Verwenden Sie den Rollenmanager (Konsole) - Amazon SageMaker KI
VoraussetzungenSchritt 1. Geben Sie Rolleninformationen einSchritt 2. Konfigurieren von ML-AktivitätenSchritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzuRolle überprüfen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie den Rollenmanager (Konsole)

Sie können den Amazon SageMaker Role Manager von den folgenden Stellen in der linken Navigationsleiste der Amazon SageMaker AI-Konsole aus verwenden:

  • Erste Schritte – Fügen Sie schnell Berechtigungsrichtlinien für Ihre Benutzer hinzu.

  • Domains — Fügen Sie Berechtigungsrichtlinien für Benutzer innerhalb einer Amazon SageMaker AI-Domain hinzu.

  • Notebooks – Fügen Sie Benutzern, die Notebooks erstellen und ausführen, die geringsten Berechtigungen hinzu.

  • Training – Fügen Sie Benutzern, die Trainingsaufträge erstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

  • Inferenz – Fügen Sie Benutzern, die Inferenzmodelle bereitstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

Sie können die folgenden Verfahren verwenden, um den Prozess der Erstellung einer Rolle von verschiedenen Stellen in der SageMaker AI-Konsole aus zu starten.

Wenn Sie SageMaker KI zum ersten Mal verwenden, empfehlen wir, im Abschnitt Erste Schritte eine Rolle zu erstellen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die Amazon SageMaker AI-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Admin Konfigurationen aus.

  3. Wählen Sie unter Admin Konfigurationen die Option Rollenmanager aus.

  4. Wählen Sie Rolle erstellen aus.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung einer Amazon SageMaker AI-Domain beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die Amazon SageMaker AI-Konsole.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen.

  3. Wählen Sie unter Admin-Konfigurationen die Option Domains aus.

  4. Wählen Sie Domain erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung eines Notizbuchs beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die Amazon SageMaker AI-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Notebook aus.

  3. Wählen Sie Notebook instances (Notebook-Instances) aus.

  4. Wählen Sie Create notebook instance (Notebook-Instance erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung eines Schulungsjobs beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die Amazon SageMaker AI-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Training aus.

  3. Wählen Sie Trainingsaufträge aus.

  4. Wählen Sie Create training job (Trainingsauftrag erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Bereitstellung eines Inferenzmodells beginnen.

Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.

  1. Öffnen Sie die Amazon SageMaker AI-Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Inferenz aus.

  3. Wählen Sie Modelle aus.

  4. Wählen Sie Modell erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Nachdem Sie eines der vorherigen Verfahren abgeschlossen haben, können Sie die Informationen in den folgenden Abschnitten verwenden, um die Rolle zu erstellen.

Voraussetzungen

Um Amazon SageMaker Role Manager verwenden zu können, benötigen Sie die Berechtigung, eine IAM-Rolle zu erstellen. Diese Berechtigung steht in der Regel ML-Administratoren und Rollen mit den geringsten Rechten für ML-Praktiker zur Verfügung.

Sie können vorübergehend eine IAM-Rolle in der übernehmen, AWS Management Console indem Sie die Rollen wechseln. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen im IAM-Benutzerhandbuch.

Schritt 1. Geben Sie Rolleninformationen ein

Geben Sie einen Namen an, der als eindeutiges Suffix für Ihre neue SageMaker KI-Rolle verwendet werden soll. Standardmäßig wird das Präfix "sagemaker-" jedem Rollennamen hinzugefügt, um die Suche in der IAM-Konsole zu vereinfachen. Wenn Sie Ihre Rolle beispielsweise test-123 bei der Rollenerstellung benennen, wird Ihre Rolle wie sagemaker-test-123 in der IAM-Konsole angezeigt. Optional können Sie auch eine Beschreibung Ihrer Rolle hinzufügen, um zusätzliche Informationen bereitzustellen.

Wählen Sie dann eine der verfügbaren Personas aus, um vorgeschlagene Berechtigungen für Personas wie Datenwissenschaftler, Dateningenieure oder Techniker für maschinelles Lernen () MLOps zu erhalten. Informationen zu verfügbaren Personas und ihren empfohlenen Berechtigungen finden Sie unter Persönliche Referenz. Wählen Sie Benutzerdefinierte Rolleneinstellungen, um eine Rolle zu erstellen, ohne dass Ihnen vorgeschlagene Berechtigungen als Leitfaden dienen.

