Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar el soporte multicuenta para Amazon SageMaker Model Cards
Utiliza el soporte multicuenta de Amazon SageMaker Model Cards para compartir modelos de tarjetas entre AWS cuentas. La cuenta en la que se crean las tarjetas de modelos es la cuenta de la tarjeta de modelo. Los usuarios de la cuenta de la tarjeta de modelo las comparten con las cuentas compartidas. Los usuarios de una cuenta compartida pueden actualizar las tarjetas modelo o PDFs crearlas.
Los usuarios de la cuenta de tarjetas modelo comparten sus tarjetas modelo mediante AWS Resource Access Manager (AWS RAM). AWS RAM le ayuda a compartir recursos entre AWS cuentas. Para ver una introducción AWS RAM, consulta ¿Qué es AWS Resource Access Manager?
El siguiente es el proceso para compartir tarjetas de modelos:
-
Un usuario de la cuenta de la tarjeta de modelo configura la tarjeta de modelo compartida entre cuentas mediante AWS Resource Access Manager.
-
Si las tarjetas modelo están cifradas con AWS KMS claves, el usuario que configure el uso compartido de modelos también debe proporcionar AWS KMS permisos a los usuarios de la cuenta compartida.
-
Un usuario de la cuenta compartida acepta la invitación al recurso compartido.
-
Un usuario de la cuenta compartida proporciona a los demás usuarios permisos para acceder a las tarjetas de modelos.
Si es usuario de la cuenta de la tarjeta de modelo, consulte las siguientes secciones:
Si es usuario de la cuenta compartida, consulte Configure los permisos de IAM usuario en la cuenta compartida sobre cómo configurar sus permisos y los de los demás usuarios de la cuenta.
Configuración del uso compartido de tarjetas de modelos entre cuentas
Utilice AWS Resource Access Manager (AWS RAM) para conceder a los usuarios de su AWS cuenta acceso a ver o actualizar las tarjetas modelo creadas en una AWS cuenta diferente.
Para configurar el uso compartido de tarjetas de modelos, debe crear un recurso compartido. Un recurso compartido especifica:
-
Los recursos que se comparten
-
Quién o qué tiene acceso a los recursos
-
Permisos administrados para los recursos
Para obtener más información sobre los recursos compartidos, consulte Terms and concepts for AWS RAM. Te recomendamos que te tomes el tiempo necesario para entenderlo AWS RAM conceptualmente antes de iniciar el proceso de creación de un recurso compartido.
importante
Debe disponer de los permisos adecuados para crear un recurso compartido. Para obtener más información sobre los permisos, consulte Cómo AWS RAM funciona con IAM.
Para conocer los procedimientos para crear un recurso compartido y obtener información adicional sobre ellos, consulte Create a resource share.
Al realizar el procedimiento de creación de un recurso compartido, debe especificar sagemaker:ModelCard como tipo de recurso. También debe especificar el número de recurso de Amazon (ARN) de la política AWS RAM basada en recursos. Puede especificar la política predeterminada o la política que tiene permisos adicionales para crear una PDF tarjeta modelo.
Con la política predeterminada basada en recursos AWSRAMPermissionSageMakerModelCards, los usuarios de la cuenta compartida tienen permisos para realizar las siguientes operaciones:
Con la política basada en recursos AWSRAMPermissionSageMakerModelCardsAllowExport, los usuarios de la cuenta compartida tienen permisos para realizar todas las acciones anteriores. También tienen permisos para crear un trabajo de exportación de tarjetas de modelos y describirlo mediante las siguientes operaciones:
Los usuarios de la cuenta compartida pueden crear un trabajo de exportación para generar un modelo PDF de tarjeta. También pueden describir un trabajo de exportación que se creó para encontrar PDF el Amazon S3URI.
Las tarjetas de modelos y los trabajos de exportación son recursos. La cuenta de la tarjeta de modelo es propietaria de los trabajos de exportación creados por un usuario en la cuenta compartida. Por ejemplo, un usuario de la cuenta A comparte la tarjeta de modelo X con la cuenta compartida B. Un usuario de la cuenta B crea el trabajo de exportación Y para la tarjeta de modelo X que almacena el resultado en una ubicación de Amazon S3 que especifique el usuario de la cuenta B. Aunque la cuenta B creó el trabajo de exportación Y, pertenece a la cuenta A.
Cada AWS cuenta tiene cuotas de recursos. Para obtener información sobre las cuotas relacionadas con los modelos de tarjetas, consulta los SageMaker puntos de destino y las cuotas de Amazon.
Configura AWS KMS los permisos para la cuenta compartida
Si las tarjetas modelo que compartes se han cifrado con AWS Key Management Service claves, también tendrás que compartir el acceso a las claves con la cuenta compartida. De lo contrario, los usuarios de la cuenta compartida no podrán ver, actualizar ni exportar las tarjetas de modelos. Para obtener una descripción general de AWS KMS, consulte AWS Key Management Service.
Para conceder AWS KMS permisos a los usuarios de la cuenta compartida, actualiza tu política de claves con la siguiente declaración:
{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::shared-account-id::role/example-IAM-role" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ] "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id" "Condition": { "Bool": {"kms:GrantIsForAWSResource": true }, "StringEquals": { "kms:ViaService": [ "sagemaker.AWS-Region.amazonaws.com", "s3.AWS-Region.amazonaws.com" ], }, "StringLike": { "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name" } } }
La instrucción anterior proporciona permisos kms:Decrypt y kms:GenerateDataKeya los usuarios de la cuenta compartida. Con kms:Decrypt, los usuarios pueden descifrar las tarjetas de modelos. Conkms:GenerateDataKey, los usuarios pueden cifrar los modelos de tarjetas que actualizan o crean. PDFs
Obtención de respuestas a la invitación para compartir recursos
Una vez que haya creado un recurso compartido, las cuentas compartidas que haya especificado en el recurso compartido recibirán una invitación para unirse a él. Deben aceptar la invitación para acceder a los recursos.
Para obtener información sobre cómo aceptar una invitación para compartir recursos, consulte Uso de AWS recursos compartidos en la Guía del usuario de AWS Resource Access Manager.
Configure los permisos de IAM usuario en la cuenta compartida
La siguiente información supone que has aceptado la invitación a compartir recursos de la cuenta de tarjeta de modelo. Para obtener más información sobre cómo aceptar una invitación para compartir recursos, consulte Uso de AWS recursos compartidos.
Usted y los demás usuarios de su cuenta utilizan un IAM rol para acceder a las tarjetas modelo compartidas desde la cuenta de la tarjeta modelo. Usa la siguiente plantilla para cambiar la política del IAM rol. Puede modificar la plantilla para su propio caso de uso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeModelCard", "sagemaker:UpdateModelCard", "sagemaker:CreateModelCardExportJob", "sagemaker:ListModelCardVersions", "sagemaker:DescribeModelCardExportJob" ], "Resource": [ "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0", "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*" ] }, { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*" } ] }
Para acceder a las tarjetas modelo cifradas AWS KMS, debe proporcionar a los usuarios de su cuenta los siguientes AWS KMS permisos.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id" }
