Memahami izin ruang domain dan peran eksekusi - Amazon SageMaker
SageMaker peran eksekusiContoh izin fleksibel dengan peran eksekusi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami izin ruang domain dan peran eksekusi

SageMaker Domain Amazon adalah lingkungan bagi tim Anda untuk mengakses SageMaker sumber daya. Domain menyederhanakan pengelolaan aplikasi pembelajaran mesin (ML), sumber daya, dan izin untuk profil pengguna di domain. Anda dapat mengakses SageMaker aplikasi, seperti Editor Kode, berdasarkan Kode-OSS, Visual Studio Code - Open Source, JupyterLab,RStudio, dan Studio Classic, melalui domain Anda. Untuk informasi selengkapnya tentang domain, lihatIkhtisar SageMaker domain Amazon.

Untuk banyak SageMaker aplikasi, ketika Anda memulai SageMaker aplikasi dalam domain, ruang akan dibuat untuk aplikasi tersebut. Ketika profil pengguna membuat spasi, ruang tersebut mengasumsikan AWS Identity and Access Management (IAM) peran yang mendefinisikan izin yang diberikan ke ruang itu. IAMPeran adalah IAM identitas yang dapat Anda buat di akun Anda yang memiliki izin khusus. IAMPeran mirip dengan IAM pengguna dalam hal itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas AWS. Namun, alih-alih dikaitkan secara unik dengan satu orang, peran dimaksudkan untuk diasumsikan oleh siapa saja yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran.

catatan

Saat Anda memulai Amazon SageMaker Canvas atauRStudio, itu tidak menciptakan ruang yang mengambil IAM peran. Sebagai gantinya, Anda mengubah peran yang terkait dengan profil pengguna untuk mengelola izin mereka untuk aplikasi. Untuk informasi tentang mendapatkan peran profil SageMaker pengguna, lihatDapatkan peran eksekusi pengguna.

Untuk SageMaker Canvas, lihatMenyiapkan dan Mengelola Amazon SageMaker Canvas (untuk Administrator TI).

UntukRStudio, lihatBuat SageMaker domain Amazon dengan Aplikasi RStudio.

Pengguna dapat mengakses SageMaker aplikasi mereka dalam ruang bersama atau pribadi.

Ruang bersama

  • Hanya ada satu ruang yang terkait dengan aplikasi. Ruang bersama dapat diakses oleh semua profil pengguna dalam domain. Ini memberikan semua profil pengguna di domain akses ke sistem penyimpanan file dasar yang sama untuk aplikasi.

  • Ruang bersama akan diberikan izin yang ditentukan oleh peran eksekusi default spasi. Jika Anda ingin mengubah peran eksekusi ruang bersama, Anda harus mengubah peran eksekusi default spasi.

    Untuk informasi tentang mendapatkan peran eksekusi default spasi, lihatDapatkan peran eksekusi ruang.

    Untuk informasi tentang memodifikasi peran eksekusi Anda, lihatUbah izin ke peran eksekusi.

  • Untuk informasi tentang spasi bersama, lihatBerkolaborasi dengan ruang bersama.

  • Untuk membuat ruang bersama, lihatBuat ruang bersama.

Ruang pribadi

  • Hanya ada satu ruang yang terkait dengan aplikasi. Ruang pribadi hanya dapat diakses oleh profil pengguna yang membuatnya. Ruang ini tidak dapat dibagikan dengan pengguna lain.

  • Ruang pribadi akan mengasumsikan peran eksekusi profil pengguna dari profil pengguna yang membuatnya. Jika Anda ingin mengubah peran eksekusi ruang pribadi, Anda harus mengubah peran eksekusi profil pengguna.

    Untuk informasi tentang mendapatkan peran eksekusi profil pengguna, lihatDapatkan peran eksekusi pengguna.

    Untuk informasi tentang memodifikasi peran eksekusi Anda, lihatUbah izin ke peran eksekusi.

  • Semua aplikasi yang mendukung ruang juga mendukung ruang pribadi.

  • Ruang pribadi untuk Studio Classic sudah dibuat untuk setiap profil pengguna secara default.

