Amazon SageMaker 모델 카드에 대한 교차 계정 지원 설정

Amazon SageMaker 모델 카드에서 교차 계정 지원을 사용하여 AWS 계정 간에 모델 카드를 공유합니다. 모델 카드가 생성되는 계정은 모델 카드 계정입니다. 모델 카드 계정의 사용자는 공유 계정과 모델 카드 계정을 공유합니다. 공유 계정의 사용자는 모델 카드를 업데이트하거나 모델 카드를 생성할 수 PDFs 있습니다.

모델 카드 계정의 사용자는 AWS Resource Access Manager (AWS RAM)를 통해 모델 카드를 공유합니다. 는 AWS 계정 간에 리소스를 공유할 수 있도록 AWS RAM 지원합니다. 에 대한 소개는 란 무엇입니까 AWS Resource Access Manager?를 AWS RAM참조하세요.

모델 카드를 공유하는 프로세스는 다음과 같습니다.

모델 카드 계정의 사용자가 AWS Resource Access Manager를 사용하여 교차 계정 모델 카드 공유를 설정합니다.
모델 카드가 AWS KMS 키로 암호화된 경우 모델 공유를 설정하는 사용자도 공유 계정의 사용자에게 AWS KMS 권한을 제공해야 합니다.
공유 계정의 사용자가 리소스 공유에 대한 초대를 수락합니다.
공유 계정의 사용자는 다른 사용자에게 모델 카드에 액세스할 수 있는 권한을 제공합니다.

모델 카드 계정 사용자인 경우 다음 섹션을 참조하세요.

교차 계정 모델 카드 공유 설정
공유 계정에 대한 AWS KMS 권한 설정
리소스 공유 초대에 대한 응답 수신

공유 계정의 사용자인 경우 본인 및 해당 계정의 다른 사용자에 대한 권한 설정에 대해 공유 계정에서 IAM 사용자 권한 설정섹션을 참조하세요.

교차 계정 모델 카드 공유 설정

AWS Resource Access Manager (AWS RAM)를 사용하여 AWS 계정의 사용자에게 다른 AWS 계정에서 생성된 모델 카드를 보거나 업데이트할 수 있는 액세스 권한을 부여합니다.

모델 카드 공유를 설정하려면 리소스 공유를 생성해야 합니다. 리소스 공유는 다음 사항을 지정합니다.

공유 중인 리소스
리소스에 액세스할 수 있는 사용자 또는 대상
리소스에 대한 관리형 권한

리소스 공유에 대한 자세한 내용은 AWS RAM에 대한 용어 및 개념을 참조하세요. 리소스 공유를 생성하는 프로세스를 진행하기 전에 시간을 내어 AWS RAM 개념적으로 이해하는 것이 좋습니다.

중요

리소스 공유를 생성할 권한이 있어야 합니다. 권한에 대한 자세한 내용은 에서 AWS RAM 를 사용하는 방법을 IAM참조하세요.

리소스 공유를 만드는 절차와 이에 대한 추가 정보는 리소스 공유 생성을 참조하세요.

리소스 공유를 생성하는 절차를 진행할 때 리소스 유형으로 sagemaker:ModelCard를 지정합니다. AWS RAM 리소스 기반 정책의 Amazon 리소스 번호(ARN)도 지정해야 합니다. 기본 정책 또는 모델 카드PDF의 를 생성할 수 있는 추가 권한이 있는 정책을 지정할 수 있습니다.

기본 AWSRAMPermissionSageMakerModelCards리소스 기반 정책을 사용하면 공유 계정의 사용자에게 다음 작업을 수행할 수 있는 권한이 있습니다.

AWSRAMPermissionSageMakerModelCardsAllowExport 리소스 기반 정책을 사용하면 공유 계정의 사용자는 위의 모든 작업을 수행할 수 있는 권한을 가집니다. 또한 모델 카드 내보내기 작업을 생성하고 다음 작업을 통해 해당 작업을 설명할 수 있는 권한도 있습니다.

공유 계정의 사용자는 모델 카드PDF의 를 생성하는 내보내기 작업을 생성할 수 있습니다. 또한 PDF의 Amazon S3 를 찾기 위해 생성된 내보내기 작업을 설명할 수도 있습니다URI.

