Comprendre les autorisations d'espace de domaine et les rôles d'exécution - Amazon SageMaker
SageMaker rôles d'exécutionExemple d'autorisations flexibles avec rôles d'exécution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les autorisations d'espace de domaine et les rôles d'exécution

Un SageMaker domaine Amazon est un environnement permettant à votre équipe d'accéder aux SageMaker ressources. Un domaine simplifie la gestion des applications, des ressources et des autorisations d'apprentissage automatique (ML) pour les profils utilisateur du domaine. Vous pouvez accéder à SageMaker des applications, telles que l'éditeur de codeOSS, basé sur Code-, Visual Studio Code - Open Source JupyterLabRStudio,, et Studio Classic, via votre domaine. Pour plus d'informations sur les domaines, consultezVue d'ensemble SageMaker du domaine Amazon.

Pour de nombreuses SageMaker applications, lorsque vous démarrez une SageMaker application dans un domaine, un espace est créé pour l'application. Lorsqu'un profil utilisateur crée un espace, cet espace suppose un AWS Identity and Access Management (IAM) rôle qui définit les autorisations accordées à cet espace. Un IAMrôle est une IAM identité que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un IAM rôle est similaire à un IAM utilisateur dans la mesure où il s'agit d'un AWS identité avec des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. Cependant, au lieu d'être uniquement associé à une seule personne, un rôle est censé être assumé par quiconque en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.

Note

Lorsque vous démarrez Amazon SageMaker Canvas orRStudio, cela ne crée pas d'espace qui joue un IAM rôle. Au lieu de cela, vous modifiez le rôle associé au profil utilisateur afin de gérer ses autorisations pour l'application. Pour plus d'informations sur l'obtention du rôle SageMaker d'un profil utilisateur, consultezObtenir le rôle d'exécution de l'utilisateur.

Pour SageMaker Canvas, voirConfiguration et gestion d'Amazon SageMaker Canvas (pour les administrateurs informatiques).

PourRStudio, voirCréez un SageMaker domaine Amazon avec l'application RStudio.

Les utilisateurs peuvent accéder à leurs SageMaker applications dans un espace partagé ou privé.

Espaces partagés

  • Il ne peut y avoir qu'un seul espace associé à une application. Tous les profils d'utilisateurs du domaine peuvent accéder à un espace partagé. Cela permet à tous les profils utilisateur du domaine d'accéder au même système de stockage de fichiers sous-jacent pour l'application.

  • L'espace partagé bénéficiera des autorisations définies par le rôle d'exécution par défaut de l'espace. Si vous souhaitez modifier le rôle d'exécution de l'espace partagé, vous devez modifier le rôle d'exécution par défaut de l'espace.

    Pour plus d'informations sur l'obtention du rôle d'exécution par défaut de l'espace, consultezRôle d'exécution de l'espace Get.

    Pour plus d'informations sur la modification de votre rôle d'exécution, consultezModifier les autorisations d'accès au rôle d'exécution.

  • Pour plus d'informations sur les espaces partagés, consultezCollaborer avec des espaces partagés.

  • Pour créer un espace partagé, voirCréation d'un espace partagé.

Espaces privés

  • Il ne peut y avoir qu'un seul espace associé à une application. Seul le profil utilisateur qui l'a créé peut accéder à un espace privé. Cet espace ne peut pas être partagé avec d'autres utilisateurs.

  • L'espace privé assumera le rôle d'exécution du profil utilisateur du profil utilisateur qui l'a créé. Si vous souhaitez modifier le rôle d'exécution de l'espace privé, vous devez modifier le rôle d'exécution du profil utilisateur.

    Pour plus d'informations sur l'obtention du rôle d'exécution du profil utilisateur, consultezObtenir le rôle d'exécution de l'utilisateur.

    Pour plus d'informations sur la modification de votre rôle d'exécution, consultezModifier les autorisations d'accès au rôle d'exécution.

  • Toutes les applications qui prennent en charge les espaces prennent également en charge les espaces privés.

  • Un espace privé pour Studio Classic est déjà créé par défaut pour chaque profil utilisateur.

