기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
도메인 공간 권한 및 실행 역할 이해
많은 SageMaker 애플리케이션의 경우 도메인 내에서 SageMaker 애플리케이션을 시작하면 애플리케이션에 대한 공간이 생성됩니다. 사용자 프로필이 공백을 생성하면 해당 공백은 해당 공간에 부여된 권한을 정의하는 AWS Identity and Access Management (IAM) 역할을 수임합니다. 다음 페이지에서는 공간 유형과 공간에 대한 권한을 정의하는 실행 역할에 대한 정보를 제공합니다.
IAM 역할은 특정 권한이 있는 계정에서 생성할 수 있는 IAM 자격 증명입니다. IAM 역할은 에서 AWS 자격 증명이 수행할 수 있는 작업과 수행할 수 없는 작업을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 IAM 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다.
참고
Amazon SageMaker Canvas 또는 를 시작할 때 IAM 역할을 수임하는 공백이 생성되지 RStudio않습니다. 대신 사용자 프로필과 연결된 역할을 변경하여 애플리케이션에 대한 권한을 관리합니다. SageMaker 사용자 프로필의 역할을 가져오는 방법에 대한 자세한 내용은 섹션을 참조하세요사용자 실행 역할 가져오기.
SageMaker Canvas는 섹션을 참조하세요Amazon SageMaker Canvas 설정 및 권한 관리(IT 관리자용).
의 경우 섹션을 RStudio참조하세요RStudio SageMaker 앱으로 아마존 도메인 생성.
사용자는 공유 또는 프라이빗 공간 내에서 SageMaker 애플리케이션에 액세스할 수 있습니다.
공유 공간
-
애플리케이션과 연결된 공백은 하나만 있을 수 있습니다. 공유 공간은 도메인 내의 모든 사용자 프로필에서 액세스할 수 있습니다. 이렇게 하면 도메인의 모든 사용자 프로필이 애플리케이션에 대한 동일한 기본 파일 스토리지 시스템에 액세스할 수 있습니다.
-
공유 공간에는 공간 기본 실행 역할 에 의해 정의된 권한이 부여됩니다. 공유 공간의 실행 역할을 수정하려면 공간 기본 실행 역할을 수정해야 합니다.
공간 기본 실행 역할을 가져오는 방법에 대한 자세한 내용은 섹션을 참조하세요공간 실행 역할 가져오기.
실행 역할 수정에 대한 자세한 내용은 섹션을 참조하세요실행 역할에 대한 권한 수정.
-
공유 공간에 대한 자세한 내용은 섹션을 참조하세요공유 공간과의 협업.
-
공유 공간을 생성하려면 섹션을 참조하세요공유 스페이스 만들기.
프라이빗 스페이스
-
애플리케이션과 연결된 공백은 하나만 있을 수 있습니다. 프라이빗 스페이스는 프라이빗 스페이스를 생성한 사용자 프로필에서만 액세스할 수 있습니다. 이 공간은 다른 사용자와 공유할 수 없습니다.
-
프라이빗 스페이스는 프라이빗 스페이스를 생성한 사용자 프로필의 사용자 프로필 실행 역할을 맡습니다. 프라이빗 스페이스의 실행 역할을 수정하려면 사용자 프로필의 실행 역할을 수정해야 합니다.
사용자 프로필의 실행 역할을 가져오는 방법에 대한 자세한 내용은 섹션을 참조하세요사용자 실행 역할 가져오기.
실행 역할 수정에 대한 자세한 내용은 섹션을 참조하세요실행 역할에 대한 권한 수정.
-
공간을 지원하는 모든 애플리케이션은 프라이빗 공간도 지원합니다.
-
Studio Classic의 프라이빗 스페이스는 기본적으로 각 사용자 프로필에 대해 이미 생성됩니다.
