Seguimiento del linaje entre cuentas - Amazon SageMaker
Configuración del seguimiento del linaje entre cuentasSeguimiento de linaje entre cuentas

Seguimiento del linaje entre cuentas

Amazon SageMaker admite el seguimiento de entidades de linaje de una cuenta diferente de AWS. Otras cuentas de AWS pueden compartir sus entidades de linaje con usted y usted puede acceder a estas entidades de linaje mediante llamadas directas a la API o consultas de linaje de SageMaker.

SageMaker utiliza AWS Resource Access Manager para ayudarle a compartir de forma segura sus recursos de linaje. Puede compartir sus recursos a través de la consola de AWS RAM.

Configuración del seguimiento del linaje entre cuentas

Puede agrupar y compartir sus Entidades de seguimiento de linaje a través de un grupo de linaje en Amazon SageMaker. SageMaker solo admite un grupo de linaje predeterminado por cuenta. SageMaker crea el grupo de linaje predeterminado cada vez que se crea una entidad de linaje en su cuenta. Todas las entidades de linaje propiedad de su cuenta están asignadas a este grupo de linaje predeterminado. Para compartir entidades de linaje con otra cuenta, compartirá este grupo de linaje predeterminado con esa cuenta.

nota

Puede compartir todas las entidades de seguimiento de linaje de un grupo de linaje o ninguna.

Cree un recurso compartido para sus entidades de linaje mediante la consola de AWS Resource Access Manager. Para obtener más información, consulte Cómo compartir los recursos de AWS en la Guía del usuario de AWS Resource Access Manager.

nota

Una vez creado el recurso compartido, las asociaciones de recursos y entidades principales pueden tardar unos minutos en completarse. Una vez que se establece la asociación, la cuenta compartida recibe una invitación para unirse al recurso compartido. La cuenta compartida debe aceptar la invitación para acceder a los recursos compartidos. Para obtener más información sobre cómo aceptar una invitación para compartir recursos en AWS RAM, consulte Using shared AWS resources en la Guía del usuario de AWS Resource Access Manager.

Su política de recursos para el seguimiento del linaje entre cuentas

Amazon SageMaker solo admite un tipo de política de recursos. La política de recursos de SageMaker debe permitir todas las operaciones siguientes:

"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
ejemplo La siguiente es una política de recursos de SageMaker creada con AWS Resource Access Manager para crear un recurso compartido para un grupo de linaje de cuentas.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

Seguimiento de entidades de linaje entre cuentas

Con el seguimiento de linaje entre cuentas, puede asociar entidades de linaje en diferentes cuentas mediante la misma acción de la API AddAssociation. Al asociar dos entidades de linaje, SageMaker valida si tiene permisos para realizar la acción de la API AddAssociation en ambas entidades de linaje. A continuación, SageMaker establece la asociación. Si no tiene los permisos, SageMaker no crea la asociación. Una vez establecida la asociación entre cuentas, puede acceder a cualquiera de las entidades de linaje desde la otra mediante la acción de la API QueryLineage. Para obtener más información, consulte Consulta de entidades de linaje.

Además de crear automáticamente entidades de linaje, si tiene acceso entre cuentas, SageMaker conecta artefactos que hacen referencia al mismo objeto o datos. Si diferentes cuentas utilizan los datos de una cuenta en el seguimiento del linaje, SageMaker crea un artefacto en cada cuenta para rastrear esos datos. Con el linaje entre cuentas, cada vez que SageMaker crea nuevos artefactos, SageMaker comprueba si hay otros artefactos creados para los mismos datos que también se comparten con usted. A continuación, SageMaker establece asociaciones entre el artefacto recién creado y cada uno de los artefactos compartidos con usted con el AssociationType establecido en SameAs. A continuación, puede utilizar la acción de la API QueryLineage para pasar las entidades de linaje de su propia cuenta a las entidades de linaje compartidas con usted pero que pertenecen a otra cuenta de AWS. Para obtener más información, consulte Consulta de entidades de linaje

Acceso a los recursos de linaje desde cuentas diferentes

Una vez que se haya configurado el acceso entre cuentas para compartir el linaje, puede llamar a las siguientes acciones de la API de SageMaker directamente con el ARN para describir las entidades del linaje compartido desde otra cuenta:

También puede administrar las Asociaciones de entidades de linaje propiedad de diferentes cuentas que se compartan con usted mediante las siguientes acciones de la API de SageMaker:

Para ver un cuaderno que muestre cómo utilizar las API de linaje de SageMaker para consultar el linaje en todas las cuentas, consulte sagemaker-lineage-cross-account-with-ram.ipynb.

Autorización para consultar entidades de linaje entre cuentas

Amazon SageMaker debe validar que tiene permisos para realizar la acción de la API QueryLineage en los StartArns. Esto se aplica mediante la política de recursos asociada alLineageGroup. El resultado de esta acción incluye todas las entidades de linaje a las que tiene acceso, ya sean propiedad de su cuenta o compartidas por otra cuenta. Para obtener más información, consulte Consulta de entidades de linaje.