授予使用者執行時間序列預測的許可 - Amazon SageMaker
SageMaker 網域設定方法使用者設定方法IAM 角色設定方法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予使用者執行時間序列預測的許可

若要在 Amazon SageMaker Canvas 中執行時間序列預測,您的使用者必須擁有必要的許可。授予使用者這些許可的首選方法是在設定 Amazon SageMaker 網域時,或編輯網域或使用者設定檔的設定時,開啟時間序列預測選項。您也可以使用手動方法,將 Amazon Forecast 的政策與信任關係連接至 AWS Identity and Access Management (IAM) 角色。

如果您想要使用自己的金鑰加密時間序列預測,則必須使用金鑰 AWS KMS 並修改KMS金鑰的政策,以授予 Amazon Forecast 所使用角色的許可。如需設定KMS金鑰和修改時間序列預測政策的詳細資訊,請參閱 時間序列預測的先決條件

SageMaker 網域設定方法

SageMaker 可讓您選擇透過網域設定授予使用者時間序列預測許可。您可以切換網域中所有使用者的許可,並 SageMaker 管理為您連接必要的IAM政策和信任關係。

如果您有現有網域,並想要開啟網域中所有使用者的時間序列預測許可,請使用下列程序:

  1. 在 開啟 SageMaker 主控台https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中選擇 Domains (網域)。

  3. 從網域清單中,選取您的網域。

  4. 網域設定頁面上,選擇應用程式組態索引標籤。

  5. Canvas 區段中,選擇編輯

  6. 編輯 Canvas 設定頁面隨即開啟。在時間序列預測組態區段中,開啟啟用時間序列預測切換。

  7. 針對 Amazon Forecast 角色 ,選取建立和使用新的執行角色,或使用現有的執行角色

  8. 根據您在上一個步驟中的選擇,輸入新IAM角色的字尾,或選取現有IAM角色。

    注意

    如果您想要使用現有IAM角色,請確定已AWS 受管政策: AmazonSageMakerCanvasForecastAccess連接IAM政策,且具有建立 Amazon Forecast 為服務主體的信任關係。如需更多資訊,請參閱IAM 角色設定方法一節。

  9. 選擇提交

您的使用者現在應具備必要的許可,才能在 SageMaker Canvas 中執行時間序列預測。

使用者設定方法

您可以為現有網域中的個別使用者設定時間序列預測許可。使用者設定檔設定會覆寫一般網域設定,因此您可以將許可授予特定使用者,而無需授予許可給所有使用者。若要將時間序列預測許可授予尚未擁有許可的特定使用者,請使用下列程序。

  1. 在 開啟 SageMaker 主控台https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中選擇 Domains (網域)。

  3. 從網域清單中,選擇您的網域。

  4. 選擇使用者設定檔索引標籤。

  5. 使用者詳細資訊頁面上,選擇應用程式組態索引標籤。

  6. Canvas 區段中,選擇編輯

  7. Canvas 設定頁面隨即開啟。在時間序列預測組態區段中,開啟啟用時間序列預測切換。

  8. 針對 Amazon Forecast 角色 ,選取建立和使用新的執行角色,或使用現有的執行角色

  9. 根據您在上一個步驟中的選擇,輸入新IAM角色的字尾,或選取現有IAM角色。

    注意

    如果您想要使用現有IAM角色,請確定已AWS 受管政策: AmazonSageMakerCanvasForecastAccess連接IAM政策,且具有建立 Amazon Forecast 為服務主體的信任關係。如需更多資訊,請參閱IAM 角色設定方法一節。

  10. 選擇提交

您的使用者現在應具有在 SageMaker Canvas 中進行時間序列預測的許可。

您也可以使用上述程序,並關閉啟用時間序列預測選項來移除使用者的許可。

IAM 角色設定方法

您可以手動授予使用者在 Amazon SageMaker Canvas 中執行時間序列預測的許可,方法是將其他許可新增至為使用者設定檔指定的 AWS Identity and Access Management (IAM) 角色。IAM 角色必須與 Amazon Forecast 具有信任關係,並具有授予 Forecast 許可的附加政策。

下一節說明如何建立信任關係,並將AmazonSageMakerCanvasForecastAccess受管政策連接至您的IAM角色,這會授予在 SageMaker Canvas 中運作時間序列預測所需的最低許可。

注意

AmazonSageMakerCanvasForecastAccess政策授予許可,以存取 SageMaker 建立的 Amazon S3 儲存貯體,這是 Canvas 應用程式資料的預設儲存位置。如果您已為 Canvas 應用程式資料指定了自訂 Amazon S3 儲存位置,則必須將政策中的許可更新為您自己的 Amazon S3 儲存貯體。如需適用於 Canvas 的自訂 Amazon S3 儲存位置的詳細資訊,請參閱設定您的 Amazon S3 儲存

若要使用手動方法設定IAM角色,請使用下列程序。

  1. 在 開啟 SageMaker 主控台https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中,選擇管理員組態

  3. 管理員組態 下,選擇網域

  4. 網域頁面上,選擇您的網域。

  5. 使用者設定檔清單中,選取您要授予時間序列預測許可之使用者的設定檔。

  6. 詳細資料下,複製或記下使用者執行角色的名稱。IAM 角色的名稱應類似於以下內容:111122223333

    SageMaker 主控台中使用者設定檔的螢幕擷取畫面。

  7. 取得使用者IAM角色的名稱後,請前往IAM主控台

  8. 選擇角色

  9. 從IAM角色清單中依名稱搜尋使用者的角色,然後選取該角色。

  10. 許可下,選擇新增許可

  11. 選擇連接政策

  12. 搜尋AmazonSageMakerCanvasForecastAccess受管的策略並選取。選擇連接政策以將政策連接到角色。

    連接政策之後,角色的許可區段現在應包含 AmazonSageMakerCanvasForecastAccess

  13. 返回IAM角色的頁面,然後在信任關係 下,選擇編輯信任政策

  14. 編輯信任政策編輯器中,更新信任政策以將 Forecast 新增為服務主體。該政策應如以下範例所示。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "sagemaker.amazonaws.com",
            "forecast.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  15. 編輯信任政策之後,請選擇更新政策

您現在應該有一個角色,該IAM角色已AmazonSageMakerCanvasForecastAccess連接政策,並與 Amazon Forecast 建立信任關係,允許使用者在 SageMaker Canvas 中執行時間序列預測。如需 AWS 受管政策的相關資訊,請參閱 受管政策和內嵌政策

注意

如果您使用此方法設定時間序列預測,並想要對預測使用 AWS KMS 加密,則必須設定KMS金鑰的政策以授予其他許可。如需詳細資訊,請參閱時間序列預測的先決條件