本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
特征组目录 DefaultFeatureGroupCatalog
包含资源拥有者账户拥有的所有 特征组实体。目录可由资源所有者账户共享,以便向单个或多个资源用户账户授予可发现性。具体方法是在 AWS Resource Access Manager
(AWS RAM) 中创建一个资源共享。功能组是 Amazon SageMaker Feature Store 中的主要资源,由功能定义和记录组成,由功能商店管理。有关特征组的更多信息,请参阅 Feature Store 概念。
可发现性是指资源用户账户可以搜索可发现的资源。可发现资源的查看方式就像在自己的账户中一样(不包括标签)。当允许特征组目录可被发现时,默认情况下不向资源使用者账户授予访问权限(只读、读写或管理员权限)。访问权限是在资源级别授予,而不是在账户级别授予。有关授予访问权限的信息,请参阅启用跨账户访问。
要启用跨账户可发现性,您需要使用 AWS RAM 开发者指南中的AWS RAM 创建资源共享说明指定 SageMaker AI 资源目录和功能组目录。在下文中,我们给出了使用 AWS RAM 控制台说明的规范。
-
指定资源共享详细信息:
-
资源类型:选择 SageMaker AI 资源目录。
-
ARN:选择具有如下格式的特征组目录 ARN:
arn:aws:sagemaker:
us-east-1
:111122223333
:sagemaker-catalog/DefaultFeatureGroupCatalog
是资源所在的区域,us-east-1
是资源拥有者账户 ID。111122223333
-
资源 ID:选择
DefaultFeatureGroupCatalog
。
-
-
关联托管权限:
-
托管权限:选择
AWSRAMPermissionSageMakerCatalogResourceSearch
。
-
-
向主体授予访问权限:
-
选择主体类型(AWS 账户、组织或组织部门),然后输入相应的 ID。
如果您是一个组织,您可能需要利用 AWS Organizations。通过 Organization AWS 账户 s,您可以与个人、组织中的所有账户或组织单位 (OU) 共享资源。这就简化了权限的应用,而无需为每个账户应用权限。有关共享资源和在其中授予权限的更多信息 AWS,请参阅《 AWS Resource Access Manager 开发人员指南》AWS Organizations中的启用资源共享。
-
-
审核和创建:
-
审核,然后选择创建资源共享。
-
可能需要花几分钟时间,才能完成资源共享和主体(或资源使用者账户)关联。设置资源共享和主体关联后,指定的资源使用者账户会收到加入资源共享的邀请。资源使用者帐户可以通过在 AWS RAM 控制台中打开 “与我共享:资源共享
-
如果您是组织中的一员, AWS Organizations 并且在您的组织中共享已启用。在这种情况下,组织中的主体无需邀请即可自动访问共享资源。
-
如果您与拥有 AWS 账户 该资源的用户共享,则该账户中的委托人无需邀请即可自动访问共享资源。
有关接受和使用资源共享的更多信息,请参阅搜索可发现资源。
使用共享功能组目录 AWS SDK for Python (Boto3)
您可以使用 f AWS SDK for Python (Boto3) o AWS RAM APIs r 创建资源共享。以下代码是该区域
内资源所有者账户 ID 的示例111122223333
us-east-1
。资源所有者正在创建名为
的资源共享。它们与资源用户账户 ID test-cross-account-catalog
共享特征组目录。要将 Python 开发工具包用于 AWS RAM
APIs,请将444455556666
AWSRAMPermissionSageMakerCatalogResourceSearch
策略与执行角色挂钩。有关更多信息,请参阅AWS RAM APIs
#Call list resource catalogs as a prerequisite for RAM share sagemaker_client.list_resource_catalogs() # Share DefaultFeatureGroupCatalog with other account ram_client = boto3.client("ram") response = ram_client.create_resource_share( name='
test-cross-account-catalog
', # Change to your custom resource share name resourceArns=[ 'arn:aws:sagemaker:us-east-1
:111122223333
:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change111122223333
to the resource owner account ID ], principals=[ '444455556666
', # Change444455556666
to the resource consumer account ID ], permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog )
主体是安全系统的参与者。在基于资源的策略中,允许的委托人是 IAM 用户、IAM 角色、根账户或其他 AWS 服务。