도메인 공간 권한 및 실행 역할 이해 - 아마존 SageMaker
SageMaker 실행 역할실행 역할을 포함한 유연한 권한의 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

도메인 공간 권한 및 실행 역할 이해

Amazon SageMaker 도메인은 팀이 SageMaker 리소스에 액세스할 수 있는 환경입니다. 도메인은 기계 학습 (ML) 애플리케이션, 리소스, 도메인 내 사용자 프로필 권한 관리를 간소화합니다. 도메인을 통해 코드, Visual Studio Code - 오픈 소스 OSS JupyterLabRStudio, 및 Studio Classic을 기반으로 코드 편집기와 같은 SageMaker 애플리케이션에 액세스할 수 있습니다. 도메인에 대한 자세한 내용은 을 참조하십시오아마존 SageMaker 도메인 개요.

대부분의 SageMaker 응용 프로그램의 경우 도메인 내에서 SageMaker 응용 프로그램을 시작하면 응용 프로그램을 위한 공간이 만들어집니다. 사용자 프로필이 스페이스를 생성할 때 해당 공간은 스페이스를 다음과 같이 가정합니다. AWS Identity and Access Management (IAM) 해당 공간에 부여되는 권한을 정의하는 역할. IAM역할은 특정 권한이 있는 계정에서 생성할 수 있는 IAM ID입니다. IAM역할은 다음과 같은 점에서 IAM 사용자와 비슷합니다. AWS ID가 수행할 수 있는 작업과 수행할 수 없는 작업을 결정하는 권한 포함 ID 정책 AWS. 그러나 역할은 한 사람과 고유하게 연관되는 것이 아니라 필요한 모든 사람이 맡을 수 있도록 하기 위한 것입니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다.

참고

Amazon SageMaker Canvas 또는 RStudio 를 시작하면 IAM 역할을 맡는 공간이 생성되지 않습니다. 대신 사용자 프로필과 관련된 역할을 변경하여 애플리케이션에 대한 사용자 권한을 관리합니다. SageMaker 사용자 프로필의 역할을 얻는 방법에 대한 자세한 내용은 을 참조하십시오사용자 실행 역할 가져오기.

SageMaker Canvas에 대한 내용은 을 참조하십시오Amazon SageMaker Canvas 설정 및 관리 (IT 관리자용).

자세한 내용은 RStudio 을 참조하십시오RStudio SageMaker 앱으로 아마존 도메인 생성.

사용자는 공유 공간 또는 개인 공간 내에서 SageMaker 애플리케이션에 액세스할 수 있습니다.

공유 공간

  • 애플리케이션에는 스페이스가 하나만 연결될 수 있습니다. 도메인 내의 모든 사용자 프로필이 공유 공간에 액세스할 수 있습니다. 이렇게 하면 도메인의 모든 사용자 프로필에 애플리케이션의 동일한 기본 파일 스토리지 시스템에 대한 액세스 권한이 부여됩니다.

  • 공유 공간에는 공간 기본 실행 역할에 정의된 권한이 부여됩니다. 공유 공간의 실행 역할을 수정하려면 스페이스 기본 실행 역할을 수정해야 합니다.

    스페이스 기본 실행 역할을 얻는 방법에 대한 자세한 내용은 을 참조하십시오스페이스 실행 역할 가져오기.

    실행 역할 수정에 대한 자세한 내용은 을 참조하십시오실행 역할에 대한 권한 수정.

  • 공유 공간에 대한 자세한 내용은 을 참조하십시오공유 스페이스로 협업하기.

  • 공유 공간을 만들려면 을 참조하십시오공유 스페이스 만들기.

프라이빗 스페이스

  • 애플리케이션에는 스페이스가 하나만 연결될 수 있습니다. 개인 공간은 해당 공간을 만든 사용자 프로필만 액세스할 수 있습니다. 이 공간은 다른 사용자와 공유할 수 없습니다.

  • 전용 공간은 해당 공간을 생성한 사용자 프로필의 사용자 프로필 실행 역할을 담당합니다. 전용 공간의 실행 역할을 수정하려면 사용자 프로필의 실행 역할을 수정해야 합니다.

    사용자 프로필의 실행 역할을 얻는 방법에 대한 자세한 내용은 을 참조하십시오사용자 실행 역할 가져오기.

    실행 역할 수정에 대한 자세한 내용은 을 참조하십시오실행 역할에 대한 권한 수정.

  • 스페이스를 지원하는 모든 애플리케이션은 전용 스페이스도 지원합니다.

  • Studio Classic용 전용 공간은 기본적으로 각 사용자 프로필에 대해 이미 생성되어 있습니다.

  • Amazon SageMaker 스튜디오에서 프라이빗 스페이스를 만들려면

    1. 아마존 SageMaker 스튜디오 시작.

    2. 왼쪽 탐색 창의 애플리케이션에서 실행하려는 애플리케이션을 선택합니다.

    3. + 공간 만들기를 선택합니다.

    4. 스페이스 이름을 입력하고 비공개를 선택합니다.

    5. 스페이스 만들기를 선택합니다.