SageMaker 실행 역할
SageMaker 실행 역할은 에서 실행을 수행하는 AWS 자격 증명에 할당된 자격 증명 및 액세스 관리(IAM) 역할입니다 SageMaker. IAM IAM 자격 증명은 AWS 계정에 대한 액세스를 제공하고 인증한 다음 에서 작업을 수행할 수 있는 권한을 부여할 수 있는 인간 사용자 또는 프로그래밍 워크로드를 나타내며 AWS, 사용자를 대신하여 다른 AWS 리소스 SageMaker 에 액세스할 수 있는 권한을 부여합니다. 이 역할을 통해 SageMaker 는 컴퓨팅 인스턴스 시작, Amazon S3에 저장된 데이터 및 모델 아티팩트 액세스 또는 에 로그 쓰기와 같은 작업을 수행할 수 CloudWatch있습니다. 는 런타임 시 실행 역할을 수 SageMaker 임하고 역할 정책에 정의된 권한을 일시적으로 부여합니다. 역할에는 자격 증명이 수행할 수 있는 작업과 자격 증명이 액세스할 수 있는 리소스를 정의하는 필수 권한이 포함되어야 합니다. 다양한 자격 증명에 역할을 할당하여 도메인 내에서 권한 및 액세스를 관리하는 유연하고 세분화된 접근 방식을 제공할 수 있습니다. 도메인에 대한 자세한 내용은 섹션을 참조하세요Amazon SageMaker 도메인 개요. 예를 들어 에 IAM 역할을 할당할 수 있습니다.
-
도메인 내 모든 사용자 프로필에 광범위한 권한을 부여하는 도메인 실행 역할입니다.
-
도메인 내 공유 공간에 대한 광범위한 권한을 부여하는 공간 실행 역할입니다. 도메인의 모든 사용자 프로필은 공유 공간에 액세스할 수 있으며 공유 공간 내에 있는 동안 공간의 실행 역할을 사용합니다.
-
특정 사용자 프로파일에 대해 세분화된 권한을 부여하는 사용자 프로파일 실행 역할입니다. 사용자 프로필에서 생성한 프라이빗 스페이스는 해당 사용자 프로필의 실행 역할을 수임합니다.
이렇게 하면 사용자 프로필에 대한 최소 권한 원칙을 유지하면서 도메인에 필요한 권한을 부여하여 AWS IAM Identity Center 사용 설명서의 에서 보안 모범 사례를 IAM 준수할 수 있습니다.
실행 역할을 변경하거나 수정하는 데 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 실행 역할에 대한 권한 수정각각 실행 역할 변경 또는 섹션을 참조하세요.
실행 역할이 있는 유연한 권한의 예
IAM 역할을 사용하면 광범위하고 세분화된 수준에서 권한을 관리하고 부여할 수 있습니다. 다음 예제에는 스페이스 수준 및 사용자 수준에 대한 권한 부여가 포함됩니다.
데이터 과학자 팀을 위한 도메인을 설정하는 관리자라고 가정해 보겠습니다. 도메인 내의 사용자 프로필이 Amazon Simple Storage Service(Amazon S3) 버킷에 대한 전체 액세스 권한을 갖고, SageMaker 훈련 작업을 실행하고, 공유 공간에서 애플리케이션을 사용하여 모델을 배포하도록 허용할 수 있습니다. 이 예제에서는 광범위한 권한을 가진 “DataScienceTeamRole”라는 IAM 역할을 생성할 수 있습니다. 그런 다음 'DataScienceTeamRole'를 공간 기본 실행 역할 로 할당하여 팀에 광범위한 권한을 부여할 수 있습니다. 사용자 프로필이 공유 공간 를 생성하면 해당 공간은 공간 기본 실행 역할 을 맡습니다. 기존 도메인에 실행 역할을 할당하는 방법에 대한 자세한 내용은 섹션을 참조하세요공간 실행 역할 가져오기.
자체 프라이빗 공간에서 작업하는 개별 사용자 프로필이 Amazon S3 버킷에 완전히 액세스할 수 있도록 허용하는 대신 사용자 프로필의 권한을 제한하고 Amazon S3 버킷을 변경하도록 허용하지 않을 수 있습니다. 이 예제에서는 Amazon S3 버킷에 대한 읽기 액세스 권한을 부여하여 데이터를 검색하고, SageMaker 훈련 작업을 실행하고, 프라이빗 공간에 모델을 배포할 수 있습니다. 비교적 더 제한된 권한으로 “DataScientistRole”라는 사용자 수준 실행 역할을 생성할 수 있습니다. 그런 다음 사용자 프로필 실행 역할 에 “DataScientistRole”를 할당하여 정의된 범위 내에서 특정 데이터 과학 작업을 수행하는 데 필요한 권한을 부여할 수 있습니다. 사용자 프로필이 프라이빗 공간 을 생성하면 해당 공간은 사용자 실행 역할 을 수임합니다. 기존 사용자 프로필에 실행 역할을 할당하는 방법에 대한 자세한 내용은 섹션을 참조하세요사용자 실행 역할 가져오기.
SageMaker 실행 역할 및 추가 권한 추가에 대한 자세한 내용은 섹션을 참조하세요 SageMaker 실행 역할을 사용하는 방법.
