Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Configure aplicaciones de IA asociadas

PDF
RSS
Modo de enfoque
Configure aplicaciones de IA asociadas - Amazon SageMaker AI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

En los siguientes temas se describen los permisos necesarios para empezar a utilizar Amazon SageMaker Partner AI Apps. Los permisos necesarios se dividen en dos partes, según el nivel de permisos del usuario:

  • Permisos administrativos: permisos para los administradores que configuran entornos de científicos de datos y desarrolladores de aprendizaje automático (ML).

    • AWS Marketplace

    • Socio: gestión de aplicaciones de IA

    • AWS License Manager

  • Permisos de usuario: permisos para científicos de datos y desarrolladores de aprendizaje automático.

    • Autorización de usuarios

    • Propagación de identidad

    • Acceso al SDK

Los administradores pueden cumplir los siguientes requisitos previos para configurar las aplicaciones de IA asociadas.

  • (Opcional) Inscríbase en un dominio de SageMaker IA. Se puede acceder a las aplicaciones de IA asociadas directamente desde un dominio de SageMaker IA. Para obtener más información, consulte Descripción general del dominio Amazon SageMaker AI.

    • Si utiliza aplicaciones de IA asociadas en un dominio de SageMaker IA en modo solo VPC, los administradores deben crear un punto final con el siguiente formato para conectarse a las aplicaciones de IA asociadas. Para obtener más información sobre el uso de Studio en modo solo VPC, consulte. Connect Amazon SageMaker Studio de una VPC a recursos externos 

      aws.sagemaker.region.partner-app

  • (Opcional) Si los administradores interactúan con el dominio mediante el AWS CLI, también deben cumplir los siguientes requisitos previos.

    1. Actualícelo AWS CLI siguiendo los pasos que se indican en Instalación de la versión actual AWS CLI

    2. Desde la máquina local, ejecute aws configure y proporcione AWS las credenciales. Para obtener información sobre AWS las credenciales, consulte Descripción y obtención de AWS las credenciales.

Los administradores pueden cumplir los siguientes requisitos previos para configurar las aplicaciones de IA asociadas.

  • (Opcional) Inscríbase en un dominio de SageMaker IA. Se puede acceder a las aplicaciones de IA asociadas directamente desde un dominio de SageMaker IA. Para obtener más información, consulte Descripción general del dominio Amazon SageMaker AI.

    • Si utiliza aplicaciones de IA asociadas en un dominio de SageMaker IA en modo solo VPC, los administradores deben crear un punto final con el siguiente formato para conectarse a las aplicaciones de IA asociadas. Para obtener más información sobre el uso de Studio en modo solo VPC, consulte. Connect Amazon SageMaker Studio de una VPC a recursos externos 

      aws.sagemaker.region.partner-app

  • (Opcional) Si los administradores interactúan con el dominio mediante el AWS CLI, también deben cumplir los siguientes requisitos previos.

    1. Actualícelo AWS CLI siguiendo los pasos que se indican en Instalación de la versión actual AWS CLI

    2. Desde la máquina local, ejecute aws configure y proporcione AWS las credenciales. Para obtener información sobre AWS las credenciales, consulte Descripción y obtención de AWS las credenciales.

El administrador debe añadir los siguientes permisos para habilitar las aplicaciones de IA asociadas en la SageMaker IA.

  • Permiso para completar la AWS Marketplace suscripción a las aplicaciones de IA asociadas

  • Configure la función de ejecución de la aplicación Partner AI

AWS Marketplace suscripción a Partner AI Apps

Los administradores deben completar los siguientes pasos para añadir permisos a. AWS Marketplace Para obtener información sobre el uso AWS Marketplace, consulta Cómo empezar a usar AWS Marketplace como comprador.

  1. Otorgue permisos para AWS Marketplace. Los administradores de Partner AI Apps necesitan estos permisos para comprar suscripciones a Partner AI Apps AWS Marketplace. Para acceder a ella AWS Marketplace, los administradores deben adjuntar la política AWSMarketplaceManageSubscriptions gestionada a la función de IAM que utilizan para acceder a la consola de SageMaker IA y comprar la aplicación. Para obtener más información sobre la política AWSMarketplaceManageSubscriptions gestionada, consulta Políticas AWS gestionadas para AWS Marketplace compradores. Para obtener información sobre cómo adjuntar políticas gestionadas, consulte Añadir y eliminar permisos de identidad de IAM.

