As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configure o suporte entre contas para Amazon SageMaker Model Cards
Use o suporte entre contas nos Amazon SageMaker Model Cards para compartilhar modelos de cartões entre AWS contas. A conta na qual os cartões de modelo são criados é a conta do cartão de modelo. Os usuários na conta do cartão de modelo os compartilham com as contas compartilhadas. Os usuários em uma conta compartilhada podem atualizar os cartões modelo ou PDFs criá-los.
Os usuários na conta do cartão modelo compartilham seus cartões-modelo por meio de AWS Resource Access Manager (AWS RAM). AWS RAM ajuda você a compartilhar recursos entre AWS contas. Para obter uma introdução AWS RAM, consulte O que é AWS Resource Access Manager?
A seguir está o processo para compartilhar cartões de modelo:
-
Um usuário na conta do cartão de modelo configura o compartilhamento do modelo de cartão entre contas usando o AWS Resource Access Manager.
-
Se os cartões modelo forem criptografados com AWS KMS chaves, o usuário que estiver configurando o compartilhamento de modelos também deverá fornecer AWS KMS permissões aos usuários da conta compartilhada.
-
Um usuário na conta compartilhada aceita o convite para o compartilhamento de recursos.
-
Um usuário na conta compartilhada fornece aos outros usuários permissões para acessar os cartões de modelo.
Se você for um usuário da conta do cartão de modelo, consulte as seguintes seções:
Se você for um usuário da conta compartilhada, consulte Configurar permissões de IAM usuário na conta compartilhada sobre como configurar permissões para si mesmo e para os outros usuários na conta.
Configurar compartilhamento de cartão de modelo entre contas
Use AWS Resource Access Manager (AWS RAM) para conceder aos usuários da sua AWS conta acesso para visualizar ou atualizar modelos de cartões criados em uma AWS conta diferente.
Para configurar o compartilhamento de cartões de modelo, você deve criar um compartilhamento de recursos. Um compartilhamento de recursos especifica:
-
Os recursos que estão sendo compartilhados
-
Quem ou o que tem acesso aos recursos
-
Permissões gerenciadas para os recursos
Para obter mais informações sobre compartilhamentos de recursos, consulte Termos e conceitos para AWS RAM. Recomendamos dedicar algum tempo para entender o AWS RAM conceito antes de passar pelo processo de criação de um compartilhamento de recursos.
Importante
Você deve ter permissões para criar um compartilhamento de recursos. Para obter mais informações sobre permissões, consulte Como AWS RAM funciona com IAM.
Para procedimentos para criar um compartilhamento de recursos e informações adicionais sobre eles, consulte Criar um compartilhamento de recursos.
Ao passar pelo procedimento de criação de um compartilhamento de recursos, você especifica sagemaker:ModelCard como o tipo de recurso. Você também deve especificar o Amazon Resource Number (ARN) da política AWS RAM baseada em recursos. Você pode especificar a política padrão ou a política que tem permissões adicionais para criar uma placa PDF do modelo.
Com a política padrão AWSRAMPermissionSageMakerModelCards baseada em recursos, os usuários na conta compartilhada têm permissões para realizar as seguintes operações:
Com a política AWSRAMPermissionSageMakerModelCardsAllowExport baseada em recursos, os usuários na conta compartilhada têm permissões para realizar todas as ações anteriores. Eles também têm permissões para criar um trabalho de exportação de cartão de modelo e descrevê-lo por meio das seguintes operações:
Os usuários na conta compartilhada podem criar um trabalho PDF de exportação para gerar um cartão modelo. Eles também podem descrever um trabalho de exportação que foi criado para encontrar o Amazon PDF S3URI.
Cartões de modelo e trabalhos de exportação são recursos. A conta do cartão de modelo é proprietária dos trabalhos de exportação criados por um usuário na conta compartilhada. Por exemplo, um usuário na conta A compartilha o cartão de modelo X com a conta compartilhada B. Um usuário na conta B cria o trabalho de exportação Y para o cartão de modelo X que armazena a saída em um local do Amazon S3 especificado pelo usuário na conta B. Embora a conta B tenha criado a tarefa de exportação Y, ela pertence à conta A.
Cada AWS conta tem cotas de recursos. Para obter informações sobre cotas relacionadas a cartões modelo, consulte SageMaker endpoints e cotas da Amazon.
Configurar AWS KMS permissões para a conta compartilhada
Se os cartões modelo que você está compartilhando tiverem sido criptografados com AWS Key Management Service chaves, você também precisará compartilhar o acesso às chaves com a conta compartilhada. Caso contrário, os usuários na conta compartilhada não poderá visualizar, atualizar ou exportar os cartões de modelo. Para obter uma visão geral de AWS KMS, consulte AWS Key Management Service.
Para fornecer AWS KMS permissões aos usuários na conta compartilhada, atualize sua política de chaves com a seguinte declaração:
{ "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::shared-account-id::role/example-IAM-role" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ] "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id" "Condition": { "Bool": {"kms:GrantIsForAWSResource": true }, "StringEquals": { "kms:ViaService": [ "sagemaker.AWS-Region.amazonaws.com", "s3.AWS-Region.amazonaws.com" ], }, "StringLike": { "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name" } } }
A instrução anterior fornece aos usuários na conta compartilhada, as permissões kms:Decrypt e kms:GenerateDataKey. Com kms:Decrypt, os usuários podem decifrar os cartões do modelo. Comkms:GenerateDataKey, os usuários podem criptografar os cartões modelo que atualizam PDFs ou criam.
Receba respostas para seu convite de compartilhamento de recursos
Após criar um compartilhamento de recursos, as contas compartilhadas que você especificou no compartilhamento de recursos recebem um convite para participar dele. Elas devem aceitar o convite para acessar os recursos.
Para obter informações sobre como aceitar um convite de compartilhamento de recursos, consulte Usando AWS recursos compartilhados no Guia do Usuário do AWS Resource Access Manager.
Configurar permissões de IAM usuário na conta compartilhada
As informações a seguir pressupõem que você aceitou o convite de compartilhamento de recursos da conta do cartão de modelo. Para obter mais informações sobre como aceitar um convite de compartilhamento de recursos, consulte Usando AWS recursos compartilhados.
Você e os outros usuários da sua conta usam uma IAM função para acessar os cartões-modelo compartilhados da conta do cartão modelo. Use o modelo a seguir para alterar a política da IAM função. Você pode modificar o modelo para seu próprio caso de uso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeModelCard", "sagemaker:UpdateModelCard", "sagemaker:CreateModelCardExportJob", "sagemaker:ListModelCardVersions", "sagemaker:DescribeModelCardExportJob" ], "Resource": [ "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-0", "arn:aws:sagemaker:AWS-Region:AWS-model-card-account-id:model-card/example-model-card-name-1/*" ] }, { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*" } ] }
Para acessar cartões modelo criptografados usando AWS KMS, você deve fornecer aos usuários da sua conta as seguintes AWS KMS permissões.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id" }
