Configura el soporte multicuenta para Pipelines - Amazon SageMaker
Configuración del uso compartido de canalizaciones entre cuentasPolíticas de permisos para los recursos de PipelinesAcceda a las entidades de canalización compartidas mediante llamadas directas API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configura el soporte multicuenta para Pipelines

El soporte multicuenta para Amazon SageMaker Pipelines le permite colaborar en procesos de aprendizaje automático con otros equipos u organizaciones que operan en cuentas diferentes. AWS Al configurar el uso compartido de canalizaciones entre cuentas, puede conceder acceso controlado a las canalizaciones, permitir que otras cuentas vean los detalles de las canalizaciones, activar las ejecuciones y supervisar las ejecuciones. En el siguiente tema se explica cómo configurar el uso compartido de canalizaciones entre cuentas, las diferentes políticas de permisos disponibles para los recursos compartidos y cómo acceder a las entidades de canalización compartidas e interactuar con ellas mediante llamadas directas API a. SageMaker

Configuración del uso compartido de canalizaciones entre cuentas

SageMaker usa AWS Resource Access Manager (AWS RAM) para ayudarte a compartir de forma segura las entidades de tu canalización entre cuentas.

Creación de un recurso compartido

  1. Seleccione Crear un recurso compartido a través de la Consola de AWS RAM.

  2. Al especificar los detalles del recurso compartido, elige el tipo de recurso Canalizaciones y selecciona una o más canalizaciones que quieras compartir. Al compartir una canalización con cualquier otra cuenta, también se comparten todas sus ejecuciones de forma implícita.

  3. Asocie permisos a un recurso compartido. Elija la política predeterminada de permisos de solo lectura o la política ampliada de permisos de ejecución de canalizaciones. Para obtener información más detallada, consulte Políticas de permisos para los recursos de Pipelines.

    nota

    Si seleccionas la política de ejecución de canalización extendida, ten en cuenta que cualquier comando de inicio, parada y reintento invocado por cuentas compartidas utiliza recursos de la AWS cuenta que compartió la canalización.

  4. Usa la AWS cuenta IDs para especificar las cuentas a las que quieres conceder acceso a tus recursos compartidos.

  5. Revise la configuración del recurso compartido y seleccione Crear recurso compartido. La asociación del recurso y la entidad principal puede tardar unos minutos en completarse.

Para obtener más información, consulte Compartir sus AWS recursos en la Guía del usuario AWS de Resource Access Manager.

Obtención de respuestas a la invitación para compartir recursos

Una vez que se hayan establecido el recurso compartido y las asociaciones principales, las AWS cuentas especificadas recibirán una invitación para unirse al recurso compartido. Las AWS cuentas deben aceptar la invitación para acceder a cualquier recurso compartido.

Para obtener más información sobre cómo aceptar una invitación para compartir recursos AWS RAM, consulte Uso de AWS recursos compartidos en la Guía del usuario de AWS Resource Access Manager.

Políticas de permisos para los recursos de Pipelines

Al crear tu recurso compartido, elige una de las dos políticas de permisos compatibles para asociarla al tipo de recurso de SageMaker canalización. Ambas políticas permiten el acceso a cualquier canalización seleccionada y a todas sus ejecuciones.

Permisos predeterminados de solo lectura

La política AWSRAMDefaultPermissionSageMakerPipeline permite las siguientes acciones de solo lectura:

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

Permisos ampliados de ejecución de canalización

La política AWSRAMPermissionSageMakerPipelineAllowExecution incluye todos los permisos de solo lectura de la política predeterminada y también permite que las cuentas compartidas inicien, detengan y reintenten las ejecuciones de canalizaciones.

nota

Ten en cuenta el uso de los AWS recursos cuando utilices la política de permisos de ejecución ampliados de canalización. Con esta política, las cuentas compartidas pueden iniciar, detener y volver a intentar las ejecuciones en canalización. La cuenta propietaria consume todos los recursos utilizados para las ejecuciones de canalizaciones compartidas.

La política ampliada de permisos de ejecución de canalizaciones permite las siguientes acciones:

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

Acceda a las entidades de canalización compartidas mediante llamadas directas API

Una vez que hayas configurado el uso compartido de canalizaciones entre cuentas, puedes realizar las siguientes SageMaker API acciones mediante una canalizaciónARN:

nota

Solo puedes invocar API comandos si están incluidos en los permisos asociados a tu recurso compartido. Si seleccionas la AWSRAMPermissionSageMakerPipelineAllowExecution política, los comandos de inicio, parada y reintento utilizan los recursos de la AWS cuenta que compartió la canalización.