모니터링 일정을 위한 서비스 제어 정책 구성 - Amazon SageMaker AI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

모니터링 일정을 위한 서비스 제어 정책 구성

CreateMonitoringSchedule API 또는를 사용하여 UpdateMonitoringSchedule API각각 모니터링 작업의 일정을 생성하거나 업데이트할 때 모니터링 작업의 파라미터를 지정해야 합니다. 사용 사례에 따라 다음 중 한 가지 방법으로 이를 수행할 수 있습니다.

  • CreateMonitoringSchedule 또는 MonitoringJobDefinition를 호출할 MonitoringScheduleConfig때 필드를 지정할 수 있습니다UpdateMonitoringSchedule. 이 옵션은 데이터 품질 모니터링 작업의 일정을 만들거나 업데이트하는 데만 사용 가능합니다.

  • CreateMonitoringSchedule 또는 UpdateMonitoringSchedule을 호출할 때 사용자가 MonitoringScheduleConfigMonitoringJobDefinitionName필드에 이미 생성해둔 모니터링 작업 정의의 이름을 지정할 수 있습니다. 다음 중 하나를 사용하여 생성하는 모든 작업 정의에 사용할 수 있습니다. APIs

    SageMaker Python을 사용하여 일정을 SDK 생성하거나 업데이트하려면이 프로세스를 사용해야 합니다.

앞서 언급한 프로세스는 상호 배타적입니다.즉, 사용자는 모니터링 일정을 생성하거나 업데이트할 때 MonitoringJobDefinition필드 아니면 MonitoringJobDefinitionName필드를 지정할 수 있습니다.

모니터링 작업 정의를 생성하거나 MonitoringJobDefinition필드에 정의를 지정할 때는 NetworkConfigVolumeKmsKeyId와 같은 보안 매개변수를 설정할 수 있습니다. 관리자는 모니터링 작업이 항상 안전한 환경에서 실행될 수 있도록 이러한 매개변수를 항상 특정한 값으로 설정해두는 것이 좋습니다. 이를 위해 적절한 서비스 제어 정책(SCPs)을 설정합니다. SCPs는 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책의 한 유형입니다.

다음 예제에서는 모니터링 작업을 위한 일정을 생성하거나 업데이트할 때 인프라 파라미터가 올바르게 설정되도록 하기 위해 사용할 수 SCP 있는를 보여줍니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateDataQualityJobDefinition",
                "sagemaker:CreateModelBiasJobDefinition",
                "sagemaker:CreateModelExplainabilityJobDefinition",
                "sagemaker:CreateModelQualityJobDefinition"
            ],
            "Resource": "arn:*:sagemaker:*:*:*",
            "Condition": {
                "Null": {
                    "sagemaker:VolumeKmsKey":"true",
                    "sagemaker:VpcSubnets": "true",
                    "sagemaker:VpcSecurityGroupIds": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateDataQualityJobDefinition",
                "sagemaker:CreateModelBiasJobDefinition",
                "sagemaker:CreateModelExplainabilityJobDefinition",
                "sagemaker:CreateModelQualityJobDefinition"
            ],
            "Resource": "arn:*:sagemaker:*:*:*",
            "Condition": {
                "Bool": {
                    "sagemaker:InterContainerTrafficEncryption": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateMonitoringSchedule",
                "sagemaker:UpdateMonitoringSchedule",
            ],
            "Resource": "arn:*:sagemaker:*:*:monitoring-schedule/*",
            "Condition": {
                "Null": {
                    "sagemaker:ModelMonitorJobDefinitionName": "true"
                }
            }
        }
    ]
}

예제의 처음 두 규칙은 모니터링 작업 정의를 위한 보안 매개변수가 항상 설정되어 있도록 보장합니다. 마지막 규칙은 일정을 만들거나 업데이트하는 조직 내 모든 사용자가 항상 MonitoringJobDefinitionName필드를 지정하도록 요구합니다. 이렇게 하면 조직 내부의 누군가가 일정을 만들거나 업데이트할 때 MonitoringJobDefinition필드를 지정함으로써 보안 매개변수에 대해 안전하지 않은 값을 설정하는 일이 생기지 않게 됩니다.