  2. Otorgue permisos para que SageMaker AI ejecute operaciones en nombre de los administradores utilizando otras. Servicios de AWS Los administradores deben conceder permisos a la SageMaker IA para usar estos servicios y los recursos sobre los que actúan. La siguiente definición de política demuestra cómo conceder los permisos necesarios a las aplicaciones de IA asociadas. Estos permisos son necesarios además de los permisos existentes para el rol de administrador. Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Configure la función de ejecución de la aplicación Partner AI

  1. Las aplicaciones de IA asociadas requieren una función de ejecución para interactuar con los recursos del Cuenta de AWS. Los administradores pueden crear este rol de ejecución mediante. AWS CLI La aplicación Partner AI utiliza esta función para completar las acciones relacionadas con la funcionalidad de la aplicación Partner AI. 

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. Cree el rol AWS License Manager vinculado a un servicio siguiendo los pasos de Crear un rol vinculado a un servicio para License Manager

  3. Otorgue permisos para que la aplicación Partner AI acceda a License Manager mediante AWS CLI. Estos permisos son necesarios para acceder a las licencias de la aplicación Partner AI. Esto permite a la aplicación Partner AI verificar el acceso a la licencia de la aplicación Partner AI.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Si la aplicación Partner AI requiere acceso a un bucket de Amazon S3, añada los permisos de Amazon S3 a la función de ejecución. Para obtener más información, consulte Permisos necesarios para las operaciones de la API de Amazon S3.

El administrador debe añadir los siguientes permisos para habilitar las aplicaciones de IA asociadas en la SageMaker IA.

  • Permiso para completar la AWS Marketplace suscripción a las aplicaciones de IA asociadas

  • Configure la función de ejecución de la aplicación Partner AI

AWS Marketplace suscripción a Partner AI Apps

Los administradores deben completar los siguientes pasos para añadir permisos a. AWS Marketplace Para obtener información sobre el uso AWS Marketplace, consulta Cómo empezar a usar AWS Marketplace como comprador.

  1. Otorgue permisos para AWS Marketplace. Los administradores de Partner AI Apps necesitan estos permisos para comprar suscripciones a Partner AI Apps AWS Marketplace. Para acceder a ella AWS Marketplace, los administradores deben adjuntar la política AWSMarketplaceManageSubscriptions gestionada a la función de IAM que utilizan para acceder a la consola de SageMaker IA y comprar la aplicación. Para obtener más información sobre la política AWSMarketplaceManageSubscriptions gestionada, consulta Políticas AWS gestionadas para AWS Marketplace compradores. Para obtener información sobre cómo adjuntar políticas gestionadas, consulte Añadir y eliminar permisos de identidad de IAM.

  2. Otorgue permisos para que SageMaker AI ejecute operaciones en nombre de los administradores utilizando otras. Servicios de AWS Los administradores deben conceder permisos a la SageMaker IA para usar estos servicios y los recursos sobre los que actúan. La siguiente definición de política demuestra cómo conceder los permisos necesarios a las aplicaciones de IA asociadas. Estos permisos son necesarios además de los permisos existentes para el rol de administrador. Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Configure la función de ejecución de la aplicación Partner AI

  1. Las aplicaciones de IA asociadas requieren una función de ejecución para interactuar con los recursos del Cuenta de AWS. Los administradores pueden crear este rol de ejecución mediante. AWS CLI La aplicación Partner AI utiliza esta función para completar las acciones relacionadas con la funcionalidad de la aplicación Partner AI. 

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. Cree el rol AWS License Manager vinculado a un servicio siguiendo los pasos de Crear un rol vinculado a un servicio para License Manager

  3. Otorgue permisos para que la aplicación Partner AI acceda a License Manager mediante AWS CLI. Estos permisos son necesarios para acceder a las licencias de la aplicación Partner AI. Esto permite a la aplicación Partner AI verificar el acceso a la licencia de la aplicación Partner AI.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Si la aplicación Partner AI requiere acceso a un bucket de Amazon S3, añada los permisos de Amazon S3 a la función de ejecución. Para obtener más información, consulte Permisos necesarios para las operaciones de la API de Amazon S3.

Una vez que los administradores hayan completado la configuración de los permisos administrativos, deben asegurarse de que los usuarios tengan los permisos necesarios para acceder a las aplicaciones de IA asociadas.

