Comprendere lo spazio di dominio, le autorizzazioni e i ruoli di esecuzione - Amazon SageMaker
SageMaker ruoli di esecuzioneEsempio di autorizzazioni flessibili con ruoli di esecuzione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere lo spazio di dominio, le autorizzazioni e i ruoli di esecuzione

Un SageMaker dominio Amazon è un ambiente in cui il tuo team può accedere alle SageMaker risorse. Un dominio semplifica la gestione di applicazioni, risorse e autorizzazioni di machine learning (ML) per i profili utente del dominio. Puoi accedere alle SageMaker applicazioni, come Code Editor, basate su Code-OSS, Visual Studio Code - Open Source e Studio Classic JupyterLabRStudio, tramite il tuo dominio. Per ulteriori informazioni sui domini, consultaPanoramica SageMaker del dominio Amazon.

Per molte SageMaker applicazioni, quando si avvia un' SageMaker applicazione all'interno di un dominio viene creato uno spazio per l'applicazione. Quando un profilo utente crea uno spazio, tale spazio presuppone un AWS Identity and Access Management (IAM) ruolo che definisce le autorizzazioni concesse a quello spazio. Un IAMruolo è un'IAMidentità che puoi creare nel tuo account con autorizzazioni specifiche. Un IAM ruolo è simile a un IAM utente in quanto è un AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, anziché essere associato esclusivamente a una persona, un ruolo è pensato per essere assunto da chiunque ne abbia bisogno. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

Nota

Quando avvii Amazon SageMaker Canvas oppureRStudio, Amazon Canvas non crea uno spazio che assuma un IAM ruolo. Invece, modifichi il ruolo associato al profilo utente per gestirne le autorizzazioni per l'applicazione. Per informazioni su come ottenere il ruolo di un profilo SageMaker utente, vedereOttieni il ruolo di esecuzione dell'utente.

Per SageMaker Canvas, vediConfigurazione e gestione di Amazon SageMaker Canvas (per amministratori IT).

PerRStudio, vediCrea un SageMaker dominio Amazon con l'app RStudio.

Gli utenti possono accedere alle proprie SageMaker applicazioni all'interno di uno spazio condiviso o privato.

Spazi condivisi

  • A un'applicazione può essere associato un solo spazio. Tutti i profili utente all'interno del dominio possono accedere a uno spazio condiviso. Ciò garantisce a tutti i profili utente del dominio l'accesso allo stesso sistema di archiviazione dei file sottostante per l'applicazione.

  • Allo spazio condiviso verranno concesse le autorizzazioni definite dal ruolo di esecuzione predefinito dello spazio. Se si desidera modificare il ruolo di esecuzione dello spazio condiviso, è necessario modificare il ruolo di esecuzione predefinito dello spazio.

    Per informazioni su come ottenere il ruolo di esecuzione predefinito dello spazio, vedereOttieni il ruolo di esecuzione spaziale.

    Per informazioni sulla modifica del ruolo di esecuzione, vedereModifica le autorizzazioni per il ruolo di esecuzione.

  • Per informazioni sugli spazi condivisi, vedereCollaborazione con spazi condivisi.

  • Per creare uno spazio condiviso, vedereCreazione di uno spazio condiviso.

Spazi privati

  • A un'applicazione può essere associato un solo spazio. Uno spazio privato è accessibile solo dal profilo utente che lo ha creato. Questo spazio non può essere condiviso con altri utenti.

  • Lo spazio privato assumerà il ruolo di esecuzione del profilo utente che lo ha creato. Se si desidera modificare il ruolo di esecuzione dello spazio privato, è necessario modificare il ruolo di esecuzione del profilo utente.

    Per informazioni su come ottenere il ruolo di esecuzione del profilo utente, vedereOttieni il ruolo di esecuzione dell'utente.

    Per informazioni sulla modifica del ruolo di esecuzione, vedereModifica le autorizzazioni per il ruolo di esecuzione.

  • Tutte le applicazioni che supportano gli spazi supportano anche gli spazi privati.

  • Per impostazione predefinita, uno spazio privato per Studio Classic è già stato creato per ogni profilo utente.

