本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AMS SSP 在你的 AMS 账户中配置 SageMaker Amazon AI
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 SageMaker Amazon AI 功能。 SageMaker AI 为每位开发人员和数据科学家提供了快速构建、训练和部署机器学习模型的能力。Amazon SageMaker AI 是一项完全托管的服务,涵盖了整个机器学习工作流程,包括标记和准备数据、选择算法、训练模型、调整和优化模型以进行部署、做出预测和采取行动。您的模型能够以更少的工作量和更低的成本更快地投入生产。要了解更多信息,请参阅 [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)。
## SageMaker AWS Managed Services 中的人工智能常见问题
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问 SageMaker AI?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_sagemaker_admin_role`和服务角色`AmazonSageMaker-ExecutionRole-Admin`。在您的账户中配置 SageMaker AI 后,您必须在联合解决方案中加入该`customer_sagemaker_admin_role`角色。您无法直接访问服务角色; SageMaker AI 服务在执行各种操作时使用该角色,如下所述:[传递角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)。
**问:在我的 AMS 账户中使用 SageMaker AI 有哪些限制?**
+ AMS Amazon A SageMaker I IAM 角色不支持以下用例:
+ SageMaker 目前不支持 AI Studio。
+ SageMaker 不支持 AI Ground Truth 来管理私人员工,因为此功能需要过于宽松地访问 Amazon Cognito 资源。如果需要管理私人员工,则可以申请一个具有 A SageMaker I 和 Amazon Cognito 权限相结合的自定义 IAM 角色。否则,我们建议使用公共劳动力(由 Amazon Mechanical Turk 提供支持)或 AWS Marketplace 服务提供商进行数据标记。
+ 创建 VPC 终端节点以支持对 SageMaker AI 服务的 API 调用(aws.sagemaker。 \$1区域\$1 .notebook,com.amazonaws。 \$1region\$1 .sagemaker.api & com.amazonaws。 不支持 \$1region\$1 .sagemaker.runtime),因为权限不能仅限于人工智能相关的服务。 SageMaker 要支持此用例,请提交管理 \$1 其他 \$1 其他 RFC 以创建相关的 VPC 终端节点。
+ SageMaker 不支持 AI 端点自动缩放,因为 SageMaker AI 需要任何 (“\$1”) 资源的`DeleteAlarm`权限。要支持端点自动缩放,请提交 “管理 \$1 其他 \$1 其他 \$1 其他 RFC” 来为 SageMaker AI 终端节点设置自动缩放。
**问:在我的 AMS 账户中使用 SageMaker AI 的先决条件或依赖条件是什么?**
+ 以下用例需要在使用前进行特殊配置:
+ 如果要使用 S3 存储桶来存储模型工件和数据,则必须使用部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建 RFC 请求一个以所需关键字(”、SageMaker “Sagemaker”、“sagemaker” 或 “aws-glue”)命名的 S3 存储桶。
+ 如果要使用弹性文件存储 (EFS),则必须在同一个子网中配置 EFS 存储,并且必须得到安全组的允许。
+ 如果其他资源需要直接访问 SageMaker AI 服务(笔记本、API、运行时等),则必须通过以下方式请求配置:
+ 提交 RFC 以为终端节点创建安全组(部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建 (auto))。
+ 提交管理 \$1 其他 \$1 其他 \$1 创建 RFC 以设置相关的 VPC 终端节点。
**问:对于`customer_sagemaker_admin_role`可以直接访问的资源,支持的命名约定有哪些?** (以下内容适用于更新和删除权限;如果您需要其他支持的资源命名约定,请联系 AMS Cloud Architect 进行咨询。)
+ 资源:传递`AmazonSageMaker-ExecutionRole-*`角色
+ 权限: SageMaker AI 自行配置的服务角色支持您使用 SageMaker AI 服务角色 (`AmazonSageMaker-ExecutionRole-*`) 和 AWS Glue AWS RoboMaker、和。 AWS Step Functions
+ 资源:Secrets Manager 上的 AWS 秘密
+ 权限:使用`AmazonSageMaker-*`前缀描述、创建、获取、更新密钥。
+ 权限:当`SageMaker`资源标签设置为时,描述、获取机密`true`。
+ 资源:存储库开启 AWS CodeCommit
+ 权限:创建/删除带`AmazonSageMaker-*`前缀的仓库。
+ 权限:在带有以下前缀的存储库 Pull/Push 上使用 Git `*sagemaker*`、`*SageMaker*`、和。`*Sagemaker*`
+ 资源:Amazon ECR(亚马逊弹性容器注册表)存储库
+ 权限:权限:使用以下资源命名约定时,设置、删除存储库策略和上传容器镜像`*sagemaker*`。
+ 资源:亚马逊 S3 存储桶
+ 权限:当资源具有以下前缀时,获取、放置、删除对象、中止分段上传 S3 对象:`*SageMaker*`、`*Sagemaker*`和。`*sagemaker*` `aws-glue`
+ 权限:当`SageMaker`标签设置为时获取 S3 对象`true`。
+ 资源:Amazon CloudWatch 日志组
+ 权限:创建日志组或流、放置日志事件、列出、更新、创建、删除带以下前缀的日志传送:`/aws/sagemaker/*`。
+ 资源:Amazon CloudWatch 指标
+ 权限:使用以下前缀时放入指标数据:`AWS/SageMaker`、`AWS/SageMaker/`、`aws/SageMaker`、`aws/SageMaker/`、`aws/sagemaker``aws/sagemaker/`、和`/aws/sagemaker/.`。
+ 资源:Amazon CloudWatch 控制面板
+ 权限:使用以下前缀时的 Create/Delete 仪表板:`customer_*`.
+ 资源:Amazon SNS(简单通知服务)主题
+ 权限:使用以下前缀时 Subscribe/Create 的主题:`*sagemaker*``*SageMaker*`、和。`*Sagemaker*`
**问:`AmazonSageMakerFullAccess`和有什么区别`customer_sagemaker_admin_role`?**
`customer_sagemaker_admin_role`与`customer_sagemaker_admin_policy`提供的权限几乎相同,唯一的 AmazonSageMakerFullAccess 不同是:
+ 连接 Amazon Cognito 和 AWS Glue 资源的权限。 AWS RoboMaker
+ SageMaker AI 端点自动缩放。您必须使用管理 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 更新实体或策略(托管自动化)更改类型 (ct-27tuth19k52b4) 提交 RFC,以临时或永久提升自动扩展权限,因为自动扩展需要对服务的许可访问权限。 CloudWatch
**问:如何在静态数据加密中采用 AWS KMS 客户托管密钥?**
您必须确保已在客户托管密钥上正确设置密钥策略,以便相关的 IAM 用户或角色可以使用这些密钥。有关更多信息,请参阅[AWS KMS 密钥策略文档](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)。