  1. Concede permisos a SageMaker AI para que ejecute operaciones en tu nombre utilizando otras Servicios de AWS. Los administradores deben conceder permisos a la SageMaker IA para usar estos servicios y los recursos sobre los que actúan. Los administradores conceden estos permisos a SageMaker AI mediante una función de ejecución de IAM. Para obtener más información sobre las funciones de IAM, consulte Funciones de IAM. La siguiente definición de política demuestra cómo conceder los permisos necesarios para las aplicaciones de IA asociadas. Esta política se puede añadir a la función de ejecución del perfil de usuario.  Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (Opcional) Si va a lanzar aplicaciones de IA asociadas desde Studio, añada la política de sts:TagSession confianza al rol utilizado para lanzar Studio o las aplicaciones de IA asociadas directamente de la siguiente manera. Esto garantiza que la identidad se pueda propagar correctamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (Opcional) Si utilizas el SDK de una aplicación de IA asociada para acceder a las funciones de la SageMaker IA, añade el siguiente CallPartnerAppApi permiso a la función utilizada para ejecutar el código del SDK. Si ejecutas el código del SDK desde Studio, añade el permiso a la función de ejecución de Studio. Si ejecutas el código desde otro lugar que no sea Studio, añade el permiso al rol de IAM utilizado con el bloc de notas. Esto permite al usuario acceder a la funcionalidad de la aplicación Partner AI desde el SDK de la aplicación Partner AI. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:region:account:partner-app/app"
            ]
        }
    ]
}

Gestione la autorización y la autenticación de los usuarios

Para proporcionar acceso a las aplicaciones de IA asociadas a los miembros de su equipo, los administradores deben asegurarse de que la identidad de sus usuarios se propague a las aplicaciones de IA asociadas. Esta propagación garantiza que los usuarios puedan acceder correctamente a la interfaz de usuario de las aplicaciones de IA asociadas y realizar las acciones autorizadas de las aplicaciones de IA asociadas.

Las aplicaciones de IA asociadas admiten las siguientes fuentes de identidad:

  • AWS IAM Identity Center

  • Proveedores de identidad externos (IdPs) 

  • Identidad basada en sesiones de IAM

En las siguientes secciones se proporciona información sobre las fuentes de identidad compatibles con Partner AI Apps, así como detalles importantes relacionados con esa fuente de identidad.

Si un usuario se autentica en Studio mediante el Centro de Identidad de IAM y lanza una aplicación desde Studio, el Centro de Identidad de IAM UserName se propaga automáticamente como la identidad de usuario de una aplicación de IA asociada. Este no es el caso si el usuario inicia la aplicación Partner AI directamente mediante la API. CreatePartnerAppPresignedUrl

Si utilizan SAML para la Cuenta de AWS federación, los administradores tienen dos opciones para transferir la identidad de IdP como identidad de usuario de una aplicación de IA asociada. Para obtener información sobre cómo configurar la Cuenta de AWS federación, consulte Cómo configurar SAML 2.0 para la federación. Cuenta de AWS  

  • Etiqueta principal: los administradores pueden configurar la aplicación IAM Identity Center específica del IDP para que transmita la información de identidad de la sesión de inicio mediante la AWS sesión PrincipalTag con el siguiente atributo. Name Cuando se usa SAML, la sesión de rol de inicio usa un rol de IAM. Para utilizar elPrincipalTag, los administradores deben añadir el sts:TagSession permiso a este rol de destino, así como al rol de ejecución de Studio. Para obtener más informaciónPrincipalTag, consulte Configurar las aserciones de SAML para la respuesta de autenticación. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Nombre de la sesión de inicio: los administradores pueden propagar el nombre de la sesión de inicio como identidad de la aplicación Partner AI. Para ello, deben configurar la marca de EnableIamSessionBasedIdentity suscripción para cada aplicación de IA asociada. Para obtener más información, consulte EnableIamSessionBasedIdentity.

importante

No recomendamos usar este método para las cuentas de producción. En el caso de las cuentas de producción, utilice un proveedor de identidad para aumentar la seguridad.

SageMaker La IA admite las siguientes opciones de propagación de la identidad cuando se utiliza una identidad de IAM basada en una sesión. Todas las opciones, excepto el uso de una etiqueta de sesión con AWS STS, requieren configurar el indicador de EnableIamSessionBasedIdentity suscripción para cada aplicación. Para obtener más información, consulte EnableIamSessionBasedIdentity.

