sie unter Eine Rolle für einen AWS Dienst erstellen.

Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu

Sie können Ihrer neuen Rolle alle vorhandenen AWS oder vom Kunden verwalteten IAM Richtlinien hinzufügen. Informationen zu bestehenden SageMaker Richtlinien finden Sie unter AWS Verwaltete Richtlinien für Amazon SageMaker. Sie können Ihre bestehenden Richtlinien auch im Bereich Rollen der IAMKonsole überprüfen.

Verwenden Sie optional Tag-basierte Richtlinienbedingungen, um Metadateninformationen zuzuweisen, um Ressourcen zu kategorisieren und zu verwalten AWS . Jedes Tag wird durch ein Schlüssel-Wert-Paar repräsentiert. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Rolle überprüfen

Nehmen Sie sich Zeit, um alle Informationen zu Ihrer neuen Rolle zu überprüfen. Wählen Sie Zurück, um zurückzugehen und die Informationen zu bearbeiten. Wenn Sie bereit sind, Ihre Rolle zu erstellen, wählen Sie Rolle erstellen. Dadurch wird eine Rolle mit Berechtigungen für Ihre ausgewählten ML-Aktivitäten generiert. Sie können Ihre neue Rolle im Bereich Rollen der Konsole einsehen. IAM