Configuración de la compatibilidad entre cuentas para Canalizaciones - Amazon SageMaker
Configuración del uso compartido de canalizaciones entre cuentasPolíticas de permisos para los recursos de CanalizacionesAcceso a las entidades de canalización compartidas mediante llamadas directas a la API

Configuración de la compatibilidad entre cuentas para Canalizaciones

La compatibilidad entre cuentas para Canalizaciones de Amazon SageMaker le permite colaborar en procesos de machine learning con otros equipos u organizaciones que operan en cuentas de AWS diferentes. Al configurar el uso compartido de canalizaciones entre cuentas, puede conceder acceso controlado a las canalizaciones, permitir que otras cuentas vean los detalles de las canalizaciones, activar las ejecuciones y supervisar las ejecuciones. En el siguiente tema, se explica cómo configurar el uso compartido de canalizaciones entre cuentas, las diferentes políticas de permisos disponibles para los recursos compartidos y cómo acceder a las entidades de canalización compartidas e interactuar con ellas mediante llamadas a la API directas a SageMaker.

Configuración del uso compartido de canalizaciones entre cuentas

SageMaker utiliza AWSResource Access Manager (AWS RAM) para ayudarle a compartir de forma segura las entidades de su canalización entre cuentas.

Creación de un recurso compartido

  1. Seleccione Crear un recurso compartido a través de la Consola de AWS RAM.

  2. Al especificar los detalles del uso compartido de los recursos, elija el tipo de recurso de Canalizaciones y seleccione una o más canalizaciones que desee compartir. Al compartir una canalización con cualquier otra cuenta, también se comparten todas sus ejecuciones de forma implícita.

  3. Asocie permisos a un recurso compartido. Elija la política predeterminada de permisos de solo lectura o la política ampliada de permisos de ejecución de canalizaciones. Para obtener información más detallada, consulte Políticas de permisos para los recursos de Canalizaciones.

    nota

    Si selecciona la política ampliada de ejecución de canalización, tenga en cuenta que cualquier comando de inicio, parada y reintento invocado por las cuentas compartidas utiliza recursos de la cuenta de AWS que compartió la canalización.

  4. Utilice los ID de cuenta de AWS para especificar las cuentas a las que desea conceder acceso a los recursos compartidos.

  5. Revise la configuración del recurso compartido y seleccione Crear recurso compartido. La asociación del recurso y la entidad principal puede tardar unos minutos en completarse.

Para obtener más información, consulte Sharing your AWS resources en la Guía del usuario de AWS Resource Access Manager.

Obtención de respuestas a la invitación para compartir recursos

Una vez establecidas la cuota de recursos y las asociaciones de entidades principales, las cuentas de AWS especificadas reciben una invitación para unirse al recurso compartido. Las cuentas de AWS deben aceptar la invitación para acceder a un recurso compartido.

Para obtener más información sobre cómo aceptar una invitación a recursos compartidos a través de AWS RAM, consulte Using shared AWS resources en la Guía del usuario de AWS Resource Access Manager.

Políticas de permisos para los recursos de Canalizaciones

Al crear el recurso compartido, elija una de las dos políticas de permisos compatibles para asociarla al tipo de recurso de la canalización de SageMaker. Ambas políticas permiten el acceso a cualquier canalización seleccionada y a todas sus ejecuciones.

Permisos predeterminados de solo lectura

La política AWSRAMDefaultPermissionSageMakerPipeline permite las siguientes acciones de solo lectura:

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

Permisos ampliados de ejecución de canalización

La política AWSRAMPermissionSageMakerPipelineAllowExecution incluye todos los permisos de solo lectura de la política predeterminada y también permite que las cuentas compartidas inicien, detengan y reintenten las ejecuciones de canalizaciones.

nota

Tenga presente el uso de recursos de AWS cuando utilice la política de permisos ampliados de ejecución de canalizaciones. Con esta política, las cuentas compartidas pueden iniciar, detener y volver a intentar las ejecuciones en canalización. La cuenta propietaria consume todos los recursos utilizados para las ejecuciones de canalizaciones compartidas.

La política ampliada de permisos de ejecución de canalizaciones permite las siguientes acciones:

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

Acceso a las entidades de canalización compartidas mediante llamadas directas a la API

Una vez configurado el uso compartido de canalizaciones entre cuentas, puede llamar a las siguientes acciones de la API de SageMaker mediante un ARN de canalización:

nota

Solo puede llamar a los comandos de la API si están incluidos en los permisos asociados a su recurso compartido. Si selecciona la política AWSRAMPermissionSageMakerPipelineAllowExecution, los comandos de inicio, detención y retinto utilizan los recursos de la cuenta de AWSque compartió la canalización.