Al propagar las identidades, la SageMaker IA verifica si se está utilizando una etiqueta de AWS STS sesión. Si no se utiliza ninguna, SageMaker AI propaga el nombre de usuario o el nombre de sesión de IAM. AWS STS

  • AWS STS Etiqueta de sesión: los administradores pueden configurar una etiqueta de sesión para la SageMakerPartnerAppUser sesión de IAM del iniciador. Cuando los administradores lanzan una aplicación de IA asociada mediante la consola de SageMaker IA o la AWS CLI, la etiqueta de SageMakerPartnerAppUser sesión se transfiere automáticamente como identidad de usuario de la aplicación de IA asociada. En el siguiente ejemplo, se muestra cómo configurar la etiqueta de SageMakerPartnerAppUser sesión mediante. AWS CLI El valor de la clave se añade como etiqueta principal.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Al dar a los usuarios acceso a una aplicación de IA asociadaCreatePartnerAppPresignedUrl, recomendamos verificar el valor de la SageMakerPartnerAppUser clave. Esto ayuda a evitar el acceso no deseado a los recursos de la aplicación Partner AI. La siguiente política de confianza verifica que la etiqueta de sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta principal para este propósito. Debe configurarse en el rol que está lanzando Studio o la aplicación Partner AI.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::account:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}"
                }
            }
        }
    ]
}

  • Usuario de IAM autenticado: el nombre de usuario del usuario se propaga automáticamente como usuario de la aplicación Partner AI.

  • AWS STS nombre de sesión: si no se configura ninguna etiqueta de SageMakerPartnerAppUser sesión durante el uso AWS STS, SageMaker AI devuelve un error cuando los usuarios inician una aplicación de IA asociada. Para evitar este error, los administradores deben configurar la marca de EnableIamSessionBasedIdentity suscripción para cada aplicación de IA asociada. Para obtener más información, consulte EnableIamSessionBasedIdentity.

    Cuando el indicador de EnableIamSessionBasedIdentity suscripción esté activado, utilice la política de confianza en los roles de IAM para asegurarse de que el nombre de la sesión de IAM es o contiene el nombre de usuario de IAM. Esto garantiza que los usuarios no accedan haciéndose pasar por otros usuarios. La siguiente política de confianza verifica que el nombre de la sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta principal para este propósito. Debe configurarse en el rol que está lanzando Studio o la aplicación Partner AI.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::account:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Los administradores también deben añadir la política de sts:TagSession confianza al rol que está lanzando Studio o la aplicación Partner AI. Esto garantiza que la identidad se pueda propagar correctamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Tras configurar las credenciales, los administradores pueden dar a sus usuarios acceso a Studio o a la aplicación Partner AI AWS CLI mediante llamadas a la CreatePartnerAppPresignedUrl API CreatePresignedDomainUrl o a la API, respectivamente.

A continuación, los usuarios también pueden iniciar Studio desde la consola de SageMaker IA e iniciar las aplicaciones de IA asociadas desde Studio.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentityes un indicador de suscripción voluntaria. Cuando se activa el EnableIamSessionBasedIdentity indicador, la SageMaker IA transmite la información de la sesión de IAM como identidad de usuario de la aplicación de IA asociada. Para obtener más información sobre AWS STS las sesiones, consulte Usar credenciales temporales con AWS los recursos.

Control de acceso

Para controlar el acceso a las aplicaciones de IA asociadas, utilice una política de IAM asociada a la función de ejecución del perfil de usuario. Para lanzar una aplicación de IA asociada directamente desde Studio o mediante ella AWS CLI, la función de ejecución del perfil de usuario debe tener una política que otorgue permisos para la CreatePartnerAppPresignedUrl API. Elimine este permiso de la función de ejecución del perfil de usuario para asegurarse de que no pueda iniciar aplicaciones de IA asociadas.

Usuarios administradores raíz

La Comet y Fiddler Las aplicaciones de IA asociadas requieren al menos un usuario administrador root. Los usuarios administradores raíz tienen permisos para añadir usuarios normales y administradores y gestionar los recursos. Los nombres de usuario proporcionados como usuarios administradores raíz deben coincidir con los nombres de usuario de la fuente de identidad.