Anmerkung

Wir empfehlen, dass Sie zunächst den Rollenmanager verwenden, um eine SageMaker KI-Rechenrolle zu erstellen, damit SageMaker KI-Rechenressourcen Aufgaben wie Training und Inferenz ausführen können. Verwenden Sie die SageMaker KI Compute Role-Persona, um diese Rolle mit dem Rollenmanager zu erstellen. Notieren Sie sich nach dem Erstellen einer SageMaker KI-Rechenrolle deren ARN für die future Verwendung.

Netzwerk- und Verschlüsselungsbedingungen

Wir empfehlen Ihnen, die VPC-Anpassung zu aktivieren, um VPC-Konfigurationen, Subnetze und Sicherheitsgruppen mit IAM-Richtlinien zu verwenden, die Ihrer neuen Rolle zugeordnet sind. Wenn die VPC-Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die mit VPC-Ressourcen interagieren, auf den Zugriff mit den geringsten Rechten beschränkt. Die VPC-Anpassung ist standardmäßig nicht aktiviert. Weitere Informationen zur empfohlenen Netzwerkarchitektur finden Sie im AWS technischen Leitfaden unter Netzwerkarchitektur.

Sie können einen KMS-Schlüssel auch zum Verschlüsseln, Entschlüsseln und erneuten Verschlüsseln von Daten für regulierte Workloads mit hochsensiblen Daten verwenden. Wenn die AWS KMS Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die benutzerdefinierte Verschlüsselungsschlüssel unterstützen, auf den Zugriff mit den geringsten Rechten beschränkt. Weitere Informationen finden Sie unter Verschlüsselung mit AWS KMS im AWS technischen Leitfaden.

Schritt 2. Konfigurieren von ML-Aktivitäten

Jede ML-Aktivität von Amazon SageMaker Role Manager enthält empfohlene IAM-Berechtigungen, um Zugriff auf relevante AWS Ressourcen zu gewähren. Bei einigen ML-Aktivitäten müssen Sie eine Servicerolle hinzufügen ARNs , um die Einrichtung abzuschließen. Informationen zu vordefinierten ML-Aktivitäten und ihren Berechtigungen finden Sie unter Referenz zur ML-Aktivität. Weitere Informationen zum Hinzufügen von Servicerollen finden Sie unter Servicerollen.

Basierend auf der ausgewählten Persona sind bestimmte ML-Aktivitäten bereits ausgewählt. Sie können alle vorgeschlagenen ML-Aktivitäten abwählen oder zusätzliche Aktivitäten auswählen, um Ihre eigene Rolle zu erstellen. Wenn Sie die Persona Benutzerdefinierte Rolleneinstellungen ausgewählt haben, sind in diesem Schritt keine ML-Aktivitäten vorausgewählt.

Sie können Ihrer Rolle in weitere AWS oder vom Kunden verwaltete IAM-Richtlinien hinzufügen. Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu

Servicerollen

Für einige AWS Dienste ist eine Servicerolle erforderlich, um Aktionen in Ihrem Namen ausführen zu können. Wenn die von Ihnen ausgewählte ML-Aktivität erfordert, dass Sie eine Servicerolle übergeben, müssen Sie den ARN für diese Servicerolle angeben.

Sie können entweder eine neue Servicerolle erstellen oder eine vorhandene verwenden, z. B. eine Servicerolle, die mit der SageMaker AI Compute Role-Persona erstellt wurde. Sie finden den ARN einer vorhandenen Rolle, indem Sie den Rollennamen im Abschnitt Rollen der IAM-Konsole auswählen. Weitere Informationen zu Servicerollen finden Sie unter Eine Rolle für einen AWS Dienst erstellen.

Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu

Sie können Ihrer neuen Rolle alle vorhandenen AWS oder vom Kunden verwalteten IAM-Richtlinien hinzufügen. Informationen zu bestehenden SageMaker KI-Richtlinien finden Sie unter AWS Verwaltete Richtlinien für Amazon SageMaker AI. Sie können Ihre bestehenden Richtlinien auch im Bereich Rollen der IAM-Konsole überprüfen.

Verwenden Sie optional Tag-basierte Richtlinienbedingungen, um Metadateninformationen zuzuweisen, um Ressourcen zu kategorisieren und zu verwalten AWS . Jedes Tag wird durch ein Schlüssel-Wert-Paar repräsentiert. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Rolle überprüfen

Nehmen Sie sich Zeit, um alle Informationen zu Ihrer neuen Rolle zu überprüfen. Wählen Sie Zurück, um zurückzugehen und die Informationen zu bearbeiten. Wenn Sie bereit sind, Ihre Rolle zu erstellen, wählen Sie Rolle erstellen. Dadurch wird eine Rolle mit Berechtigungen für Ihre ausgewählten ML-Aktivitäten generiert. Sie können Ihre neue Rolle im Bereich Rollen der IAM-Konsole einsehen.