Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura il supporto per più account per Amazon SageMaker Model Cards
Utilizza il supporto per più account in Amazon SageMaker Model Cards per condividere schede modello tra AWS account. L'account in cui vengono create le schede modello è l’account della scheda modello. Gli utenti dell'account della scheda modello la condividono con gli account condivisi. Gli utenti di un account condiviso possono aggiornare i modelli di schede o crearne PDFs di nuovi.
Gli utenti dell'account Model Card condividono le proprie schede modello tramite AWS Resource Access Manager (AWS RAM). AWS RAM ti aiuta a condividere le risorse tra AWS gli account. Per un'introduzione a AWS RAM, vedi Cos'è AWS Resource Access Manager?
Di seguito è riportato il processo di condivisione delle schede modello:
-
Un utente nell'account della scheda modello configura il modello di condivisione delle schede tra account utilizzando AWS Resource Access Manager.
-
Se le schede modello sono crittografate con AWS KMS chiavi, l'utente che configura la condivisione dei modelli deve inoltre fornire le AWS KMS autorizzazioni agli utenti dell'account condiviso.
-
Un utente dell'account condiviso accetta l'invito alla condivisione delle risorse.
-
Un utente dell'account condiviso fornisce agli altri utenti le autorizzazioni per accedere alle schede modello.
Se sei un utente dell'account della scheda modello, consulta le sezioni seguenti:
Se sei un utente dell'account condiviso, consulta Configurazione delle autorizzazioni utente IAM per l'account condiviso per configurare le autorizzazioni per te e per gli altri utenti dell'account.
Configurazione di una condivisione di schede tra account
Usa AWS Resource Access Manager (AWS RAM) per concedere agli utenti del tuo AWS account l'accesso per visualizzare o aggiornare le schede modello create in un altro AWS account.
Per configurare la condivisione di schede modello, devi creare una condivisione di risorse. Una condivisione di risorse specifica:
-
Le risorse condivise
-
Chi o cosa ha accesso alle risorse
-
Autorizzazioni gestite per le risorse
Per ulteriori informazioni sulla condivisione delle risorse, consulta Termini e concetti per AWS RAM. Ti consigliamo di dedicare del tempo alla comprensione AWS RAM concettuale prima di iniziare il processo di creazione di una condivisione di risorse.
Importante
È necessario disporre delle autorizzazioni per creare una condivisione di risorse. Per ulteriori informazioni sulle autorizzazioni, consulta How AWS RAM works with IAM.
Per le procedure per creare una condivisione di risorse e ulteriori informazioni su di esse, consulta Creazione di una condivisione di risorse.
Quando si esegue la procedura di creazione di una condivisione di risorse, si specifica sagemaker:ModelCard come tipo di risorsa. È inoltre necessario specificare l'Amazon Resource Number (ARN) della policy basata sulle AWS RAM risorse. Puoi specificare la policy predefinita o la policy con autorizzazioni aggiuntive per creare un PDF della scheda modello.
Con la policy predefinita AWSRAMPermissionSageMakerModelCards basata sulle risorse, gli utenti dell'account condiviso dispongono delle autorizzazioni per eseguire le seguenti operazioni:
Con la policy AWSRAMPermissionSageMakerModelCardsAllowExport basata sulle risorse, gli utenti dell'account condiviso dispongono delle autorizzazioni per eseguire tutte le azioni precedenti. Dispongono inoltre delle autorizzazioni per creare un processo di esportazione di schede modello e descriverlo attraverso le seguenti operazioni:
Gli utenti dell'account condiviso possono creare un processo di esportazione per generare un PDF di una scheda modello. Possono anche descrivere un processo di esportazione che è stato creato per trovare l'URI Amazon S3 del PDF.
Le schede modello e i processi di esportazione sono risorse. L'account della scheda modello possiede i processi di esportazione creati da un utente nell'account condiviso. Ad esempio, un utente nell'account A condivide la scheda modello X con l'account condiviso B. Un utente nell'account B crea il processo di esportazione Y per la scheda modello X che memorizza l'output in una posizione Amazon S3 specificata dall'utente nell'account B. Anche se l'account B ha creato il processo di esportazione Y, questo appartiene all'account A.
Ogni AWS account ha quote di risorse. Per informazioni sulle quote relative ai modelli di schede, consulta Endpoint e quote Amazon SageMaker AI.
Configura le AWS KMS autorizzazioni per l'account condiviso
Se le schede modello che condividi sono state crittografate con AWS Key Management Service chiavi, devi anche condividere l'accesso alle chiavi con l'account condiviso. In caso contrario, gli utenti dell'account condiviso non possono visualizzare, aggiornare o esportare le schede modello. Per una panoramica di AWS KMS, vedi AWS Key Management Service.
Per fornire AWS KMS le autorizzazioni agli utenti dell'account condiviso, aggiorna la politica chiave con la seguente dichiarazione:
{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::shared-account-id::role/example-IAM-role" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ] "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id" "Condition": { "Bool": {"kms:GrantIsForAWSResource": true }, "StringEquals": { "kms:ViaService": [ "sagemaker.AWS-Region.amazonaws.com", "s3.AWS-Region.amazonaws.com" ], }, "StringLike": { "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name" } } }
L'istruzione precedente fornisce agli utenti dell'account condiviso le autorizzazioni kms:Decrypt e kms:GenerateDataKey. Con kms:Decrypt, gli utenti possono decrittografare le schede modello. Conkms:GenerateDataKey, gli utenti possono crittografare i modelli di schede che aggiornano o PDFs che creano.
Ottenimento di risposte all'invito alla condivisione di risorse
Dopo aver creato una condivisione di risorse, gli account condivisi che hai specificato nella condivisione di risorse ricevono un invito a partecipare. Devono accettare l'invito per accedere alle risorse.
Per informazioni sull'accettazione di un invito alla condivisione di risorse, vedere Using shared AWS resources nella AWS Resource Access Manager User Guide.
Configurazione delle autorizzazioni utente IAM per l'account condiviso
Le seguenti informazioni presuppongono che tu abbia accettato l'invito alla condivisione delle risorse dall'account della scheda modello. Per ulteriori informazioni sull'accettazione di un invito alla condivisione di risorse, vedere Utilizzo di AWS risorse condivise.
Tu e gli altri utenti del tuo account utilizzate un ruolo IAM per accedere alle schede modello condivise dall'account della scheda modello. Utilizza il seguente modello per modificare la policy del ruolo IAM. Puoi modificare il modello per il tuo caso d'uso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeModelCard", "sagemaker:UpdateModelCard", "sagemaker:CreateModelCardExportJob", "sagemaker:ListModelCardVersions", "sagemaker:DescribeModelCardExportJob" ], "Resource": [ "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0", "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*" ] }, { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*" } ] }
Per accedere alle schede modello crittografate utilizzando AWS KMS, devi fornire agli utenti del tuo account le seguenti AWS KMS autorizzazioni.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id" }