Si bien los usuarios administradores raíz permanecen en la SageMaker IA, los usuarios administradores normales no lo son y solo existen dentro de la aplicación Partner AI hasta que se cierre la aplicación Partner AI.

Los administradores pueden actualizar a los usuarios administradores raíz mediante la llamada a la UpdatePartnerApp API. Cuando se actualizan los usuarios administradores raíz, la lista actualizada de usuarios administradores raíz se transfiere a la aplicación Partner AI. La aplicación Partner AI se asegura de que todos los nombres de usuario de la lista tengan privilegios de administrador root. Si se elimina un usuario administrador raíz de la lista, el usuario seguirá conservando los permisos de administrador normales hasta que:

  • El usuario se elimina de la aplicación.

  • Otro usuario administrador revoca los permisos de administrador del usuario.

nota

Fiddler no admite la actualización de los usuarios administradores. Solo Comet admite actualizaciones para los usuarios administradores root. 

Para eliminar un usuario administrador raíz, primero debe actualizar la lista de usuarios administradores raíz que utilizan la UpdatePartnerApp API. A continuación, elimine o revoque los permisos de administrador a través de la interfaz de usuario de la aplicación Partner AI.

Si elimina un usuario administrador raíz de la interfaz de usuario de la aplicación Partner AI sin actualizar la lista de usuarios administradores raíz con la UpdatePartnerApp API, el cambio es temporal. Cuando SageMaker AI envía la siguiente solicitud de actualización de la aplicación Partner SageMaker AI, AI envía la lista de administradores raíz que aún incluye al usuario a la aplicación Partner AI. Esto anula la eliminación realizada desde la interfaz de usuario de la aplicación Partner AI.

Una vez que los administradores hayan completado la configuración de los permisos administrativos, deben asegurarse de que los usuarios tengan los permisos necesarios para acceder a las aplicaciones de IA asociadas.

  1. Concede permisos a SageMaker AI para que ejecute operaciones en tu nombre utilizando otras Servicios de AWS. Los administradores deben conceder permisos a la SageMaker IA para usar estos servicios y los recursos sobre los que actúan. Los administradores conceden estos permisos a SageMaker AI mediante una función de ejecución de IAM. Para obtener más información sobre las funciones de IAM, consulte Funciones de IAM. La siguiente definición de política demuestra cómo conceder los permisos necesarios para las aplicaciones de IA asociadas. Esta política se puede añadir a la función de ejecución del perfil de usuario.  Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (Opcional) Si va a lanzar aplicaciones de IA asociadas desde Studio, añada la política de sts:TagSession confianza al rol utilizado para lanzar Studio o las aplicaciones de IA asociadas directamente de la siguiente manera. Esto garantiza que la identidad se pueda propagar correctamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (Opcional) Si utilizas el SDK de una aplicación de IA asociada para acceder a las funciones de la SageMaker IA, añade el siguiente CallPartnerAppApi permiso a la función utilizada para ejecutar el código del SDK. Si ejecutas el código del SDK desde Studio, añade el permiso a la función de ejecución de Studio. Si ejecutas el código desde otro lugar que no sea Studio, añade el permiso al rol de IAM utilizado con el bloc de notas. Esto permite al usuario acceder a la funcionalidad de la aplicación Partner AI desde el SDK de la aplicación Partner AI. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:region:account:partner-app/app"
            ]
        }
    ]
}

Gestione la autorización y la autenticación de los usuarios

Para proporcionar acceso a las aplicaciones de IA asociadas a los miembros de su equipo, los administradores deben asegurarse de que la identidad de sus usuarios se propague a las aplicaciones de IA asociadas. Esta propagación garantiza que los usuarios puedan acceder correctamente a la interfaz de usuario de las aplicaciones de IA asociadas y realizar las acciones autorizadas de las aplicaciones de IA asociadas.

Las aplicaciones de IA asociadas admiten las siguientes fuentes de identidad:

  • AWS IAM Identity Center

  • Proveedores de identidad externos (IdPs) 

  • Identidad basada en sesiones de IAM

En las siguientes secciones se proporciona información sobre las fuentes de identidad compatibles con Partner AI Apps, así como detalles importantes relacionados con esa fuente de identidad.

