Descripción de los permisos del espacio de dominio y las funciones de ejecución - Amazon SageMaker
SageMaker funciones de ejecuciónEjemplo de permisos flexibles con funciones de ejecución

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de los permisos del espacio de dominio y las funciones de ejecución

Un SageMaker dominio de Amazon es un entorno para que tu equipo acceda a SageMaker los recursos. Un dominio simplifica la administración de las aplicaciones, los recursos y los permisos de aprendizaje automático (ML) para los perfiles de usuario del dominio. Puede acceder a SageMaker aplicaciones, como el editor de código, basado en códigoOSS, Visual Studio Code (código abierto) y Studio Classic JupyterLabRStudio, a través de su dominio. Para obtener más información sobre los dominios, consulteDescripción general SageMaker del dominio de Amazon.

En el caso de muchas SageMaker aplicaciones, al iniciar una SageMaker aplicación dentro de un dominio, se crea un espacio para la aplicación. Cuando un perfil de usuario crea un espacio, ese espacio asume una AWS Identity and Access Management (IAM) función que define los permisos otorgados a ese espacio. Un IAMrol es una IAM identidad que puedes crear en tu cuenta y que tiene permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es un AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de estar asociado únicamente a una persona, se pretende que un rol lo pueda asumir cualquier persona que lo necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

nota

Cuando pones en marcha Amazon SageMaker Canvas oRStudio, no crea un espacio que asuma una IAM función. En su lugar, puede cambiar el rol asociado al perfil de usuario para administrar sus permisos en la aplicación. Para obtener información sobre cómo obtener el rol de un perfil de SageMaker usuario, consulteObtenga el rol de ejecución del usuario.

Para SageMaker Canvas, consulteConfiguración y administración de Amazon SageMaker Canvas (para administradores de TI).

ParaRStudio, consulteCrea un SageMaker dominio de Amazon con la aplicación RStudio.

Los usuarios pueden acceder a sus SageMaker aplicaciones en un espacio compartido o privado.

Espacios compartidos

  • Solo puede haber un espacio asociado a una aplicación. Todos los perfiles de usuario del dominio pueden acceder a un espacio compartido. Esto otorga a todos los perfiles de usuario del dominio acceso al mismo sistema de almacenamiento de archivos subyacente para la aplicación.

  • Al espacio compartido se le concederán los permisos definidos por la función de ejecución predeterminada del espacio. Si desea modificar la función de ejecución del espacio compartido, debe modificar la función de ejecución predeterminada del espacio.

    Para obtener información sobre cómo obtener la función de ejecución predeterminada del espacio, consulteObtenga el rol de ejecución de Space.

    Para obtener información sobre cómo modificar la función de ejecución, consulteModifique los permisos del rol de ejecución.

  • Para obtener información sobre los espacios compartidos, consulteColaboración con espacios compartidos.

  • Para crear un espacio compartido, consulteCreación de un espacio compartido.

Espacios privados

  • Solo puede haber un espacio asociado a una aplicación. Solo el perfil de usuario que lo creó puede acceder a un espacio privado. Este espacio no se puede compartir con otros usuarios.

  • El espacio privado asumirá la función de ejecución del perfil de usuario del perfil de usuario que lo creó. Si desea modificar la función de ejecución del espacio privado, debe modificar la función de ejecución del perfil de usuario.

    Para obtener información sobre cómo obtener la función de ejecución del perfil de usuario, consulteObtenga el rol de ejecución del usuario.

    Para obtener información sobre cómo modificar la función de ejecución, consulteModifique los permisos del rol de ejecución.

  • Todas las aplicaciones que admiten espacios también admiten espacios privados.

  • De forma predeterminada, ya se ha creado un espacio privado para Studio Classic para cada perfil de usuario.