  • Untuk membuat ruang pribadi di Amazon SageMaker Studio

    1. Luncurkan Amazon SageMaker Studio.

    2. Di panel navigasi kiri, pilih aplikasi yang ingin Anda jalankan di bawah Aplikasi.

    3. Pilih + Buat ruang.

    4. Ketik nama untuk ruang Anda dan pilih Pribadi.

    5. Pilih Buat ruang.

SageMaker peran eksekusi

Peran SageMaker eksekusi adalah AWS Peran Identity and Access Management (IAM) yang ditugaskan ke IAM identitas yang melakukan eksekusi di SageMaker. IAMIdentitas menyediakan akses ke AWS akun dan mewakili pengguna manusia atau beban kerja terprogram yang dapat diautentikasi dan kemudian diberi wewenang untuk melakukan tindakan di AWS, yang memberikan izin SageMaker untuk mengakses lainnya AWS sumber daya atas nama Anda. Peran ini memungkinkan SageMaker untuk melakukan tindakan seperti meluncurkan instance komputasi, mengakses data dan artefak model yang disimpan di Amazon S3, atau menulis log ke. CloudWatch SageMaker mengasumsikan peran eksekusi saat runtime dan sementara diberikan izin yang ditentukan dalam kebijakan peran. Peran harus berisi izin yang diperlukan yang menentukan tindakan yang dapat dilakukan identitas dan sumber daya yang dapat diakses identitas. Anda dapat menetapkan peran ke berbagai identitas untuk memberikan pendekatan yang fleksibel dan terperinci untuk mengelola izin dan akses dalam domain Anda. Untuk informasi lebih lanjut tentang domain, lihatIkhtisar SageMaker domain Amazon. Misalnya, Anda dapat menetapkan IAM peran ke:

  • Peran eksekusi domain untuk memberikan izin luas ke semua profil pengguna dalam domain.

  • Peran eksekusi ruang untuk memberikan izin luas untuk spasi bersama dalam domain. Semua profil pengguna di domain dapat mengakses spasi bersama dan akan menggunakan peran eksekusi ruang saat berada dalam ruang bersama.

  • Peran eksekusi profil pengguna untuk memberikan izin halus untuk profil pengguna tertentu. Ruang pribadi yang dibuat oleh profil pengguna akan menganggap peran eksekusi profil pengguna tersebut.

Ini memungkinkan Anda untuk memberikan izin yang diperlukan ke domain sambil tetap mempertahankan prinsip izin hak istimewa paling sedikit untuk profil pengguna, untuk mematuhi praktik terbaik keamanan di dalam IAM AWS IAM Identity Center Panduan Pengguna.

Setiap perubahan atau modifikasi pada peran eksekusi mungkin memerlukan beberapa menit untuk disebarkan. Untuk informasi lebih lanjut, lihat Ubah peran eksekusi Anda atauUbah izin ke peran eksekusi, masing-masing.

Contoh izin fleksibel dengan peran eksekusi

Dengan IAMperan, Anda dapat mengelola dan memberikan izin pada tingkat yang luas dan terperinci. Contoh berikut mencakup pemberian izin pada tingkat ruang dan tingkat pengguna.

Misalkan Anda adalah administrator yang menyiapkan domain untuk tim ilmuwan data. Anda dapat mengizinkan profil pengguna dalam domain memiliki akses penuh ke bucket Amazon Simple Storage Service (Amazon S3), SageMaker menjalankan tugas pelatihan, dan menerapkan model menggunakan aplikasi di ruang bersama. Dalam contoh ini, Anda dapat membuat IAM peran yang disebut "DataScienceTeamRole" dengan izin luas. Kemudian Anda dapat menetapkan "DataScienceTeamRole" sebagai peran eksekusi default spasi, memberikan izin luas untuk tim Anda. Saat profil pengguna membuat ruang bersama, ruang tersebut akan mengambil peran eksekusi default spasi. Untuk informasi tentang menetapkan peran eksekusi ke domain yang ada, lihatDapatkan peran eksekusi ruang.

Alih-alih mengizinkan profil pengguna individu yang bekerja di ruang pribadi mereka sendiri untuk memiliki akses penuh ke bucket Amazon S3, Anda dapat membatasi izin profil pengguna dan tidak mengizinkan mereka mengubah bucket Amazon S3. Dalam contoh ini, Anda dapat memberi mereka akses baca ke bucket Amazon S3 untuk mengambil data, menjalankan pekerjaan SageMaker pelatihan, dan menerapkan model di ruang pribadi mereka. Anda dapat membuat peran eksekusi tingkat pengguna yang disebut "DataScientistRole" dengan izin yang relatif lebih terbatas. Kemudian Anda dapat menetapkan "DataScientistRole" ke peran eksekusi profil pengguna, memberikan izin yang diperlukan untuk melakukan tugas ilmu data spesifik mereka dalam lingkup yang ditentukan. Ketika profil pengguna membuat ruang pribadi, ruang itu akan mengambil peran eksekusi pengguna. Untuk informasi tentang menetapkan peran eksekusi ke profil pengguna yang ada, lihatDapatkan peran eksekusi pengguna.

Untuk informasi tentang peran SageMaker eksekusi dan menambahkan izin tambahan ke peran tersebut, lihatCara menggunakan peran SageMaker eksekusi.