Si un usuario se autentica en Studio mediante el Centro de Identidad de IAM y lanza una aplicación desde Studio, el Centro de Identidad de IAM UserName se propaga automáticamente como la identidad de usuario de una aplicación de IA asociada. Este no es el caso si el usuario inicia la aplicación Partner AI directamente mediante la API. CreatePartnerAppPresignedUrl

Si un usuario se autentica en Studio mediante el Centro de Identidad de IAM y lanza una aplicación desde Studio, el Centro de Identidad de IAM UserName se propaga automáticamente como la identidad de usuario de una aplicación de IA asociada. Este no es el caso si el usuario inicia la aplicación Partner AI directamente mediante la API. CreatePartnerAppPresignedUrl

Si utilizan SAML para la Cuenta de AWS federación, los administradores tienen dos opciones para transferir la identidad de IdP como identidad de usuario de una aplicación de IA asociada. Para obtener información sobre cómo configurar la Cuenta de AWS federación, consulte Cómo configurar SAML 2.0 para la federación. Cuenta de AWS  

  • Etiqueta principal: los administradores pueden configurar la aplicación IAM Identity Center específica del IDP para que transmita la información de identidad de la sesión de inicio mediante la AWS sesión PrincipalTag con el siguiente atributo. Name Cuando se usa SAML, la sesión de rol de inicio usa un rol de IAM. Para utilizar elPrincipalTag, los administradores deben añadir el sts:TagSession permiso a este rol de destino, así como al rol de ejecución de Studio. Para obtener más informaciónPrincipalTag, consulte Configurar las aserciones de SAML para la respuesta de autenticación. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Nombre de la sesión de inicio: los administradores pueden propagar el nombre de la sesión de inicio como identidad de la aplicación Partner AI. Para ello, deben configurar la marca de EnableIamSessionBasedIdentity suscripción para cada aplicación de IA asociada. Para obtener más información, consulte EnableIamSessionBasedIdentity.

Si utilizan SAML para la Cuenta de AWS federación, los administradores tienen dos opciones para transferir la identidad de IdP como identidad de usuario de una aplicación de IA asociada. Para obtener información sobre cómo configurar la Cuenta de AWS federación, consulte Cómo configurar SAML 2.0 para la federación. Cuenta de AWS  

  • Etiqueta principal: los administradores pueden configurar la aplicación IAM Identity Center específica del IDP para que transmita la información de identidad de la sesión de inicio mediante la AWS sesión PrincipalTag con el siguiente atributo. Name Cuando se usa SAML, la sesión de rol de inicio usa un rol de IAM. Para utilizar elPrincipalTag, los administradores deben añadir el sts:TagSession permiso a este rol de destino, así como al rol de ejecución de Studio. Para obtener más informaciónPrincipalTag, consulte Configurar las aserciones de SAML para la respuesta de autenticación. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Nombre de la sesión de inicio: los administradores pueden propagar el nombre de la sesión de inicio como identidad de la aplicación Partner AI. Para ello, deben configurar la marca de EnableIamSessionBasedIdentity suscripción para cada aplicación de IA asociada. Para obtener más información, consulte EnableIamSessionBasedIdentity.

importante

No recomendamos usar este método para las cuentas de producción. En el caso de las cuentas de producción, utilice un proveedor de identidad para aumentar la seguridad.

SageMaker La IA admite las siguientes opciones de propagación de la identidad cuando se utiliza una identidad de IAM basada en una sesión. Todas las opciones, excepto el uso de una etiqueta de sesión con AWS STS, requieren configurar el indicador de EnableIamSessionBasedIdentity suscripción para cada aplicación. Para obtener más información, consulte EnableIamSessionBasedIdentity.

Al propagar las identidades, la SageMaker IA verifica si se está utilizando una etiqueta de AWS STS sesión. Si no se utiliza ninguna, SageMaker AI propaga el nombre de usuario o el nombre de sesión de IAM. AWS STS

  • AWS STS Etiqueta de sesión: los administradores pueden configurar una etiqueta de sesión para la SageMakerPartnerAppUser sesión de IAM del iniciador. Cuando los administradores lanzan una aplicación de IA asociada mediante la consola de SageMaker IA o la AWS CLI, la etiqueta de SageMakerPartnerAppUser sesión se transfiere automáticamente como identidad de usuario de la aplicación de IA asociada. En el siguiente ejemplo, se muestra cómo configurar la etiqueta de SageMakerPartnerAppUser sesión mediante. AWS CLI El valor de la clave se añade como etiqueta principal.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Al dar a los usuarios acceso a una aplicación de IA asociadaCreatePartnerAppPresignedUrl, recomendamos verificar el valor de la SageMakerPartnerAppUser clave. Esto ayuda a evitar el acceso no deseado a los recursos de la aplicación Partner AI. La siguiente política de confianza verifica que la etiqueta de sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta principal para este propósito. Debe configurarse en el rol que está lanzando Studio o la aplicación Partner AI.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::account:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}"
                }
            }
        }
    ]
}

  • Usuario de IAM autenticado: el nombre de usuario del usuario se propaga automáticamente como usuario de la aplicación Partner AI.

