Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer les applications d'IA pour les partenaires
Les rubriques suivantes décrivent les autorisations nécessaires pour commencer à utiliser les applications Amazon SageMaker Partner AI. Les autorisations requises sont divisées en deux parties, en fonction du niveau d'autorisation de l'utilisateur :
-
Autorisations administratives : autorisations pour les administrateurs qui configurent des environnements de développement de data scientists et d'apprentissage automatique (ML).
-
AWS Marketplace
-
Gestion des applications d'IA pour les partenaires
-
AWS License Manager
-
-
Autorisations utilisateur : autorisations pour les scientifiques des données et les développeurs de machine learning.
-
Autorisation utilisateur
-
Propagation d'identité
-
Accès par le kit SDK
-
Les administrateurs peuvent remplir les conditions préalables suivantes pour configurer les applications Partner AI.
-
(Facultatif) Intégrez un domaine SageMaker AI. Les applications d'IA partenaires sont accessibles directement à partir d'un domaine d' SageMaker IA. Pour de plus amples informations, veuillez consulter Présentation du domaine Amazon SageMaker AI.
-
Si vous utilisez des applications d'IA partenaires dans un domaine d' SageMaker IA en mode VPC uniquement, les administrateurs doivent créer un point de terminaison au format suivant pour se connecter aux applications d'IA partenaires. Pour plus d'informations sur l'utilisation de Studio en mode VPC uniquement, consultez. Connect Amazon SageMaker Studio dans un VPC à des ressources externes
aws.sagemaker.region.partner-app
-
-
(Facultatif) Si les administrateurs interagissent avec le domaine à l'aide du AWS CLI, ils doivent également remplir les conditions préalables suivantes.
-
Mettez à jour le AWS CLI en suivant les étapes de la section Installation de la AWS CLI version actuelle.
-
À partir de la machine locale, exécutez
aws configureet fournissez des AWS informations d'identification. Pour plus d'informations sur les AWS informations d'identification, voir Comprendre et obtenir vos AWS informations d'identification.
-
L'administrateur doit ajouter les autorisations suivantes pour activer les applications Partner AI dans SageMaker AI.
-
Autorisation de terminer l' AWS Marketplace abonnement aux applications Partner AI
-
Configurer le rôle d'exécution de l'application Partner AI
AWS Marketplace abonnement aux applications Partner AI
Les administrateurs doivent suivre les étapes suivantes pour ajouter des autorisations pour AWS Marketplace. Pour plus d'informations sur l'utilisation AWS Marketplace, voir Commencer en tant qu'acheteur à utiliser AWS Marketplace.
-
Accordez des autorisations pour AWS Marketplace. Les administrateurs de Partner AI Apps ont besoin de ces autorisations pour acheter des abonnements à Partner AI Apps auprès de AWS Marketplace. Pour y accéder AWS Marketplace, les administrateurs doivent associer la politique
AWSMarketplaceManageSubscriptionsgérée au rôle IAM qu'ils utilisent pour accéder à la console SageMaker AI et acheter l'application. Pour plus de détails sur la politiqueAWSMarketplaceManageSubscriptionsgérée, consultez la section Politiques AWS gérées pour AWS Marketplace les acheteurs. Pour plus d'informations sur l'attachement de politiques gérées, consultez la section Ajout et suppression d'autorisations d'identité IAM. -
Accordez à SageMaker AI l'autorisation d'exécuter des opérations pour le compte des administrateurs en utilisant d'autres Services AWS. Les administrateurs doivent autoriser l' SageMaker IA à utiliser ces services et les ressources sur lesquelles ils agissent. La définition de politique suivante explique comment accorder les autorisations requises pour les applications Partner AI. Ces autorisations sont nécessaires en plus des autorisations existantes pour le rôle d'administrateur. Pour de plus amples informations, veuillez consulter Comment utiliser les rôles d'exécution de l' SageMaker IA.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreatePartnerApp", "sagemaker:DeletePartnerApp", "sagemaker:UpdatePartnerApp", "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl", "sagemaker:CreatePartnerApp", "sagemaker:AddTags", "sagemaker:ListTags", "sagemaker:DeleteTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Configurer le rôle d'exécution de l'application Partner AI
-
Les applications d'IA partenaires nécessitent un rôle d'exécution pour interagir avec les ressources du Compte AWS. Les administrateurs peuvent créer ce rôle d'exécution à l'aide du AWS CLI. L'application Partner AI utilise ce rôle pour effectuer des actions liées aux fonctionnalités de l'application Partner AI.
aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }' -
Créez le rôle AWS License Manager lié à un service en suivant les étapes décrites dans Créer un rôle lié à un service pour License Manager.
