Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support multicompte pour les Amazon SageMaker Model Cards

Utilisez la prise en charge multicomptes dans Amazon SageMaker Model Cards pour partager des modèles de cartes entre AWS comptes. Le compte sur lequel les cartes de modèles sont créées est le compte de cartes de modèles. Les utilisateurs figurant dans le compte de cartes de modèles les partagent avec les comptes partagés. Les utilisateurs d'un compte partagé peuvent mettre à jour les modèles PDFs de fiches ou en créer.

Les utilisateurs du compte de carte modèle partagent leurs modèles de cartes via AWS Resource Access Manager (AWS RAM). AWS RAM vous permet de partager les ressources entre AWS les comptes. Pour une introduction à AWS RAM, voir Qu'est-ce que c'est AWS Resource Access Manager ?

Voici le processus permettant de partager les cartes de modèles :

Si vous êtes un utilisateur dans le compte de cartes de modèles, consultez les sections suivantes :

Si vous êtes un utilisateur dans le compte partagé, consultez Configurer les autorisations IAM utilisateur dans le compte partagé pour en savoir plus sur la configuration d'autorisations pour vous-même et pour les autres utilisateurs du compte.

Configuration du partage des cartes de modèles entre comptes

Utilisez AWS Resource Access Manager (AWS RAM) pour autoriser les utilisateurs de votre AWS compte à consulter ou à mettre à jour les modèles de fiches créés dans un autre AWS compte.

Pour configurer le partage des cartes de modèles, vous devez créer un partage de ressources. Un partage de ressources spécifie :

Pour plus d'informations sur les partages de ressources, consultez Termes et concepts pour AWS RAM. Nous vous recommandons de prendre le temps de comprendre AWS RAM le concept avant de commencer le processus de création d'un partage de ressources.

Pour les procédures de création d'un partage de ressources et des informations supplémentaires à leur sujet, consultez Création d'un partage de ressources.

Lorsque vous suivez la procédure de création d'un partage de ressources, vous spécifiez sagemaker:ModelCard comme type de ressource. Vous devez également spécifier le numéro de ressource Amazon (ARN) de la politique AWS RAM basée sur les ressources. Vous pouvez spécifier la politique par défaut ou celle qui dispose d'autorisations supplémentaires pour créer un modèle PDF de carte.

Avec la politique AWSRAMPermissionSageMakerModelCards basée sur les ressources par défaut, les utilisateurs du compte partagé sont autorisés à effectuer les opérations suivantes :

Avec la politique AWSRAMPermissionSageMakerModelCardsAllowExport basée sur les ressources, les utilisateurs du compte partagé sont autorisés à effectuer toutes les actions précédentes. Ils sont également autorisés à créer une tâche d'exportation de carte de modèle et à la décrire via les opérations suivantes :

Les utilisateurs du compte partagé peuvent créer une tâche d'exportation pour générer un modèle PDF de carte. Ils peuvent également décrire une tâche d'exportation créée pour trouver PDF l'Amazon S3URI.

Les cartes de modèles et les tâches d'exportation sont des ressources. Le compte de cartes de modèles possède les tâches d'exportation créées par un utilisateur dans le compte partagé. Par exemple, un utilisateur du compte A partage la carte de modèle X avec le compte partagé B. Un utilisateur du compte B crée une tâche d'exportation Y pour la carte de modèle X qui stocke la sortie dans un emplacement Amazon S3 spécifié par l'utilisateur du compte B. Même si le compte B a créé la tâche d'exportation Y, elle appartient au compte A.

Chaque AWS compte dispose de quotas de ressources. Pour plus d'informations sur les quotas liés aux modèles de cartes, consultez Amazon SageMaker Endpoints and Quotas.

Configurer AWS KMS les autorisations pour le compte partagé

Si les modèles de cartes que vous partagez ont été chiffrés à l'aide de AWS Key Management Service clés, vous devez également partager l'accès aux clés avec le compte partagé. Dans le cas contraire, les utilisateurs du compte partagé ne peuvent pas consulter, mettre à jour ni exporter les cartes de modèles. Pour un aperçu de AWS KMS, voir AWS Key Management Service.

Pour accorder des AWS KMS autorisations aux utilisateurs du compte partagé, mettez à jour votre politique clé avec la déclaration suivante :

{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::shared-account-id::role/example-IAM-role"
        ]
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
    ]
    "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id"
    "Condition": {
        "Bool": {"kms:GrantIsForAWSResource": true },
        "StringEquals": {
            "kms:ViaService": [
                "sagemaker.AWS-Region.amazonaws.com", 
                "s3.AWS-Region.amazonaws.com"
            ],
        },
        "StringLike": {
          "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name"
        }
    }    
}                
            

La déclaration précédente fournit aux utilisateurs du compte partagé les autorisations kms:Decrypt et kms:GenerateDataKey. Avec kms:Decrypt, les utilisateurs peuvent déchiffrer les cartes de modèles. Les utilisateurs peuvent ainsi chiffrer les modèles de cartes qu'ils mettent à jour ou PDFs qu'ils créent. kms:GenerateDataKey

Obtention de réponses à votre invitation de partage de ressources

Après avoir créé un partage de ressources, les comptes partagés que vous avez spécifiés dans le partage de ressources reçoivent une invitation à le rejoindre. Ils doivent accepter l'invitation pour accéder aux ressources.

Pour plus d'informations sur l'acceptation d'une invitation au partage de ressources, consultez la section Utilisation de AWS ressources partagées dans le guide de l'utilisateur de AWS Resource Access Manager.

Configurer les autorisations IAM utilisateur dans le compte partagé

Les informations suivantes supposent que vous avez accepté l'invitation de partage de ressources provenant du compte de cartes de modèles. Pour plus d'informations sur l'acceptation d'une invitation au partage de ressources, consultez la section Utilisation de AWS ressources partagées.

Vous et les autres utilisateurs de votre compte utilisez un IAM rôle pour accéder aux modèles de cartes partagés à partir du compte de carte modèle. Utilisez le modèle suivant pour modifier la politique du IAM rôle. Vous pouvez modifier le modèle en fonction de votre propre cas d'utilisation.

{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeModelCard",
                 "sagemaker:UpdateModelCard",
                 "sagemaker:CreateModelCardExportJob",
                 "sagemaker:ListModelCardVersions",
                 "sagemaker:DescribeModelCardExportJob"
             ],
             "Resource": [
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0",
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*"
             ]
        },
        { 
             "Effect": "Allow", 
             "Action": "s3:PutObject",
             "Resource": "arn:aws:s3:::Amazon-S3-bucket-storing-the-pdf-of-the-model-card/model-card-name/*"
        }
    ]
}              
            

Pour accéder aux modèles de cartes chiffrés à l'aide de cartes AWS KMS, vous devez fournir aux utilisateurs de votre compte les AWS KMS autorisations suivantes.

{
     "Effect": "Allow",
     "Action": [
         "kms:GenerateDataKey",
         "kms:Decrypt",
     ],
     "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id"
}