Comprendre les autorisations d'espace de domaine et les rôles d'exécution - Amazon SageMaker AI
SageMaker Rôles d'exécution de l'IAExemple d'autorisations flexibles avec rôles d'exécution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les autorisations d'espace de domaine et les rôles d'exécution

Pour de nombreuses applications d' SageMaker IA, lorsque vous démarrez une application d' SageMaker IA dans un domaine, un espace est créé pour l'application. Lorsqu'un profil utilisateur crée un espace, celui-ci assume un rôle AWS Identity and Access Management (IAM) qui définit les autorisations accordées à cet espace. La page suivante fournit des informations sur les types d'espace et les rôles d'exécution qui définissent les autorisations pour l'espace.

Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.

Note

Lorsque vous démarrez Amazon SageMaker Canvas or RStudio, il ne crée pas d'espace assumant un rôle IAM. Au lieu de cela, vous modifiez le rôle associé au profil utilisateur afin de gérer ses autorisations pour l'application. Pour plus d'informations sur l'obtention du rôle d'un profil utilisateur SageMaker AI, consultezObtenir le rôle d'exécution de l'utilisateur.

Pour SageMaker Canvas, voirConfiguration d'Amazon SageMaker Canvas et gestion des autorisations (pour les administrateurs informatiques).

Pour RStudio, voirCréez un domaine Amazon SageMaker AI avec RStudio l'application.

Les utilisateurs peuvent accéder à leurs applications d' SageMaker IA dans un espace partagé ou privé.

Espaces partagés

  • Un seul espace ne peut être associé à une application. Tous les profils d'utilisateurs du domaine peuvent accéder à un espace partagé. Cela permet à tous les profils utilisateur du domaine d'accéder au même système de stockage de fichiers sous-jacent pour l'application.

  • L'espace partagé bénéficiera des autorisations définies par le rôle d'exécution par défaut de l'espace. Si vous souhaitez modifier le rôle d'exécution de l'espace partagé, vous devez modifier le rôle d'exécution par défaut de l'espace.

    Pour plus d'informations sur l'obtention du rôle d'exécution par défaut de l'espace, consultezRôle d'exécution de l'espace Get.

    Pour plus d'informations sur la modification de votre rôle d'exécution, consultezModifier les autorisations d'accès au rôle d'exécution.

  • Pour plus d'informations sur les espaces partagés, consultezCollaboration avec des espaces partagés.

  • Pour créer un espace partagé, voirCréation d'un espace partagé.

Espaces privés

  • Un seul espace ne peut être associé à une application. Seul le profil utilisateur qui l'a créé peut accéder à un espace privé. Cet espace ne peut pas être partagé avec d'autres utilisateurs.

  • L'espace privé assumera le rôle d'exécution du profil utilisateur du profil utilisateur qui l'a créé. Si vous souhaitez modifier le rôle d'exécution de l'espace privé, vous devez modifier le rôle d'exécution du profil utilisateur.

    Pour plus d'informations sur l'obtention du rôle d'exécution du profil utilisateur, consultezObtenir le rôle d'exécution de l'utilisateur.

    Pour plus d'informations sur la modification de votre rôle d'exécution, consultezModifier les autorisations d'accès au rôle d'exécution.

  • Toutes les applications qui prennent en charge les espaces prennent également en charge les espaces privés.

  • Un espace privé pour Studio Classic est déjà créé par défaut pour chaque profil utilisateur.

SageMaker Rôles d'exécution de l'IA

Un rôle d'exécution SageMaker AI est un rôle AWS Identity and Access Management (IAM) attribué à une identité IAM effectuant des exécutions dans AI. SageMaker Une identité IAM donne accès à un AWS compte et représente un utilisateur humain ou une charge de travail programmatique qui peut être authentifié puis autorisé à effectuer des actions AWS, qui accorde des autorisations à l' SageMaker IA pour accéder à d'autres AWS ressources en votre nom. Ce rôle permet à l' SageMaker IA d'effectuer des actions telles que le lancement d'instances de calcul, l'accès aux données et aux artefacts de modèles stockés dans Amazon S3, ou l'écriture de journaux sur CloudWatch. SageMaker L'IA assume le rôle d'exécution au moment de l'exécution et se voit accorder temporairement les autorisations définies dans la politique du rôle. Le rôle doit contenir les autorisations nécessaires qui définissent les actions que l'identité peut effectuer et les ressources auxquelles elle a accès. Vous pouvez attribuer des rôles à différentes identités afin de proposer une approche souple et précise de la gestion des autorisations et des accès au sein de votre domaine. Pour plus d'informations sur les domaines, consultezPrésentation du domaine Amazon SageMaker AI. Par exemple, vous pouvez attribuer des rôles IAM aux :

