Memahami izin ruang domain dan peran eksekusi - Amazon SageMaker AI
SageMaker Peran eksekusi AIContoh izin fleksibel dengan peran eksekusi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami izin ruang domain dan peran eksekusi

Untuk banyak aplikasi SageMaker AI, ketika Anda memulai aplikasi SageMaker AI dalam domain, ruang dibuat untuk aplikasi tersebut. Saat profil pengguna membuat spasi, ruang tersebut mengasumsikan peran AWS Identity and Access Management (IAM) yang menentukan izin yang diberikan ke ruang tersebut. Halaman berikut memberikan informasi tentang jenis ruang dan peran eksekusi yang menentukan izin untuk ruang.

IAMPeran adalah IAM identitas yang dapat Anda buat di akun Anda yang memiliki izin khusus. IAMPeran mirip dengan IAM pengguna karena merupakan AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran.

catatan

Saat Anda memulai Amazon SageMaker Canvas atauRStudio, itu tidak menciptakan ruang yang mengambil IAM peran. Sebagai gantinya, Anda mengubah peran yang terkait dengan profil pengguna untuk mengelola izin mereka untuk aplikasi. Untuk informasi tentang mendapatkan peran profil pengguna SageMaker AI, lihatDapatkan peran eksekusi pengguna.

Untuk SageMaker Canvas, lihatPengaturan Amazon SageMaker Canvas dan manajemen izin (untuk administrator TI).

Untuk RStudio, lihat Buat domain Amazon SageMaker AI dengan RStudio Aplikasi.

Pengguna dapat mengakses aplikasi SageMaker AI mereka dalam ruang bersama atau pribadi.

Ruang bersama

  • Hanya ada satu ruang yang terkait dengan aplikasi. Ruang bersama dapat diakses oleh semua profil pengguna dalam domain. Ini memberikan semua profil pengguna di domain akses ke sistem penyimpanan file dasar yang sama untuk aplikasi.

  • Ruang bersama akan diberikan izin yang ditentukan oleh peran eksekusi default spasi. Jika Anda ingin mengubah peran eksekusi ruang bersama, Anda harus mengubah peran eksekusi default spasi.

    Untuk informasi tentang mendapatkan peran eksekusi default spasi, lihatDapatkan peran eksekusi ruang.

    Untuk informasi tentang memodifikasi peran eksekusi Anda, lihatUbah izin ke peran eksekusi.

  • Untuk informasi tentang spasi bersama, lihatKolaborasi dengan ruang bersama.

  • Untuk membuat ruang bersama, lihatBuat ruang bersama.

Ruang pribadi

  • Hanya ada satu ruang yang terkait dengan aplikasi. Ruang pribadi hanya dapat diakses oleh profil pengguna yang membuatnya. Ruang ini tidak dapat dibagikan dengan pengguna lain.

  • Ruang pribadi akan mengasumsikan peran eksekusi profil pengguna dari profil pengguna yang membuatnya. Jika Anda ingin mengubah peran eksekusi ruang pribadi, Anda harus mengubah peran eksekusi profil pengguna.

    Untuk informasi tentang mendapatkan peran eksekusi profil pengguna, lihatDapatkan peran eksekusi pengguna.

    Untuk informasi tentang memodifikasi peran eksekusi Anda, lihatUbah izin ke peran eksekusi.

  • Semua aplikasi yang mendukung ruang juga mendukung ruang pribadi.

  • Ruang pribadi untuk Studio Classic sudah dibuat untuk setiap profil pengguna secara default.