-
Autorisez l'application Partner AI à accéder au License Manager à l'aide du AWS CLI. Ces autorisations sont nécessaires pour accéder aux licences de l'application Partner AI. Cela permet à l'application Partner AI de vérifier l'accès à la licence de l'application Partner AI.
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "license-manager:ExtendLicenseConsumption", "license-manager:GetLicense", "license-manager:GetLicenseUsage" ], "Resource": "*" } }' -
Si l'application Partner AI nécessite l'accès à un compartiment Amazon S3, ajoutez des autorisations Amazon S3 au rôle d'exécution. Pour plus d'informations, consultez Autorisations requises pour les opérations d'API Amazon S3.
Une fois que les administrateurs ont défini les paramètres des autorisations administratives, ils doivent s'assurer que les utilisateurs disposent des autorisations nécessaires pour accéder aux applications Partner AI.
-
Accordez à SageMaker AI l'autorisation d'exécuter des opérations en votre nom en utilisant d'autres Services AWS. Les administrateurs doivent autoriser l' SageMaker IA à utiliser ces services et les ressources sur lesquelles ils agissent. Les administrateurs accordent ces autorisations à SageMaker AI en utilisant un rôle d'exécution IAM. Pour plus d'informations sur les rôles IAM, consultez la section Rôles IAM. La définition de politique suivante explique comment accorder les autorisations requises pour les applications Partner AI. Cette politique peut être ajoutée au rôle d'exécution du profil utilisateur. Pour de plus amples informations, veuillez consulter Comment utiliser les rôles d'exécution de l' SageMaker IA.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl" ], "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*" } ] } -
(Facultatif) Si vous lancez des applications d'IA partenaires depuis Studio, ajoutez la politique de
sts:TagSessionconfiance au rôle utilisé pour lancer directement Studio ou les applications d'IA partenaires comme suit. Cela garantit que l'identité peut être propagée correctement.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } -
(Facultatif) Si vous utilisez le SDK d'une application Partner AI pour accéder aux fonctionnalités de l' SageMaker IA, ajoutez l'
CallPartnerAppApiautorisation suivante au rôle utilisé pour exécuter le code du SDK. Si vous exécutez le code du SDK depuis Studio, ajoutez l'autorisation au rôle d'exécution de Studio. Si vous exécutez le code depuis un autre endroit que Studio, ajoutez l'autorisation au rôle IAM utilisé avec le bloc-notes. Cela permet à l'utilisateur d'accéder à la fonctionnalité de l'application Partner AI à partir du SDK de l'application Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "sagemaker:CallPartnerAppApi" ], "Resource": [ "arn:aws:sagemaker:region:account:partner-app/app" ] } ] }
Gestion de l'autorisation et de l'authentification des utilisateurs
Pour permettre aux membres de leur équipe d'accéder aux applications d'IA partenaires, les administrateurs doivent s'assurer que l'identité de leurs utilisateurs est transmise aux applications d'IA partenaires. Cette propagation garantit que les utilisateurs peuvent accéder correctement à l'interface utilisateur des applications Partner AI et effectuer des actions autorisées sur les applications Partner AI.
Les applications d'IA partenaires prennent en charge les sources d'identité suivantes :
-
AWS IAM Identity Center
-
Fournisseurs d'identité externes (IdPs)
-
Identité basée sur les sessions IAM
Les sections suivantes fournissent des informations sur les sources d'identité prises en charge par les applications Partner AI, ainsi que des détails importants relatifs à cette source d'identité.
Si un utilisateur est authentifié dans Studio à l'aide d'IAM Identity Center et lance une application depuis Studio, le IAM Identity Center UserName est automatiquement propagé en tant qu'identité utilisateur pour une application Partner AI. Ce n'est pas le cas si l'utilisateur lance l'application Partner AI directement à l'aide de l'CreatePartnerAppPresignedUrlAPI.