  • Per creare uno spazio privato in Amazon SageMaker Studio

    1. Avvia Amazon SageMaker Studio.

    2. Nel riquadro di navigazione a sinistra, scegli l'applicazione che desideri eseguire in Applicazioni.

    3. Scegli + Crea spazio.

    4. Digita un nome per il tuo spazio e scegli Privato.

    5. Scegli Crea spazio.

SageMaker ruoli di esecuzione

Un ruolo di SageMaker esecuzione è un AWS Ruolo Identity and Access Management (IAM) assegnato a un'IAMidentità che esegue esecuzioni in SageMaker. Un'IAMidentità fornisce l'accesso a un AWS account e rappresenta un utente umano o un carico di lavoro programmatico che può essere autenticato e quindi autorizzato a eseguire azioni in AWS, che concede le autorizzazioni per accedere ad altri SageMaker AWS risorse per tuo conto. Questo ruolo consente di SageMaker eseguire azioni come l'avvio di istanze di calcolo, l'accesso ai dati e agli artefatti del modello archiviati in Amazon S3 o la scrittura di log su. CloudWatch SageMaker assume il ruolo di esecuzione in fase di esecuzione e riceve temporaneamente le autorizzazioni definite nella politica del ruolo. Il ruolo deve contenere le autorizzazioni necessarie che definiscono le azioni che l'identità può eseguire e le risorse a cui l'identità ha accesso. Puoi assegnare ruoli a varie identità per fornire un approccio flessibile e granulare alla gestione delle autorizzazioni e degli accessi all'interno del tuo dominio. Per ulteriori informazioni sui domini, consulta. Panoramica SageMaker del dominio Amazon Ad esempio, puoi assegnare IAM ruoli a:

  • Ruolo di esecuzione del dominio per concedere ampie autorizzazioni a tutti i profili utente all'interno del dominio.

  • Ruolo di esecuzione spaziale per concedere ampie autorizzazioni per spazi condivisi all'interno del dominio. Tutti i profili utente del dominio possono accedere agli spazi condivisi e utilizzeranno il ruolo di esecuzione dello spazio all'interno dello spazio condiviso.

  • Ruolo di esecuzione del profilo utente per concedere autorizzazioni dettagliate per profili utente specifici. Uno spazio privato creato da un profilo utente assumerà il ruolo di esecuzione di quel profilo utente.

Ciò consente di concedere le autorizzazioni necessarie al dominio mantenendo al contempo il principio delle autorizzazioni con privilegi minimi per i profili utente, per aderire alle migliori pratiche di sicurezza contenute in IAM AWS IAM Identity Center Guida per l'utente.

La propagazione di qualsiasi modifica o modifica ai ruoli di esecuzione può richiedere alcuni minuti. Per ulteriori informazioni, vedere Cambia il tuo ruolo di esecuzione oModifica le autorizzazioni per il ruolo di esecuzione, rispettivamente.

Esempio di autorizzazioni flessibili con ruoli di esecuzione

Con IAMi ruoli puoi gestire e concedere autorizzazioni a livelli ampi e granulari. L'esempio seguente include la concessione di autorizzazioni a livello di spazio e a livello di utente.

Supponiamo che tu sia un amministratore che sta configurando un dominio per un team di data scientist. Puoi consentire ai profili utente all'interno del dominio di avere accesso completo ai bucket Amazon Simple Storage Service (Amazon S3), SageMaker eseguire lavori di formazione e distribuire modelli utilizzando un'applicazione in uno spazio condiviso. In questo esempio, puoi creare un IAM ruolo chiamato "DataScienceTeamRole" con autorizzazioni ampie. Quindi puoi assegnare "DataScienceTeamRole" come ruolo di esecuzione predefinito dello spazio, concedendo ampie autorizzazioni al tuo team. Quando un profilo utente crea uno spazio condiviso, tale spazio assumerà il ruolo di esecuzione predefinito dello spazio. Per informazioni sull'assegnazione di un ruolo di esecuzione a un dominio esistente, vedereOttieni il ruolo di esecuzione spaziale.

Invece di consentire a ogni profilo utente individuale che lavora nel proprio spazio privato di avere pieno accesso ai bucket Amazon S3, puoi limitare le autorizzazioni di un profilo utente e impedirgli di modificare i bucket Amazon S3. In questo esempio, puoi concedere loro l'accesso in lettura ai bucket Amazon S3 per recuperare dati, eseguire lavori di SageMaker formazione e distribuire modelli nel loro spazio privato. Puoi creare un ruolo di esecuzione a livello utente chiamato "DataScientistRole" con autorizzazioni relativamente più limitate. È quindi possibile assegnare "DataScientistRole" al ruolo di esecuzione del profilo utente, concedendo le autorizzazioni necessarie per eseguire le attività specifiche di data science nell'ambito definito. Quando un profilo utente crea uno spazio privato, tale spazio assumerà il ruolo di esecuzione dell'utente. Per informazioni sull'assegnazione di un ruolo di esecuzione a un profilo utente esistente, vedereOttieni il ruolo di esecuzione dell'utente.

Per informazioni sui ruoli di SageMaker esecuzione e sull'aggiunta di autorizzazioni aggiuntive, vedere. Come utilizzare i ruoli di SageMaker esecuzione