Siapkan dukungan lintas akun untuk Kartu SageMaker Model Amazon - Amazon SageMaker
Siapkan berbagi kartu model lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan dukungan lintas akun untuk Kartu SageMaker Model Amazon

Gunakan dukungan lintas akun di Kartu SageMaker Model Amazon untuk berbagi kartu model antar AWS akun. Akun tempat kartu model dibuat adalah akun kartu model. Pengguna di akun kartu model membagikannya dengan akun bersama. Pengguna di akun bersama dapat memperbarui kartu model atau membuatnyaPDFs.

Pengguna di akun kartu model membagikan kartu model mereka melalui AWS Resource Access Manager (AWS RAM). AWS RAM membantu Anda berbagi sumber daya di seluruh AWS akun. Untuk pengantar AWS RAM, lihat Apa itu AWS Resource Access Manager?

Berikut ini adalah proses untuk berbagi kartu model:

  1. Seorang pengguna di akun kartu model mengatur berbagi kartu model lintas akun menggunakan AWS Resource Access Manager.

  2. Jika kartu model dienkripsi dengan AWS KMS kunci, pengguna yang mengatur berbagi model juga harus memberikan izin kepada pengguna di akun bersama AWS KMS .

  3. Pengguna di akun bersama menerima undangan untuk berbagi sumber daya.

  4. Seorang pengguna di akun bersama memberi pengguna lain izin untuk mengakses kartu model.

Jika Anda pengguna di akun kartu model, lihat bagian berikut:

Jika Anda pengguna di akun bersama, lihat Mengatur izin IAM pengguna di akun bersama tentang menyiapkan izin untuk diri sendiri dan pengguna lain di akun tersebut.

Siapkan berbagi kartu model lintas akun

Gunakan AWS Resource Access Manager (AWS RAM) untuk memberi pengguna di AWS akun Anda akses untuk melihat atau memperbarui kartu model yang dibuat di AWS akun lain.

Untuk mengatur berbagi kartu model, Anda harus membuat pembagian sumber daya. Pembagian sumber daya menentukan:

  • Sumber daya yang dibagikan

  • Siapa atau apa yang memiliki akses ke sumber daya

  • Izin terkelola untuk sumber daya

Untuk informasi selengkapnya tentang pembagian sumber daya, lihat Persyaratan dan konsep untuk AWS RAM. Kami merekomendasikan meluangkan waktu untuk memahami AWS RAM secara konseptual sebelum Anda melalui proses membuat pembagian sumber daya.

penting

Anda harus memiliki izin untuk membuat pembagian sumber daya. Untuk informasi selengkapnya tentang izin, lihat Cara AWS RAM kerjanya. IAM

Untuk prosedur untuk membuat pembagian sumber daya dan informasi tambahan tentangnya, lihat Membuat berbagi sumber daya.

Saat Anda menjalani prosedur membuat pembagian sumber daya, Anda menentukan sagemaker:ModelCard sebagai jenis sumber daya. Anda juga harus menentukan Amazon Resource Number (ARN) dari kebijakan AWS RAM berbasis sumber daya. Anda dapat menentukan kebijakan default atau kebijakan yang memiliki izin tambahan untuk membuat PDF kartu model.

Dengan kebijakan AWSRAMPermissionSageMakerModelCards berbasis sumber daya default, pengguna di akun bersama memiliki izin untuk melakukan operasi berikut:

Dengan kebijakan AWSRAMPermissionSageMakerModelCardsAllowExport berbasis sumber daya, pengguna di akun bersama memiliki izin untuk melakukan semua tindakan sebelumnya. Mereka juga memiliki izin untuk membuat pekerjaan ekspor kartu model dan menjelaskannya melalui operasi berikut:

Pengguna di akun bersama dapat membuat pekerjaan ekspor untuk menghasilkan PDF kartu model. Mereka juga dapat menggambarkan pekerjaan ekspor yang telah dibuat untuk menemukan Amazon PDF S3URI.