Si vous utilisez SAML pour Compte AWS la fédération, les administrateurs ont deux options pour transférer l'identité de l'IdP en tant qu'identité d'utilisateur pour une application Partner AI. Pour plus d'informations sur Compte AWS la configuration de la fédération, voir Comment configurer SAML 2.0 pour la Compte AWS fédération
-
Balise principale : les administrateurs peuvent configurer l'application IAM Identity Center spécifique à l'IdP pour transmettre les informations d'identité de la session de lancement à l'aide de la AWS session
PrincipalTagavec l'attribut suivant.NameLorsque vous utilisez SAML, la session de rôle d'accueil utilise un rôle IAM. Pour utiliser lePrincipalTag, les administrateurs doivent ajouter l'sts:TagSessionautorisation à ce rôle d'accueil, ainsi qu'au rôle d'exécution de Studio. Pour plus d'informationsPrincipalTag, voir Configurer les assertions SAML pour la réponse d'authentification.https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser -
Nom de la session de lancement : les administrateurs peuvent propager le nom de la session de lancement comme identité de l'application Partner AI. Pour ce faire, ils doivent définir l'indicateur
EnableIamSessionBasedIdentityd'adhésion pour chaque application Partner AI. Pour de plus amples informations, veuillez consulter EnableIamSessionBasedIdentity.
Important
Nous ne recommandons pas d'utiliser cette méthode pour les comptes de production. Pour les comptes de production, utilisez un fournisseur d'identité pour une sécurité accrue.
SageMaker L'IA prend en charge les options suivantes pour la propagation de l'identité lors de l'utilisation d'une identité basée sur une session IAM. Toutes les options, à l'exception de l'utilisation d'une balise de session avec AWS STS, nécessitent de définir l'indicateur EnableIamSessionBasedIdentity d'opt-in pour chaque application. Pour de plus amples informations, veuillez consulter EnableIamSessionBasedIdentity.
Lors de la propagation des identités, l' SageMaker IA vérifie si une balise de AWS STS session est utilisée. Si aucun n'est utilisé, l' SageMaker IA propage le nom d'utilisateur ou le nom de AWS STS session IAM.
-
AWS STS Tag de session : les administrateurs peuvent définir un tag de
SageMakerPartnerAppUsersession pour la session IAM du lanceur. Lorsque les administrateurs lancent une application Partner AI à l'aide de la console SageMaker AI ou du AWS CLI, le tag deSageMakerPartnerAppUsersession est automatiquement transmis comme identité utilisateur pour l'application Partner AI. L'exemple suivant montre comment définir la balise deSageMakerPartnerAppUsersession à l'aide du AWS CLI. La valeur de la clé est ajoutée en tant que balise principale.aws sts assume-role \ --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app\ --role-session-name session_name \ --tags Key=SageMakerPartnerAppUser,Value=user-nameLorsque vous donnez aux utilisateurs l'accès à une application Partner AI à l'aide de
CreatePartnerAppPresignedUrl, nous recommandons de vérifier la valeur de laSageMakerPartnerAppUserclé. Cela permet d'éviter tout accès involontaire aux ressources de l'application Partner AI. La politique de confiance suivante vérifie que le tag de session correspond exactement à l'utilisateur IAM associé. Les administrateurs peuvent utiliser n'importe quelle balise principale à cette fin. Il doit être configuré sur le rôle qui lance Studio ou l'application Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringLike": { "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}" } } } ] } -
Utilisateur IAM authentifié : le nom d'utilisateur de l'utilisateur est automatiquement propagé en tant qu'utilisateur de l'application Partner AI.