SageMaker Peran eksekusi AI

Peran eksekusi SageMaker AI adalah peran AWS Identity and Access Management (IAM) yang ditetapkan ke IAM identitas yang melakukan eksekusi di SageMaker AI. IAMIdentitas menyediakan akses ke AWS akun dan mewakili pengguna manusia atau beban kerja terprogram yang dapat diautentikasi dan kemudian diberi wewenang untuk melakukan tindakan AWS, yang memberikan izin kepada SageMaker AI untuk mengakses sumber daya lain AWS atas nama Anda. Peran ini memungkinkan SageMaker AI untuk melakukan tindakan seperti meluncurkan instans komputasi, mengakses data dan artefak model yang disimpan di Amazon S3, atau menulis log ke. CloudWatch SageMaker AI mengasumsikan peran eksekusi saat runtime dan sementara diberikan izin yang ditentukan dalam kebijakan peran. Peran harus berisi izin yang diperlukan yang menentukan tindakan yang dapat dilakukan identitas dan sumber daya yang dapat diakses identitas. Anda dapat menetapkan peran ke berbagai identitas untuk memberikan pendekatan yang fleksibel dan terperinci untuk mengelola izin dan akses dalam domain Anda. Untuk informasi lebih lanjut tentang domain, lihatIkhtisar domain Amazon SageMaker AI. Misalnya, Anda dapat menetapkan IAM peran ke:

  • Peran eksekusi domain untuk memberikan izin luas ke semua profil pengguna dalam domain.

  • Peran eksekusi ruang untuk memberikan izin luas untuk spasi bersama dalam domain. Semua profil pengguna di domain dapat mengakses spasi bersama dan akan menggunakan peran eksekusi ruang saat berada dalam ruang bersama.

  • Peran eksekusi profil pengguna untuk memberikan izin halus untuk profil pengguna tertentu. Ruang pribadi yang dibuat oleh profil pengguna akan menganggap peran eksekusi profil pengguna tersebut.

Ini memungkinkan Anda untuk memberikan izin yang diperlukan ke domain sambil tetap mempertahankan prinsip izin hak istimewa terkecil untuk profil pengguna, untuk mematuhi praktik terbaik keamanan dalam Panduan Pengguna. IAM AWS IAM Identity Center

Setiap perubahan atau modifikasi pada peran eksekusi mungkin memerlukan beberapa menit untuk disebarkan. Untuk informasi lebih lanjut, lihat Ubah peran eksekusi Anda atauUbah izin ke peran eksekusi, masing-masing.

Contoh izin fleksibel dengan peran eksekusi

Dengan IAMperan, Anda dapat mengelola dan memberikan izin pada tingkat yang luas dan terperinci. Contoh berikut mencakup pemberian izin pada tingkat ruang dan tingkat pengguna.

Misalkan Anda adalah administrator yang menyiapkan domain untuk tim ilmuwan data. Anda dapat mengizinkan profil pengguna dalam domain memiliki akses penuh ke bucket Amazon Simple Storage Service (Amazon S3), SageMaker menjalankan tugas pelatihan, dan menerapkan model menggunakan aplikasi di ruang bersama. Dalam contoh ini, Anda dapat membuat IAM peran yang disebut "DataScienceTeamRole" dengan izin luas. Kemudian Anda dapat menetapkan "DataScienceTeamRole" sebagai peran eksekusi default spasi, memberikan izin luas untuk tim Anda. Saat profil pengguna membuat ruang bersama, ruang tersebut akan mengambil peran eksekusi default spasi. Untuk informasi tentang menetapkan peran eksekusi ke domain yang ada, lihatDapatkan peran eksekusi ruang.

Alih-alih mengizinkan profil pengguna individu yang bekerja di ruang pribadi mereka sendiri untuk memiliki akses penuh ke bucket Amazon S3, Anda dapat membatasi izin profil pengguna dan tidak mengizinkan mereka mengubah bucket Amazon S3. Dalam contoh ini, Anda dapat memberi mereka akses baca ke bucket Amazon S3 untuk mengambil data, menjalankan pekerjaan SageMaker pelatihan, dan menerapkan model di ruang pribadi mereka. Anda dapat membuat peran eksekusi tingkat pengguna yang disebut "DataScientistRole" dengan izin yang relatif lebih terbatas. Kemudian Anda dapat menetapkan "DataScientistRole" ke peran eksekusi profil pengguna, memberikan izin yang diperlukan untuk melakukan tugas ilmu data spesifik mereka dalam lingkup yang ditentukan. Ketika profil pengguna membuat ruang pribadi, ruang itu akan mengambil peran eksekusi pengguna. Untuk informasi tentang menetapkan peran eksekusi ke profil pengguna yang ada, lihatDapatkan peran eksekusi pengguna.

Untuk informasi tentang peran eksekusi SageMaker AI dan menambahkan izin tambahan padanya, lihatCara menggunakan peran eksekusi SageMaker AI.