本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Pipel SageMaker ines 的跨账户支持使您能够与使用不同 AWS 账户运营的其他团队或组织在机器学习管道上进行协作。通过设置跨账户管道共享,您可以对管道授予受控访问权限,允许其他账户查看管道详情、触发执行和监控运行。以下主题介绍如何设置跨账户管道共享、共享资源可用的不同权限策略,以及如何通过对 SageMaker AI 的直接 API 调用访问共享管道实体并与之交互。
设置跨账户管道共享
SageMaker AI 使用 R es AWS ource Access Manager (AWS RAM) 来帮助你安全地跨账户共享管道实体。
创建资源共享
-
通过 AWS RAM 控制台
选择创建资源共享。 -
指定资源共享详细信息时,请选择管道资源类型,并选择要共享的一个或多个管道。当您与任何其他账户共享管道时,其所有执行也会被隐式共享。
-
将权限与资源共享关联。选择默认只读权限策略或扩展的管道执行权限策略。有关更多详细信息,请参阅 Pipelines 资源的权限策略。
注意
如果您选择扩展管道执行策略,请注意共享账户调用的任何启动、停止和重试命令都使用共享管道的 AWS 账户中的资源。
-
使用 AWS 账户指定 IDs 要向其授予共享资源访问权限的账户。
-
查看您的资源共享配置,然后选择创建资源共享。可能需要几分钟时间来完成资源共享和主体关联。
有关更多信息,请参阅《AWS Resource Access Manager 用户指南》中的共享 AWS 资源。
获取对资源共享邀请的回复
设置资源共享和主体关联后,指定的 AWS 账户会收到加入资源共享的邀请。 AWS 账户必须接受邀请才能访问任何共享资源。
有关通过接受资源共享邀请的更多信息 AWS RAM,请参阅 Resource Acc ess Manager 用户指南中的使用共享 AWS 资源。AWS
Pipelines 资源的权限策略
创建资源共享时,请选择两个支持的权限策略之一,将其与 SageMaker AI 管道资源类型相关联。这两个策略都授予对任何选定管道及其所有执行的访问权限。
默认只读权限
AWSRAMDefaultPermissionSageMakerPipeline 策略允许执行以下只读操作:
"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"扩展的管道执行权限
AWSRAMPermissionSageMakerPipelineAllowExecution 策略包括默认策略中的所有只读权限,还允许共享账户启动、停止和重试管道执行。
注意
使用扩展管道执行权限策略时,请注意 AWS 资源使用情况。使用此策略时,允许共享账户启动、停止和重试管道执行。用于共享管道执行的所有资源均由拥有者账户使用。
扩展的管道执行权限策略允许执行以下操作:
"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search" 通过直接 API 调用访问共享管道实体
跨账户渠道共享设置完成后,您可以使用管道 ARN 调用以下 SageMaker API 操作:
注意
只有当 API 命令包含在与资源共享关联的权限中时,才能调用这些命令。如果您选择AWSRAMPermissionSageMakerPipelineAllowExecution策略,则启动、停止和重试命令将使用共享管道的 AWS 账户中的资源。