  • Para crear un espacio privado en Amazon SageMaker Studio

    1. Lanza Amazon SageMaker Studio.

    2. En el panel de navegación izquierdo, elija la aplicación que desee ejecutar en Aplicaciones.

    3. Seleccione + Crear espacio.

    4. Escribe un nombre para tu espacio y selecciona Privado.

    5. Selecciona Crear espacio.

SageMaker funciones de ejecución

Un rol SageMaker de ejecución es un AWS Función de Identity and Access Management (IAM) que se asigna a una IAM identidad en la que se realizan ejecuciones SageMaker. Una IAMidentidad proporciona acceso a un AWS cuenta y representa un usuario humano o una carga de trabajo programática que se puede autenticar y, a continuación, autorizar para realizar acciones en AWS, que otorga permisos para acceder SageMaker a otros AWS recursos en su nombre. Esta función permite SageMaker realizar acciones como lanzar instancias de cómputo, acceder a los datos y artefactos del modelo almacenados en Amazon S3 o escribir registros en ellos CloudWatch. SageMaker asume la función de ejecución en tiempo de ejecución y se le conceden temporalmente los permisos definidos en la política de la función. El rol debe contener los permisos necesarios que definan las acciones que la identidad puede realizar y los recursos a los que tiene acceso la identidad. Puede asignar funciones a varias identidades para ofrecer un enfoque flexible y detallado a la hora de gestionar los permisos y el acceso dentro de su dominio. Para obtener más información sobre los dominios, consulteDescripción general SageMaker del dominio de Amazon. Por ejemplo, puede asignar IAM funciones a:

  • Función de ejecución de dominio para conceder amplios permisos a todos los perfiles de usuario del dominio.

  • Función de ejecución de espacios para conceder amplios permisos a un espacio compartido dentro del dominio. Todos los perfiles de usuario del dominio pueden acceder a los espacios compartidos y utilizarán la función de ejecución del espacio mientras estén dentro del espacio compartido.

  • Función de ejecución de perfiles de usuario para conceder permisos detallados a perfiles de usuario específicos. Un espacio privado creado por un perfil de usuario asumirá la función de ejecución de ese perfil de usuario.

Esto le permite conceder los permisos necesarios al dominio y, al mismo tiempo, mantener el principio de los permisos con el mínimo privilegio para los perfiles de usuario, a fin de cumplir con las mejores prácticas de seguridad del IAM AWS IAM Identity Center Guía del usuario.

Cualquier cambio o modificación en las funciones de ejecución puede tardar unos minutos en propagarse. Para obtener más información, consulte Cambie su función de ejecución oModifique los permisos del rol de ejecución, respectivamente.

Ejemplo de permisos flexibles con funciones de ejecución

Con IAMlos roles, puede administrar y conceder permisos a niveles amplios y detallados. El siguiente ejemplo incluye la concesión de permisos a nivel de espacio y a nivel de usuario.

Supongamos que es un administrador que configura un dominio para un equipo de científicos de datos. Puede permitir que los perfiles de usuario del dominio tengan acceso completo a los buckets de Amazon Simple Storage Service (Amazon S3), SageMaker realicen trabajos de formación e implementen modelos mediante una aplicación en un espacio compartido. En este ejemplo, puede crear un IAM rol denominado DataScienceTeamRole "» con amplios permisos. Luego, puedes asignar «DataScienceTeamRole» como el rol de ejecución predeterminado del espacio, lo que otorga amplios permisos a tu equipo. Cuando un perfil de usuario crea un espacio compartido, ese espacio asumirá la función de ejecución predeterminada del espacio. Para obtener información sobre la asignación de una función de ejecución a un dominio existente, consulteObtenga el rol de ejecución de Space.

En lugar de permitir que cualquier perfil de usuario individual que trabaje en su propio espacio privado tenga acceso completo a los buckets de Amazon S3, puede restringir los permisos de un perfil de usuario y no permitir que modifique los buckets de Amazon S3. En este ejemplo, puede darles acceso de lectura a los buckets de Amazon S3 para recuperar datos, ejecutar tareas de SageMaker formación e implementar modelos en su espacio privado. Puede crear un rol de ejecución a nivel de usuario denominado «DataScientistRole» con los permisos relativamente más limitados. A continuación, puede asignar «DataScientistRole» al rol de ejecución del perfil de usuario, otorgándole los permisos necesarios para realizar sus tareas específicas de ciencia de datos dentro del ámbito definido. Cuando un perfil de usuario crea un espacio privado, ese espacio asumirá la función de ejecución del usuario. Para obtener información sobre la asignación de una función de ejecución a un perfil de usuario existente, consulteObtenga el rol de ejecución del usuario.

Para obtener información sobre las funciones de SageMaker ejecución y cómo añadirles permisos adicionales, consulteCómo utilizar las funciones SageMaker de ejecución.