  • AWS STS nombre de sesión: si no se configura ninguna etiqueta de SageMakerPartnerAppUser sesión durante el uso AWS STS, SageMaker AI devuelve un error cuando los usuarios inician una aplicación de IA asociada. Para evitar este error, los administradores deben configurar la marca de EnableIamSessionBasedIdentity suscripción para cada aplicación de IA asociada. Para obtener más información, consulte EnableIamSessionBasedIdentity.

    Cuando el indicador de EnableIamSessionBasedIdentity suscripción esté activado, utilice la política de confianza en los roles de IAM para asegurarse de que el nombre de la sesión de IAM es o contiene el nombre de usuario de IAM. Esto garantiza que los usuarios no accedan haciéndose pasar por otros usuarios. La siguiente política de confianza verifica que el nombre de la sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta principal para este propósito. Debe configurarse en el rol que está lanzando Studio o la aplicación Partner AI.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::account:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Los administradores también deben añadir la política de sts:TagSession confianza al rol que está lanzando Studio o la aplicación Partner AI. Esto garantiza que la identidad se pueda propagar correctamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Tras configurar las credenciales, los administradores pueden dar a sus usuarios acceso a Studio o a la aplicación Partner AI AWS CLI mediante llamadas a la CreatePartnerAppPresignedUrl API CreatePresignedDomainUrl o a la API, respectivamente.

A continuación, los usuarios también pueden iniciar Studio desde la consola de SageMaker IA e iniciar las aplicaciones de IA asociadas desde Studio.

importante

No recomendamos usar este método para las cuentas de producción. En el caso de las cuentas de producción, utilice un proveedor de identidad para aumentar la seguridad.

SageMaker La IA admite las siguientes opciones de propagación de la identidad cuando se utiliza una identidad de IAM basada en una sesión. Todas las opciones, excepto el uso de una etiqueta de sesión con AWS STS, requieren configurar el indicador de EnableIamSessionBasedIdentity suscripción para cada aplicación. Para obtener más información, consulte EnableIamSessionBasedIdentity.

Al propagar las identidades, la SageMaker IA verifica si se está utilizando una etiqueta de AWS STS sesión. Si no se utiliza ninguna, SageMaker AI propaga el nombre de usuario o el nombre de sesión de IAM. AWS STS

  • AWS STS Etiqueta de sesión: los administradores pueden configurar una etiqueta de sesión para la SageMakerPartnerAppUser sesión de IAM del iniciador. Cuando los administradores lanzan una aplicación de IA asociada mediante la consola de SageMaker IA o la AWS CLI, la etiqueta de SageMakerPartnerAppUser sesión se transfiere automáticamente como identidad de usuario de la aplicación de IA asociada. En el siguiente ejemplo, se muestra cómo configurar la etiqueta de SageMakerPartnerAppUser sesión mediante. AWS CLI El valor de la clave se añade como etiqueta principal.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Al dar a los usuarios acceso a una aplicación de IA asociadaCreatePartnerAppPresignedUrl, recomendamos verificar el valor de la SageMakerPartnerAppUser clave. Esto ayuda a evitar el acceso no deseado a los recursos de la aplicación Partner AI. La siguiente política de confianza verifica que la etiqueta de sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta principal para este propósito. Debe configurarse en el rol que está lanzando Studio o la aplicación Partner AI.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::account:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}"
                }
            }
        }
    ]
}

  • Usuario de IAM autenticado: el nombre de usuario del usuario se propaga automáticamente como usuario de la aplicación Partner AI.

  • AWS STS nombre de sesión: si no se configura ninguna etiqueta de SageMakerPartnerAppUser sesión durante el uso AWS STS, SageMaker AI devuelve un error cuando los usuarios inician una aplicación de IA asociada. Para evitar este error, los administradores deben configurar la marca de EnableIamSessionBasedIdentity suscripción para cada aplicación de IA asociada. Para obtener más información, consulte EnableIamSessionBasedIdentity.

