Entendendo as permissões de espaço de domínio e as funções de execução - Amazon SageMaker

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo as permissões de espaço de domínio e as funções de execução

Para muitos SageMaker aplicativos, quando você inicia um SageMaker aplicativo em um domínio, um espaço é criado para o aplicativo. Quando um perfil de usuário cria um espaço, esse espaço assume uma função AWS Identity and Access Management (IAM) que define as permissões concedidas a esse espaço. A página a seguir fornece informações sobre os tipos de espaço e as funções de execução que definem as permissões para o espaço.

Uma IAMfunção é uma IAM identidade que você pode criar em sua conta com permissões específicas. Uma IAM função é semelhante à de um IAM usuário, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil.

nota

Quando você inicia o Amazon SageMaker Canvas ouRStudio, ele não cria um espaço que assuma uma IAM função. Em vez disso, você altera a função associada ao perfil do usuário para gerenciar suas permissões para o aplicativo. Para obter informações sobre como obter a função de um perfil de SageMaker usuário, consulteObtenha a função de execução do usuário.

Para SageMaker Canvas, consulteConfiguração e gerenciamento de permissões do Amazon SageMaker Canvas (para administradores de TI).

ParaRStudio, vejaCrie um SageMaker domínio da Amazon com o aplicativo RStudio.

Os usuários podem acessar seus SageMaker aplicativos em um espaço compartilhado ou privado.

Espaços compartilhados

  • Só pode haver um espaço associado a um aplicativo. Um espaço compartilhado pode ser acessado por todos os perfis de usuário dentro do domínio. Isso concede a todos os perfis de usuário no domínio acesso ao mesmo sistema de armazenamento de arquivos subjacente do aplicativo.

  • O espaço compartilhado receberá as permissões definidas pela função de execução padrão do espaço. Se você quiser modificar a função de execução do espaço compartilhado, deverá modificar a função de execução padrão do espaço.

    Para obter informações sobre como obter a função de execução padrão de espaço, consulteObtenha a função de execução espacial.

    Para obter informações sobre como modificar sua função de execução, consulteModificar as permissões para a função de execução.

  • Para obter informações sobre espaços compartilhados, consulteColaboração com espaços compartilhados.

  • Para criar um espaço compartilhado, consulteCriar um espaço compartilhado.

Espaços privados

  • Só pode haver um espaço associado a um aplicativo. Um espaço privado só pode ser acessado pelo perfil do usuário que o criou. Esse espaço não pode ser compartilhado com outros usuários.

  • O espaço privado assumirá a função de execução do perfil do usuário que o criou. Se quiser modificar a função de execução do espaço privado, você deve modificar a função de execução do perfil de usuário.

    Para obter informações sobre como obter a função de execução do perfil de usuário, consulteObtenha a função de execução do usuário.

    Para obter informações sobre como modificar sua função de execução, consulteModificar as permissões para a função de execução.

  • Todos os aplicativos que oferecem suporte a espaços também oferecem suporte a espaços privados.

  • Um espaço privado para o Studio Classic já foi criado para cada perfil de usuário por padrão.

SageMaker funções de execução

Uma função de SageMaker execução é uma função de AWS Identity and Access Management (IAM) atribuída a uma IAM identidade que está executando execuções em SageMaker. Uma IAMidentidade fornece acesso a uma AWS conta e representa um usuário humano ou uma carga de trabalho programática que pode ser autenticada e depois autorizada a realizar ações AWS, concedendo permissões SageMaker para acessar outros AWS recursos em seu nome. Essa função permite SageMaker realizar ações como iniciar instâncias de computação, acessar dados e artefatos de modelos armazenados no Amazon S3 ou gravar registros no. CloudWatch SageMaker assume a função de execução em tempo de execução e recebe temporariamente as permissões definidas na política da função. A função deve conter as permissões necessárias que definam as ações que a identidade pode realizar e os recursos aos quais a identidade tem acesso. Você pode atribuir funções a várias identidades para fornecer uma abordagem flexível e granular para gerenciar permissões e acesso em seu domínio. Para obter mais informações sobre domínios, consulteVisão geral SageMaker do domínio da Amazon. Por exemplo, você pode atribuir IAM funções ao:

  • Função de execução de domínio para conceder amplas permissões a todos os perfis de usuário dentro do domínio.

  • Função de execução de espaço para conceder amplas permissões para espaços compartilhados dentro do domínio. Todos os perfis de usuário no domínio podem acessar espaços compartilhados e usarão a função de execução do espaço enquanto estiverem dentro do espaço compartilhado.

  • Função de execução de perfil de usuário para conceder permissões refinadas para perfis de usuário específicos. Um espaço privado criado por um perfil de usuário assumirá a função de execução desse perfil de usuário.

Isso permite que você conceda as permissões necessárias ao domínio e, ao mesmo tempo, mantenha o princípio de permissões de privilégio mínimo para perfis de usuário, para seguir as melhores práticas de segurança do Guia do Usuário. IAM AWS IAM Identity Center

Quaisquer alterações ou modificações nas funções de execução podem levar alguns minutos para serem propagadas. Para obter mais informações, consulte Mude sua função de execução ouModificar as permissões para a função de execução, respectivamente.

Exemplo de permissões flexíveis com funções de execução

Com as IAMfunções, você pode gerenciar e conceder permissões em níveis amplos e granulares. O exemplo a seguir inclui a concessão de permissões no nível do espaço e no nível do usuário.

Suponha que você seja um administrador configurando um domínio para uma equipe de cientistas de dados. Você pode permitir que os perfis de usuário dentro do domínio tenham acesso total aos buckets do Amazon Simple Storage Service (Amazon S3), SageMaker executem trabalhos de treinamento e implantem modelos usando um aplicativo em um espaço compartilhado. Neste exemplo, você pode criar uma IAM função chamada "DataScienceTeamRole" com amplas permissões. Em seguida, você pode atribuir DataScienceTeamRole "" como a função de execução padrão do espaço, concedendo amplas permissões para sua equipe. Quando um perfil de usuário cria um espaço compartilhado, esse espaço assumirá a função de execução padrão do espaço. Para obter informações sobre como atribuir uma função de execução a um domínio existente, consulteObtenha a função de execução espacial.

Em vez de permitir que qualquer perfil de usuário individual trabalhando em seu próprio espaço privado tenha acesso total aos buckets do Amazon S3, você pode restringir as permissões de um perfil de usuário e não permitir que eles alterem os buckets do Amazon S3. Neste exemplo, você pode dar a eles acesso de leitura aos buckets do Amazon S3 para recuperar dados, executar trabalhos de SageMaker treinamento e implantar modelos em seu espaço privado. Você pode criar uma função de execução em nível de usuário chamada "DataScientistRole" com as permissões relativamente mais limitadas. Em seguida, você pode atribuir DataScientistRole "" à função de execução do perfil de usuário, concedendo as permissões necessárias para realizar suas tarefas específicas de ciência de dados dentro do escopo definido. Quando um perfil de usuário cria um espaço privado, esse espaço assume a função de execução do usuário. Para obter informações sobre como atribuir uma função de execução a um perfil de usuário existente, consulteObtenha a função de execução do usuário.

Para obter informações sobre funções de SageMaker execução e adicionar permissões adicionais a elas, consulteComo usar funções SageMaker de execução.