Configurer le support multi-comptes pour Pipelines - Amazon SageMaker AI
Configuration du partage de pipelines entre comptesPolitiques d'autorisation pour les ressources PipelinesAccès aux entités de pipeline partagées via des appels d'API directs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer le support multi-comptes pour Pipelines

La prise en charge multicompte d'Amazon SageMaker Pipelines vous permet de collaborer sur des pipelines d'apprentissage automatique avec d'autres équipes ou organisations qui opèrent sur AWS des comptes différents. En configurant le partage de pipelines entre comptes, vous pouvez accorder un accès contrôlé aux pipelines, autoriser d'autres comptes à consulter les détails du pipeline, déclencher des exécutions et surveiller les exécutions. La rubrique suivante explique comment configurer le partage de pipeline entre comptes, les différentes politiques d'autorisation disponibles pour les ressources partagées, et comment accéder et interagir avec des entités de pipeline partagées via des appels d'API directs à l' SageMaker IA.

Configuration du partage de pipelines entre comptes

SageMaker L'IA utilise AWS Resource Access Manager (AWS RAM) pour vous aider à partager en toute sécurité les entités de votre pipeline entre les comptes.

Création d'un partage de ressources

  1. Sélectionnez Create a resource share (Créer un partage de ressources) via la console AWS RAM.

  2. Lorsque vous spécifiez les détails du partage des ressources, choisissez le type de ressource Pipelines et sélectionnez un ou plusieurs pipelines que vous souhaitez partager. Lorsque vous partagez un pipeline avec un autre compte, toutes ses exécutions sont également partagées implicitement.

  3. Associez des autorisations à votre partage de ressources. Choisissez la politique d'autorisation en lecture seule par défaut ou la politique d'autorisation d'exécution de pipeline étendue. Pour en savoir plus, consultez Politiques d'autorisation pour les ressources Pipelines.

    Note

    Si vous sélectionnez la politique d'exécution étendue du pipeline, notez que toutes les commandes de démarrage, d'arrêt et de nouvelle tentative appelées par des comptes partagés utilisent les ressources du AWS compte qui a partagé le pipeline.

  4. Utilisez AWS compte IDs pour spécifier les comptes auxquels vous souhaitez accorder l'accès à vos ressources partagées.

  5. Vérifiez la configuration de votre partage de ressources et sélectionnez Create resource share (Créer un partage de ressources). Les associations entre le partage de ressources et le principal peuvent prendre quelques minutes.

Pour plus d'informations, consultez Partage de vos ressources AWS dans le Guide de l'utilisateur AWS Ressource Access Manager.

Obtention de réponses à votre invitation de partage de ressources

Une fois que les associations entre le partage de ressources et le principal ont été définies, les comptes AWS spécifiés reçoivent une invitation à rejoindre le partage de ressources. Les AWS comptes doivent accepter l'invitation pour accéder à toutes les ressources partagées.

Pour plus d'informations sur l'acceptation d'une invitation au partage de ressources AWS RAM, consultez la section Utilisation AWS des ressources partagées dans le guide de l'utilisateur de AWS Resource Access Manager.

Politiques d'autorisation pour les ressources Pipelines

Lorsque vous créez votre partage de ressources, choisissez l'une des deux politiques d'autorisation prises en charge à associer au type de ressource SageMaker AI Pipeline. Les deux politiques donnent accès à n'importe quel pipeline sélectionné et à toutes ses exécutions.

Autorisations en lecture seule par défaut

La politique AWSRAMDefaultPermissionSageMakerPipeline autorise les actions en lecture seule suivantes :

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

Autorisations d'exécution de pipeline étendues

La politique AWSRAMPermissionSageMakerPipelineAllowExecution inclut toutes les autorisations en lecture seule de la politique par défaut et permet également aux comptes partagés de démarrer, d'arrêter et de réessayer les exécutions de pipeline.

Note

Soyez attentif à l'utilisation des AWS ressources lorsque vous utilisez la politique d'autorisation d'exécution étendue du pipeline. Avec cette politique, les comptes partagés sont autorisés à démarrer, arrêter et réessayer les exécutions de pipeline. Toutes les ressources utilisées pour des exécutions de pipeline partagées sont consommées par le compte propriétaire.

La politique d'autorisation d'exécution de pipeline étendue autorise les actions suivantes :

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

Accès aux entités de pipeline partagées via des appels d'API directs

Une fois le partage de pipeline entre comptes configuré, vous pouvez appeler les actions d' SageMaker API suivantes à l'aide d'un ARN de pipeline :

Note

Vous ne pouvez appeler des commandes d'API que si elles sont incluses dans les autorisations associées à votre partage de ressources. Si vous sélectionnez la AWSRAMPermissionSageMakerPipelineAllowExecution politique, les commandes start, stop et retry utilisent les ressources du AWS compte qui a partagé le pipeline.