    Cuando el indicador de EnableIamSessionBasedIdentity suscripción esté activado, utilice la política de confianza en los roles de IAM para asegurarse de que el nombre de la sesión de IAM es o contiene el nombre de usuario de IAM. Esto garantiza que los usuarios no accedan haciéndose pasar por otros usuarios. La siguiente política de confianza verifica que el nombre de la sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta principal para este propósito. Debe configurarse en el rol que está lanzando Studio o la aplicación Partner AI.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::account:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Los administradores también deben añadir la política de sts:TagSession confianza al rol que está lanzando Studio o la aplicación Partner AI. Esto garantiza que la identidad se pueda propagar correctamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Tras configurar las credenciales, los administradores pueden dar a sus usuarios acceso a Studio o a la aplicación Partner AI AWS CLI mediante llamadas a la CreatePartnerAppPresignedUrl API CreatePresignedDomainUrl o a la API, respectivamente.

A continuación, los usuarios también pueden iniciar Studio desde la consola de SageMaker IA e iniciar las aplicaciones de IA asociadas desde Studio.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentityes un indicador de suscripción voluntaria. Cuando se activa el EnableIamSessionBasedIdentity indicador, la SageMaker IA transmite la información de la sesión de IAM como identidad de usuario de la aplicación de IA asociada. Para obtener más información sobre AWS STS las sesiones, consulte Usar credenciales temporales con AWS los recursos.

Control de acceso

Para controlar el acceso a las aplicaciones de IA asociadas, utilice una política de IAM asociada a la función de ejecución del perfil de usuario. Para lanzar una aplicación de IA asociada directamente desde Studio o mediante ella AWS CLI, la función de ejecución del perfil de usuario debe tener una política que otorgue permisos para la CreatePartnerAppPresignedUrl API. Elimine este permiso de la función de ejecución del perfil de usuario para asegurarse de que no pueda iniciar aplicaciones de IA asociadas.

Usuarios administradores raíz

La Comet y Fiddler Las aplicaciones de IA asociadas requieren al menos un usuario administrador root. Los usuarios administradores raíz tienen permisos para añadir usuarios normales y administradores y gestionar los recursos. Los nombres de usuario proporcionados como usuarios administradores raíz deben coincidir con los nombres de usuario de la fuente de identidad.

Si bien los usuarios administradores raíz permanecen en la SageMaker IA, los usuarios administradores normales no lo son y solo existen dentro de la aplicación Partner AI hasta que se cierre la aplicación Partner AI.

Los administradores pueden actualizar a los usuarios administradores raíz mediante la llamada a la UpdatePartnerApp API. Cuando se actualizan los usuarios administradores raíz, la lista actualizada de usuarios administradores raíz se transfiere a la aplicación Partner AI. La aplicación Partner AI se asegura de que todos los nombres de usuario de la lista tengan privilegios de administrador root. Si se elimina un usuario administrador raíz de la lista, el usuario seguirá conservando los permisos de administrador normales hasta que:

  • El usuario se elimina de la aplicación.

  • Otro usuario administrador revoca los permisos de administrador del usuario.

nota

Fiddler no admite la actualización de los usuarios administradores. Solo Comet admite actualizaciones para los usuarios administradores root. 

Para eliminar un usuario administrador raíz, primero debe actualizar la lista de usuarios administradores raíz que utilizan la UpdatePartnerApp API. A continuación, elimine o revoque los permisos de administrador a través de la interfaz de usuario de la aplicación Partner AI.

Si elimina un usuario administrador raíz de la interfaz de usuario de la aplicación Partner AI sin actualizar la lista de usuarios administradores raíz con la UpdatePartnerApp API, el cambio es temporal. Cuando SageMaker AI envía la siguiente solicitud de actualización de la aplicación Partner SageMaker AI, AI envía la lista de administradores raíz que aún incluye al usuario a la aplicación Partner AI. Esto anula la eliminación realizada desde la interfaz de usuario de la aplicación Partner AI.

Related resources

Amazon SageMaker AI Referencia de API
AWS CLI comandos para Amazon SageMaker AI
SDKs y herramientas 

Related resources

Amazon SageMaker AI Referencia de API
AWS CLI comandos para Amazon SageMaker AI
SDKs y herramientas 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.