  • Pour créer un espace privé dans Amazon SageMaker Studio

    1. Lancez Amazon SageMaker Studio.

    2. Dans le volet de navigation de gauche, choisissez l'application que vous souhaitez exécuter sous Applications.

    3. Choisissez + Créer un espace.

    4. Tapez le nom de votre espace et choisissez Privé.

    5. Choisissez Créer un espace.

SageMaker rôles d'exécution

Un rôle SageMaker d'exécution est un AWS Rôle Identity and Access Management (IAM) attribué à une IAM identité qui effectue des exécutions dans SageMaker. Une IAMidentité donne accès à un AWS compte et représente un utilisateur humain ou une charge de travail programmatique qui peut être authentifié puis autorisé à effectuer des actions dans AWS, qui accorde l'autorisation d'accéder SageMaker à d'autres AWS ressources en votre nom. Ce rôle permet d' SageMaker effectuer des actions telles que le lancement d'instances de calcul, l'accès aux données et aux artefacts de modèles stockés dans Amazon S3, ou l'écriture de journaux sur CloudWatch. SageMaker assume le rôle d'exécution au moment de l'exécution et se voit accorder temporairement les autorisations définies dans la politique du rôle. Le rôle doit contenir les autorisations nécessaires qui définissent les actions que l'identité peut effectuer et les ressources auxquelles elle a accès. Vous pouvez attribuer des rôles à différentes identités afin de proposer une approche souple et précise de la gestion des autorisations et des accès au sein de votre domaine. Pour plus d'informations sur les domaines, consultezVue d'ensemble SageMaker du domaine Amazon. Par exemple, vous pouvez attribuer IAM des rôles aux :

  • Rôle d'exécution du domaine permettant d'accorder des autorisations étendues à tous les profils utilisateur du domaine.

  • Rôle d'exécution de l'espace permettant d'accorder des autorisations étendues pour un espace partagé au sein du domaine. Tous les profils utilisateur du domaine peuvent accéder aux espaces partagés et utiliseront le rôle d'exécution de l'espace lorsqu'ils se trouvent dans l'espace partagé.

  • Rôle d'exécution du profil utilisateur permettant d'accorder des autorisations détaillées pour des profils utilisateur spécifiques. Un espace privé créé par un profil utilisateur assumera le rôle d'exécution de ce profil utilisateur.

Cela vous permet d'accorder les autorisations nécessaires au domaine tout en respectant le principe du moindre privilège pour les profils utilisateur, afin de respecter les meilleures pratiques de sécurité énoncées dans IAM AWS IAM Identity Center Guide de l'utilisateur.

La propagation de toute modification apportée aux rôles d'exécution peut prendre quelques minutes. Pour plus d'informations, voir Modifier votre rôle d'exécution ouModifier les autorisations d'accès au rôle d'exécution, respectivement.

Exemple d'autorisations flexibles avec rôles d'exécution

IAMLes rôles vous permettent de gérer et d'octroyer des autorisations à des niveaux généraux et granulaires. L'exemple suivant inclut l'octroi d'autorisations au niveau de l'espace et au niveau de l'utilisateur.

Supposons que vous soyez un administrateur configurant un domaine pour une équipe de data scientists. Vous pouvez autoriser les profils utilisateur du domaine à avoir un accès complet aux compartiments Amazon Simple Storage Service (Amazon S3), à SageMaker exécuter des tâches de formation et à déployer des modèles à l'aide d'une application dans un espace partagé. Dans cet exemple, vous pouvez créer un IAM rôle appelé « DataScienceTeamRole » avec des autorisations étendues. Vous pouvez ensuite attribuer « DataScienceTeamRole » comme rôle d'exécution par défaut à l'espace, en accordant des autorisations étendues à votre équipe. Lorsqu'un profil utilisateur crée un espace partagé, cet espace assume le rôle d'exécution par défaut de l'espace. Pour plus d'informations sur l'attribution d'un rôle d'exécution à un domaine existant, consultezRôle d'exécution de l'espace Get.

Au lieu d'autoriser un profil utilisateur individuel travaillant dans son propre espace privé à avoir un accès complet aux compartiments Amazon S3, vous pouvez restreindre les autorisations d'un profil utilisateur et ne pas l'autoriser à modifier les compartiments Amazon S3. Dans cet exemple, vous pouvez leur donner un accès en lecture aux compartiments Amazon S3 pour récupérer des données, exécuter des tâches de SageMaker formation et déployer des modèles dans leur espace privé. Vous pouvez créer un rôle d'exécution au niveau utilisateur appelé DataScientistRole « » avec des autorisations relativement limitées. Vous pouvez ensuite attribuer « DataScientistRole » au rôle d'exécution du profil utilisateur, en lui accordant les autorisations nécessaires pour effectuer ses tâches spécifiques de science des données dans le cadre défini. Lorsqu'un profil utilisateur crée un espace privé, cet espace assume le rôle d'exécution de l'utilisateur. Pour plus d'informations sur l'attribution d'un rôle d'exécution à un profil utilisateur existant, consultezObtenir le rôle d'exécution de l'utilisateur.

Pour plus d'informations sur les rôles SageMaker d'exécution et sur l'ajout d'autorisations supplémentaires à ces rôles, consultezComment utiliser les rôles SageMaker d'exécution.