-
AWS STS nom de session — Si aucune balise de
SageMakerPartnerAppUsersession n'est configurée lors de l'utilisation AWS STS, SageMaker AI renvoie une erreur lorsque les utilisateurs lancent une application Partner AI. Pour éviter cette erreur, les administrateurs doivent définir l'indicateur d'EnableIamSessionBasedIdentityadhésion pour chaque application Partner AI. Pour de plus amples informations, veuillez consulter EnableIamSessionBasedIdentity.Lorsque l'indicateur
EnableIamSessionBasedIdentityd'opt-in est activé, utilisez la politique de confiance des rôles IAM pour vous assurer que le nom de session IAM est ou contient le nom d'utilisateur IAM. Cela garantit que les utilisateurs n'y accèdent pas en se faisant passer pour d'autres utilisateurs. La politique de confiance suivante vérifie que le nom de session correspond exactement à l'utilisateur IAM associé. Les administrateurs peuvent utiliser n'importe quelle balise principale à cette fin. Il doit être configuré sur le rôle qui lance Studio ou l'application Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:username}" } } } ] }Les administrateurs doivent également ajouter la politique de
sts:TagSessionconfiance au rôle qui lance Studio ou l'application Partner AI. Cela garantit que l'identité peut être propagée correctement.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] }
Après avoir défini les informations d'identification, les administrateurs peuvent donner à leurs utilisateurs l'accès à Studio ou à l'application Partner AI AWS CLI en utilisant respectivement les appels CreatePresignedDomainUrl ou l'CreatePartnerAppPresignedUrlAPI.
Les utilisateurs peuvent également lancer Studio depuis la console SageMaker AI et lancer les applications Partner AI depuis Studio.
EnableIamSessionBasedIdentity
EnableIamSessionBasedIdentityest un drapeau opt-in. Lorsque l'EnableIamSessionBasedIdentityindicateur est activé, SageMaker AI transmet les informations de session IAM en tant qu'identité utilisateur de l'application Partner AI. Pour plus d'informations sur les AWS STS sessions, voir Utiliser des informations d'identification temporaires avec AWS les ressources.
Contrôle d’accès
Pour contrôler l'accès aux applications Partner AI, utilisez une politique IAM associée au rôle d'exécution du profil utilisateur. Pour lancer une application Partner AI directement depuis Studio ou à l'aide du AWS CLI, le rôle d'exécution du profil utilisateur doit disposer d'une politique autorisant l'CreatePartnerAppPresignedUrlAPI. Supprimez cette autorisation du rôle d'exécution du profil utilisateur pour vous assurer qu'il ne puisse pas lancer d'applications Partner AI.
Utilisateurs administrateurs root
Le Comet and Fiddler Les applications d'IA partenaires nécessitent au moins un utilisateur administrateur root. Les utilisateurs administrateurs root sont autorisés à ajouter à la fois des utilisateurs normaux et des utilisateurs administrateurs et à gérer les ressources. Les noms d'utilisateur fournis en tant qu'administrateurs root doivent être cohérents avec les noms d'utilisateur de la source d'identité.
Alors que les utilisateurs administrateurs root sont conservés dans l' SageMaker IA, les utilisateurs administrateurs normaux ne le sont pas et n'existent que dans l'application Partner AI jusqu'à ce que l'application Partner AI soit fermée.
Les administrateurs peuvent mettre à jour les utilisateurs administrateurs root à l'aide de l'appel UpdatePartnerApp d'API. Lorsque les utilisateurs de l'administrateur root sont mis à jour, la liste mise à jour des utilisateurs de l'administrateur root est transmise à l'application Partner AI. L'application Partner AI garantit que tous les noms d'utilisateur de la liste disposent de privilèges d'administrateur root. Si un utilisateur administrateur root est supprimé de la liste, il conserve ses autorisations d'administrateur normales jusqu'à ce que :
-
L'utilisateur est supprimé de l'application.
-
Un autre utilisateur administrateur révoque les autorisations d'administrateur pour cet utilisateur.
Note
Fiddler ne prend pas en charge la mise à jour des utilisateurs administrateurs. Uniquement Comet prend en charge les mises à jour pour les utilisateurs administrateurs root.
Pour supprimer un utilisateur administrateur root, vous devez d'abord mettre à jour la liste des utilisateurs administrateur root à l'aide de l'UpdatePartnerAppAPI. Supprimez ou révoquez ensuite les autorisations d'administrateur via l'interface utilisateur de l'application Partner AI.
Si vous supprimez un utilisateur administrateur root de l'interface utilisateur de l'application Partner AI sans mettre à jour la liste des utilisateurs administrateurs root avec l'UpdatePartnerAppAPI, la modification est temporaire. Lorsque SageMaker AI envoie la prochaine demande de mise à jour de l'application Partner SageMaker AI, AI envoie la liste des administrateurs root qui inclut toujours l'utilisateur à l'application Partner AI. Cela remplace la suppression effectuée depuis l'interface utilisateur de l'application Partner AI.