Kartu model dan pekerjaan ekspor adalah sumber daya. Akun kartu model memiliki pekerjaan ekspor yang dibuat oleh pengguna di akun bersama. Misalnya, pengguna di akun A berbagi kartu model X dengan akun bersama B. Seorang pengguna di akun B membuat pekerjaan ekspor Y untuk kartu model X yang menyimpan output di lokasi Amazon S3 yang ditentukan pengguna di akun B. Meskipun akun B membuat pekerjaan ekspor Y, itu milik akun A.

Setiap AWS akun memiliki kuota sumber daya. Untuk informasi tentang kuota yang terkait dengan kartu model, lihat SageMaker titik akhir dan kuota Amazon.

Mengatur AWS KMS izin untuk akun bersama

Jika kartu model yang Anda bagikan telah dienkripsi dengan AWS Key Management Service kunci, Anda juga perlu membagikan akses ke kunci dengan akun bersama. Jika tidak, pengguna di akun bersama tidak dapat melihat, memperbarui, atau mengekspor kartu model. Untuk ikhtisar AWS KMS, lihat AWS Key Management Service.

Untuk memberikan AWS KMS izin kepada pengguna di akun bersama, perbarui kebijakan kunci Anda dengan pernyataan berikut:


{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::shared-account-id::role/example-IAM-role"
        ]
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
    ]
    "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id"
    "Condition": {
        "Bool": {"kms:GrantIsForAWSResource": true },
        "StringEquals": {
            "kms:ViaService": [
                "sagemaker.AWS-Region.amazonaws.com", 
                "s3.AWS-Region.amazonaws.com"
            ],
        },
        "StringLike": {
          "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name"
        }
    }    
}

Pernyataan sebelumnya memberi pengguna di akun bersama kms:Decrypt dan kms:GenerateDataKey izin. Dengankms:Decrypt, pengguna dapat mendekripsi kartu model. Dengankms:GenerateDataKey, pengguna dapat mengenkripsi kartu model yang mereka perbarui atau PDFs yang mereka buat.

Dapatkan tanggapan atas undangan berbagi sumber daya Anda

Setelah Anda membuat pembagian sumber daya, akun bersama yang telah Anda tentukan dalam pembagian sumber daya menerima undangan untuk bergabung. Mereka harus menerima undangan untuk mengakses sumber daya.

Untuk informasi tentang menerima undangan berbagi sumber daya, lihat Menggunakan sumber AWS daya bersama di Panduan Pengguna AWS Resource Access Manager.

Mengatur izin IAM pengguna di akun bersama

Informasi berikut mengasumsikan bahwa Anda telah menerima undangan berbagi sumber daya dari akun kartu model. Untuk informasi selengkapnya tentang menerima undangan berbagi sumber daya, lihat Menggunakan AWS sumber daya bersama.

Anda dan pengguna lain di akun Anda menggunakan IAM peran untuk mengakses kartu model yang dibagikan dari akun kartu model. Gunakan templat berikut untuk mengubah kebijakan IAM peran. Anda dapat memodifikasi template untuk kasus penggunaan Anda sendiri.


{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeModelCard",
                 "sagemaker:UpdateModelCard",
                 "sagemaker:CreateModelCardExportJob",
                 "sagemaker:ListModelCardVersions",
                 "sagemaker:DescribeModelCardExportJob"
             ],
             "Resource": [
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0",
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*"
             ]
        },
        { 
             "Effect": "Allow", 
             "Action": "s3:PutObject",
             "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*"
        }
    ]
}

Untuk mengakses kartu model yang dienkripsi menggunakan AWS KMS, Anda harus memberikan izin berikut AWS KMS kepada pengguna di akun Anda.


{
     "Effect": "Allow",
     "Action": [
         "kms:GenerateDataKey",
         "kms:Decrypt",
     ],
     "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id"
}