SageMaker 실행 역할

SageMaker 실행 역할은 AWS 에서 SageMaker 실행을 수행하는 ID에 할당되는 IAM ID 및 Access Management (IAM) 역할입니다. IAMID는 다음 항목에 대한 액세스를 제공합니다. AWS 인증된 다음 작업을 수행할 수 있는 권한을 부여받을 수 있는 인간 사용자 또는 프로그래밍 방식의 워크로드를 나타내는 계정입니다. AWS, 다른 사용자에게 액세스할 수 있는 SageMaker 권한을 부여합니다. AWS 사용자를 위한 리소스 이 역할을 통해 컴퓨팅 인스턴스 시작, Amazon SageMaker S3에 저장된 데이터 및 모델 아티팩트 액세스, 로그 작성과 같은 작업을 수행할 수 CloudWatch 있습니다. SageMaker 런타임 시 실행 역할을 맡고 역할 정책에 정의된 권한을 일시적으로 부여받습니다. 역할에는 ID가 수행할 수 있는 작업과 해당 ID가 액세스할 수 있는 리소스를 정의하는 필수 권한이 포함되어야 합니다. 다양한 ID에 역할을 할당하여 도메인 내에서 권한 및 액세스를 관리하는 유연하고 세분화된 접근 방식을 제공할 수 있습니다. 도메인에 대한 자세한 내용은 을 참조하십시오. 아마존 SageMaker 도메인 개요 예를 들어, 다음에 IAM 역할을 할당할 수 있습니다.

  • 도메인 내 모든 사용자 프로필에 광범위한 권한을 부여하는 도메인 실행 역할.

  • 도메인 내 공유 공간에 광범위한 권한을 부여하는 스페이스 실행 역할. 도메인의 모든 사용자 프로필은 공유 공간에 액세스할 수 있으며 공유 공간 내에서 공간의 실행 역할을 사용합니다.

  • 사용자 프로필 실행 역할은 특정 사용자 프로필에 세분화된 권한을 부여하기 위한 것입니다. 사용자 프로필로 생성된 전용 공간은 해당 사용자 프로필의 실행 역할을 담당합니다.

이렇게 하면 사용자 프로필에 대한 최소 권한 권한 원칙을 유지하면서 도메인에 필요한 권한을 부여할 수 있으므로 에 나와 있는 보안 모범 사례를 준수할 수 있습니다. IAM AWS IAM Identity Center 사용 설명서.

실행 역할의 변경 또는 수정 사항이 적용되는 데 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 각각 실행 역할 변경 또는 실행 역할에 대한 권한 수정 를 참조하십시오.

실행 역할을 포함한 유연한 권한의 예

IAM역할을 사용하여 광범위하고 세분화된 수준에서 권한을 관리하고 부여할 수 있습니다. 다음 예에는 스페이스 수준 및 사용자 수준에 대한 권한 부여가 포함됩니다.

데이터 과학자 팀을 위해 도메인을 설정하는 관리자라고 가정해 보겠습니다. 도메인 내의 사용자 프로필이 Amazon Simple Storage Service (Amazon S3) 버킷에 대한 전체 액세스 권한을 갖도록 허용하고, 교육 작업을 SageMaker 실행하고, 공유 공간에서 애플리케이션을 사용하여 모델을 배포할 수 있습니다. 이 예시에서는 광범위한 권한을 가진 DataScienceTeamRole "“라는 IAM 역할을 생성할 수 있습니다. 그런 다음 스페이스 기본 실행 역할로 DataScienceTeamRole "“를 할당하여 팀에 광범위한 권한을 부여할 수 있습니다. 사용자 프로필로 공유 공간을 만들면 해당 공간이 공간 기본 실행 역할을 맡게 됩니다. 기존 도메인에 실행 역할을 할당하는 방법에 대한 자세한 내용은 을 참조하십시오스페이스 실행 역할 가져오기.

개인 공간에서 작업하는 개별 사용자 프로필이 Amazon S3 버킷에 대한 전체 액세스 권한을 갖도록 허용하는 대신, 사용자 프로필의 권한을 제한하여 Amazon S3 버킷을 변경하지 못하게 할 수 있습니다. 이 예시에서는 Amazon S3 버킷에 대한 읽기 액세스 권한을 부여하여 데이터를 검색하고, SageMaker 교육 작업을 실행하고, 전용 공간에 모델을 배포할 수 있습니다. 비교적 제한된 권한으로 DataScientistRole "“라는 사용자 수준 실행 역할을 생성할 수 있습니다. 그런 다음 사용자 프로필 실행 역할에 DataScientistRole "“을 할당하여 정의된 범위 내에서 특정 데이터 과학 작업을 수행하는 데 필요한 권한을 부여할 수 있습니다. 사용자 프로필이 전용 공간을 만들면 해당 공간이 사용자 실행 역할을 맡습니다. 기존 사용자 프로필에 실행 역할을 할당하는 방법에 대한 자세한 내용은 을 참조하십시오사용자 실행 역할 가져오기.

SageMaker 실행 역할 및 추가 권한 추가에 대한 자세한 내용은 을 참조하십시오 SageMaker 실행 역할 사용 방법.