  • Rôle d'exécution du domaine permettant d'accorder des autorisations étendues à tous les profils utilisateur du domaine.

  • Rôle d'exécution de l'espace permettant d'accorder des autorisations étendues pour un espace partagé au sein du domaine. Tous les profils utilisateur du domaine peuvent accéder aux espaces partagés et utiliseront le rôle d'exécution de l'espace lorsqu'ils se trouvent dans l'espace partagé.

  • Rôle d'exécution du profil utilisateur permettant d'accorder des autorisations détaillées pour des profils utilisateur spécifiques. Un espace privé créé par un profil utilisateur assumera le rôle d'exécution de ce profil utilisateur.

Cela vous permet d'accorder les autorisations nécessaires au domaine tout en respectant le principe du moindre privilège pour les profils utilisateur, afin de respecter les meilleures pratiques de sécurité d'IAM décrites dans le guide de l'AWS IAM Identity Center utilisateur.

La propagation de toute modification apportée aux rôles d'exécution peut prendre quelques minutes. Pour plus d'informations, voir Modifier votre rôle d'exécution ouModifier les autorisations d'accès au rôle d'exécution, respectivement.

Exemple d'autorisations flexibles avec rôles d'exécution

Avec les rôles IAM, vous pouvez gérer et accorder des autorisations à des niveaux étendus et granulaires. L'exemple suivant inclut l'octroi d'autorisations au niveau de l'espace et au niveau de l'utilisateur.

Supposons que vous soyez un administrateur configurant un domaine pour une équipe de data scientists. Vous pouvez autoriser les profils utilisateur du domaine à avoir un accès complet aux compartiments Amazon Simple Storage Service (Amazon S3), à SageMaker exécuter des tâches de formation et à déployer des modèles à l'aide d'une application dans un espace partagé. Dans cet exemple, vous pouvez créer un rôle IAM appelé « DataScienceTeamRole » avec des autorisations étendues. Vous pouvez ensuite attribuer « DataScienceTeamRole » comme rôle d'exécution par défaut à l'espace, en accordant des autorisations étendues à votre équipe. Lorsqu'un profil utilisateur crée un espace partagé, cet espace assume le rôle d'exécution par défaut de l'espace. Pour plus d'informations sur l'attribution d'un rôle d'exécution à un domaine existant, consultezRôle d'exécution de l'espace Get.

Au lieu d'autoriser un profil utilisateur individuel travaillant dans son propre espace privé à avoir un accès complet aux compartiments Amazon S3, vous pouvez restreindre les autorisations d'un profil utilisateur et ne pas l'autoriser à modifier les compartiments Amazon S3. Dans cet exemple, vous pouvez leur donner un accès en lecture aux compartiments Amazon S3 pour récupérer des données, exécuter des tâches de SageMaker formation et déployer des modèles dans leur espace privé. Vous pouvez créer un rôle d'exécution au niveau utilisateur appelé DataScientistRole « » avec des autorisations relativement limitées. Vous pouvez ensuite attribuer « DataScientistRole » au rôle d'exécution du profil utilisateur, en lui accordant les autorisations nécessaires pour effectuer ses tâches spécifiques de science des données dans le cadre défini. Lorsqu'un profil utilisateur crée un espace privé, cet espace assume le rôle d'exécution de l'utilisateur. Pour plus d'informations sur l'attribution d'un rôle d'exécution à un profil utilisateur existant, consultezObtenir le rôle d'exécution de l'utilisateur.

Pour plus d'informations sur les rôles d'exécution de l' SageMaker IA et sur l'ajout d'autorisations supplémentaires à ces rôles, consultezComment utiliser les rôles d'exécution de l' SageMaker IA.