为设置IAM权限 MLflow - Amazon SageMaker

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为设置IAM权限 MLflow

您必须配置必要的IAM服务角色才能开始MLflow在 Amazon 中使用 SageMaker。

如果您创建了一个新的 Amazon SageMaker 域来访问您在 Studio 中的实验,则可以在域名设置期间配置必要的IAM权限。有关更多信息,请参阅 在创建新域时设置MLflowIAM权限

要使用IAM控制台设置权限,请参阅在IAM控制台中创建必要的IAM服务角色

您必须为sagemaker-mlflow操作配置授权控制。您可以选择定义更精细的授权控制来管理特定于操作MLflow的权限。有关更多信息,请参阅 创建特定于操作的授权控件

在创建新域时设置MLflowIAM权限

在为您的组织设置新的 Amazon SageMaker 域名时,您可以通过 “用户” 和 “机器学习活动” 设置为您的域名服务角色配置IAM权限。

配置在设置新域 SageMaker 时MLflow与一起使用的IAM权限
  1. 使用 SageMaker 控制台设置新域。在设置 SageMaker域名页面上,选择为组织设置。有关更多信息,请参阅 使用控制台进行自定义设置

  2. 设置用户和机器学习活动时,请从以下机器学习活动中进行选择MLflow:使用MLflow管理MLflow跟踪服务器 AWS 服务所需的访问权限MLflow。有关这些活动的更多信息,请参阅此过程之后的说明。

  3. 完成新域名的设置和创建。

Amazon SageMaker 角色管理器中提供了以下MLflow机器学习活动:

  • 使用 MLflow:此 ML 活动向域服务角色授予调用权限,以管理MLflowRESTAPIs中的实验、运行和模型MLflow。

  • 管理MLflow跟踪服务器:此 ML 活动向域服务角色授予创建、更新、启动、停止和删除跟踪服务器的权限。

  • 需要访问以下 AWS 服务的权限MLflow:此机器学习活动提供访问 Amazon S3 和 SageMaker 模型注册表所需的域服务角色权限。这允许您使用域服务角色作为跟踪服务器服务角色。

有关角色管理器中的 ML 活动的更多信息,请参阅机器学习活动参考

在IAM控制台中创建必要的IAM服务角色

如果您没有创建或更新您的域名服务角色,则必须改为在IAM控制台中创建以下服务角色才能创建和使用MLflow跟踪服务器:

  • 跟踪服务器可用于访问 SageMaker 资源的跟踪服务器IAM服务角色

  • SageMaker 可用于创建和管理MLflow资源的 SageMaker IAM服务角色

IAM跟踪服务器IAM服务角色的策略

跟踪服务器使用跟踪服务器IAM服务角色来访问其所需的资源,例如 Amazon S3 和 SageMaker 模型注册表。

创建跟踪服务器IAM服务角色时,请使用以下IAM信任策略:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

在IAM控制台中,将以下权限策略添加到您的跟踪服务器服务角色中:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:Put*", "s3:List*", "sagemaker:AddTags", "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:UpdateModelPackage", "sagemaker:DescribeModelPackageGroup" ], "Resource": "*" } ] }

IAM SageMaker IAM服务角色的策略

SageMaker 服务角色由访问MLflow跟踪服务器的客户端使用,需要调用权限MLflowRESTAPIs。 SageMaker 服务角色还需要创建、更新、启动、停止和删除跟踪服务器的 SageMaker API权限。

您可以创建新角色或更新现有角色。 SageMaker 服务角色需要以下策略:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker-mlflow:*", "sagemaker:CreateMlflowTrackingServer", "sagemaker:UpdateMlflowTrackingServer", "sagemaker:DeleteMlflowTrackingServer", "sagemaker:StartMlflowTrackingServer", "sagemaker:StopMlflowTrackingServer", "sagemaker:CreatePresignedMlflowTrackingServerUrl" ], "Resource": "*" } ] }