모델 카드와 내보내기 작업은 리소스입니다. 모델 카드 계정은 공유 계정에서 사용자가 생성한 내보내기 작업을 소유합니다. 예를 들어, 계정 A의 사용자가 모델 카드 X를 공유 계정 B와 공유하는 경우, 계정 B의 사용자는 계정 B의 사용자가 지정하는 Amazon S3 위치에 출력을 저장하는 모델 카드 X에 대한 내보내기 작업 Y를 생성합니다. 계정 B가 내보내기 작업 Y를 생성했지만 이 작업은 계정 A에 속합니다.

각 AWS 계정에는 리소스 할당량이 있습니다. 모델 카드와 관련된 할당량에 대한 자세한 내용은 Amazon SageMaker 엔드포인트 및 할당량 섹션을 참조하세요.

공유 계정에 대한 AWS KMS 권한 설정

공유하려는 모델 카드가 AWS Key Management Service 키로 암호화된 경우 키에 대한 액세스 권한도 공유 계정과 공유해야 합니다. 그렇지 않으면 공유 계정의 사용자가 모델 카드를 보거나 업데이트하거나 내보낼 수 없습니다. 에 대한 개요는 섹션을 AWS KMS참조하세요AWS Key Management Service.

공유 계정의 사용자에게 AWS KMS 권한을 제공하려면 다음 문으로 키 정책을 업데이트합니다.



{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::shared-account-id::role/example-IAM-role"
        ]
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
    ]
    "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id"
    "Condition": {
        "Bool": {"kms:GrantIsForAWSResource": true },
        "StringEquals": {
            "kms:ViaService": [
                "sagemaker.AWS-Region.amazonaws.com", 
                "s3.AWS-Region.amazonaws.com"
            ],
        },
        "StringLike": {
          "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name"
        }
    }    
}

위의 설명문은 공유 계정의 사용자에게 kms:Decrypt및 kms:GenerateDataKey권한을 제공합니다. kms:Decrypt를 사용하여 사용자는 모델 카드를 복호화할 수 있습니다. 를 사용하면 kms:GenerateDataKey사용자가 업데이트하는 모델 카드 또는 사용자가 생성하는 를 암호화할 수 PDFs 있습니다.

리소스 공유 초대에 대한 응답 수신

리소스 공유를 생성하고 나면 리소스 공유에서 지정한 공유 계정에 가입하라는 초대가 전송됩니다. 초대를 수락해야 리소스에 액세스할 수 있습니다.

리소스 공유 초대 수락에 대한 자세한 내용은 AWS Resource Access Manager 사용 설명서의 공유 AWS 리소스 사용을 참조하세요.

공유 계정에서 IAM 사용자 권한 설정

다음 정보는 모델 카드 계정의 리소스 공유 초대를 수락했다고 가정합니다. 리소스 공유 초대 수락에 대한 자세한 내용은 공유 AWS 리소스 사용을 참조하세요.

사용자와 계정의 다른 사용자는 IAM 역할을 사용하여 모델 카드 계정에서 공유된 모델 카드에 액세스합니다. 다음 템플릿을 사용하여 IAM 역할의 정책을 변경합니다. 템플릿을 자체 사용 사례에 맞게 수정할 수 있습니다.



{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeModelCard",
                 "sagemaker:UpdateModelCard",
                 "sagemaker:CreateModelCardExportJob",
                 "sagemaker:ListModelCardVersions",
                 "sagemaker:DescribeModelCardExportJob"
             ],
             "Resource": [
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0",
                 "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*"
             ]
        },
        { 
             "Effect": "Allow", 
             "Action": "s3:PutObject",
             "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*"
        }
    ]
}

를 사용하여 암호화된 모델 카드에 액세스하려면 계정의 사용자에게 다음 AWS KMS 권한을 제공해야 AWS KMS합니다.



{
     "Effect": "Allow",
     "Action": [
         "kms:GenerateDataKey",
         "kms:Decrypt",
     ],
     "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id"
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

모델 카드 삭제

모델 카드 APIs