本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Pipelines 设置跨账户支持
Amazon Pipel SageMaker ines 的跨账户支持使您能够与使用不同 AWS 账户运营的其他团队或组织在机器学习管道上进行协作。通过设置跨账户管道共享,您可以授予对管道的控制访问权限、允许其他账户查看管道详细信息、触发执行和监控运行情况。以下主题介绍如何设置跨账户管道共享、共享资源可用的不同权限策略,以及如何通过直接API调用访问共享管道实体并与之交互。 SageMaker
设置跨账户管道共享
SageMaker 使用 R es AWS ource Access Manager (AWS RAM) 来帮助你安全地跨账户共享管道实体。
创建资源共享
-
通过 AWS RAM 控制台
选择创建资源共享。 -
指定资源共享详细信息时,选择 Pipelines 资源类型,然后选择要共享的一个或多个管道。当您与任何其他账户共享管道时,其所有执行也会被隐式共享。
-
将权限与资源共享关联。选择默认只读权限策略或扩展的管道执行权限策略。有关更多详细信息,请参阅 管道资源的权限策略。
注意
如果您选择扩展管道执行策略,请注意共享账户调用的任何启动、停止和重试命令都使用共享管道的 AWS 账户中的资源。
-
使用 AWS 账户指定IDs要向其授予共享资源访问权限的账户。
-
查看您的资源共享配置,然后选择创建资源共享。可能需要几分钟时间来完成资源共享和主体关联。
有关更多信息,请参阅《Resourc e AWS Access Manager 用户指南》中的共享AWS资源。
获取对资源共享邀请的回复
设置资源共享和委托人关联后,指定的 AWS 账户将收到加入资源共享的邀请。 AWS 账户必须接受邀请才能访问任何共享资源。
有关通过接受资源共享邀请的更多信息 AWS RAM,请参阅 Resource Acc ess Manager 用户指南中的使用共享 AWS 资源。AWS
管道资源的权限策略
创建资源共享时,请选择两个支持的权限策略之一,将其与 SageMaker 管道资源类型相关联。这两个策略都授予对任何选定管道及其所有执行的访问权限。
默认只读权限
AWSRAMDefaultPermissionSageMakerPipeline 策略允许执行以下只读操作:
"sagemaker:DescribePipeline" "sagemaker:DescribePipelineDefinitionForExecution" "sagemaker:DescribePipelineExecution" "sagemaker:ListPipelineExecutions" "sagemaker:ListPipelineExecutionSteps" "sagemaker:ListPipelineParametersForExecution" "sagemaker:Search"
扩展的管道执行权限
AWSRAMPermissionSageMakerPipelineAllowExecution 策略包括默认策略中的所有只读权限,还允许共享账户启动、停止和重试管道执行。
注意
使用扩展管道执行权限策略时,请注意 AWS 资源使用情况。使用此策略时,允许共享账户启动、停止和重试管道执行。用于共享管道执行的所有资源均由拥有者账户使用。
扩展的管道执行权限策略允许执行以下操作:
"sagemaker:DescribePipeline" "sagemaker:DescribePipelineDefinitionForExecution" "sagemaker:DescribePipelineExecution" "sagemaker:ListPipelineExecutions" "sagemaker:ListPipelineExecutionSteps" "sagemaker:ListPipelineParametersForExecution" "sagemaker:StartPipelineExecution" "sagemaker:StopPipelineExecution" "sagemaker:RetryPipelineExecution" "sagemaker:Search"
通过直接API调用访问共享管道实体
跨账户渠道共享设置完成后,您可以使用管道ARN调用以下 SageMaker API操作:
注意
只有当API命令包含在与您的资源共享关联的权限中时,您才能调用这些命令。如果您选择AWSRAMPermissionSageMakerPipelineAllowExecution策略,则启动、停止和重试命令将使用共享管道的 AWS 账户中的资源。