创建特定于操作的授权控件

您必须为其设置授权控制sagemaker-mlflow,并且可以选择配置特定于操作的授权控制,以管理您的用户在MLflow跟踪服务器上拥有的更精细的MLflow权限。

注意

以下步骤假设您的MLflow跟踪服务器已经可用。ARN要了解如何创建跟踪服务器,请参阅使用 Studio 创建跟踪服务器使用创建跟踪服务器 AWS CLI

以下命令创建一个名为的文件mlflow-policy.json,该文件向您的跟踪服务器提供所有可用 SageMaker MLflow操作的IAM权限。您可以选择要用户执行的特定操作,从而限制该用户拥有的权限。有关可用操作的列表,请参阅IAM支持的操作 MLflow

# Replace "Resource":"*" with "Resource":"TrackingServerArn" # Replace "sagemaker-mlflow:*" with specific actions printf '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker-mlflow:*", "Resource": "*" } ] }' > mlflow-policy.json

使用该mlflow-policy.json文件通过创建IAM策略 AWS CLI。

aws iam create-policy \ --policy-name MLflowPolicy \ --policy-document file://mlflow-policy.json

检索您的账户 ID 并将该政策附加到您的IAM角色。

# Get your account ID aws sts get-caller-identity # Attach the IAM policy using your exported role and account ID aws iam attach-role-policy \ --role-name $role_name \ --policy-arn arn:aws:iam::123456789012:policy/MLflowPolicy

IAM支持的操作 MLflow

授权访问控制支持以下 SageMaker MLflow操作:

  • Sagemaker-MLFLOW: accessui

  • sagemaker-mlflow:CreateExperiment

  • sagemaker-mlflow:SearchExperiments

  • sagemaker-mlflow:GetExperiment

  • sagemaker-mlflow:GetExperimentByName

  • sagemaker-mlflow:DeleteExperiment

  • sagemaker-mlflow:RestoreExperiment

  • sagemaker-mlflow:UpdateExperiment

  • sagemaker-mlflow:CreateRun

  • sagemaker-mlflow:DeleteRun

  • sagemaker-mlflow:RestoreRun

  • sagemaker-mlflow:GetRun

  • sagemaker-mlflow:LogMetric

  • sagemaker-mlflow:LogBatch

  • sagemaker-mlflow:LogModel

  • sagemaker-mlflow:LogInputs

  • sagemaker-mlflow:SetExperimentTag

  • sagemaker-mlflow:SetTag

  • sagemaker-mlflow:DeleteTag

  • sagemaker-mlflow:LogParam

  • sagemaker-mlflow:GetMetricHistory

  • sagemaker-mlflow:SearchRuns

  • sagemaker-mlflow:ListArtifacts

  • sagemaker-mlflow:UpdateRun

  • sagemaker-mlflow:CreateRegisteredModel

  • sagemaker-mlflow:GetRegisteredModel

  • sagemaker-mlflow:RenameRegisteredModel

  • sagemaker-mlflow:UpdateRegisteredModel

  • sagemaker-mlflow:DeleteRegisteredModel

  • sagemaker-mlflow:GetLatestModelVersions

  • sagemaker-mlflow:CreateModelVersion

  • sagemaker-mlflow:GetModelVersion

  • sagemaker-mlflow:UpdateModelVersion

  • sagemaker-mlflow:DeleteModelVersion

  • sagemaker-mlflow:SearchModelVersions

  • sagemaker-mlflow:GetDownloadURIForModelVersionArtifacts

  • sagemaker-mlflow:TransitionModelVersionStage

  • sagemaker-mlflow:SearchRegisteredModels

  • sagemaker-mlflow:SetRegisteredModelTag

  • sagemaker-mlflow:DeleteRegisteredModelTag

  • sagemaker-mlflow:DeleteModelVersionTag

  • sagemaker-mlflow:DeleteRegisteredModelAlias

  • sagemaker-mlflow:SetRegisteredModelAlias

  • sagemaker-mlflow:GetModelVersionByAlias