了解網域空間許可和執行角色 - Amazon SageMaker
SageMaker 執行角色具有執行角色的彈性許可範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解網域空間許可和執行角色

對於許多 SageMaker 應用程式,當您在網域中啟動 SageMaker 應用程式時,會為應用程式建立空間。當使用者設定檔建立空間時,該空間會擔任 AWS Identity and Access Management (IAM) 角色,定義授予該空間的許可。下頁提供空間類型和定義空間許可之執行角色的相關資訊。

IAM 角色是您可以在具有特定許可的帳戶中建立的IAM身分。IAM 角色與 中的IAM使用者類似,因為它是具有許可政策的 AWS 身分,可決定身分在 中可以和不可以做什麼 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。

注意

當您啟動 Amazon SageMaker Canvas 或 時RStudio,它不會建立擔任IAM角色的空間。相反地,您可以變更與使用者設定檔相關聯的角色,以管理其對應用程式的許可。如需有關取得 SageMaker 使用者設定檔角色的資訊,請參閱 取得使用者執行角色

如需 SageMaker Canvas,請參閱 Amazon SageMaker Canvas 設定和許可管理 (適用於 IT 管理員)

對於 RStudio,請參閱 使用 RStudio 應用程式建立 Amazon SageMaker 網域

使用者可以在共用或私有空間內存取其 SageMaker 應用程式。

共用空間

  • 只能有一個與應用程式相關聯的空間。共用空間可由網域中的所有使用者設定檔存取。這會授予網域中所有使用者設定檔對應用程式相同基礎檔案儲存系統的存取權。

  • 共用空間將獲授予空間預設執行角色 定義的許可。如果您想要修改共用空間的執行角色,則必須修改空間預設執行角色。

    如需取得空間預設執行角色的資訊,請參閱 取得空間執行角色

    如需有關修改執行角色的資訊,請參閱 修改執行角色的許可

  • 如需共用空間的相關資訊,請參閱 與共用空間協作

  • 若要建立共用空間,請參閱 建立共用空間

私有空間

  • 只能有一個與應用程式相關聯的空間。只有建立私有空間的使用者設定檔才能存取私有空間。此空間無法與其他使用者共用。

  • 私有空間將擔任其建立之使用者設定檔的使用者設定檔執行角色。如果您想要修改私有空間的執行角色,則必須修改使用者設定檔的執行角色。

    如需有關取得使用者設定檔執行角色的資訊,請參閱 取得使用者執行角色

    如需有關修改執行角色的資訊,請參閱 修改執行角色的許可

  • 支援空間的所有應用程式也支援私有空間。

  • 預設會為每個使用者設定檔建立 Studio Classic 的私有空間。

SageMaker 執行角色

SageMaker 執行角色是指派給在 中執行之IAM身分AWS 的 Identity and Access Management (IAM) 角色 SageMaker。IAM 身分提供 AWS 帳戶存取權,並代表可驗證的人工使用者或程式設計工作負載,然後在 中授權執行動作 AWS,以授予 代表您存取其他 AWS 資源 SageMaker 的許可。此角色允許 SageMaker 執行動作,例如啟動運算執行個體、存取存放在 Amazon S3 中的資料和模型成品,或將日誌寫入 CloudWatch。 SageMaker 會在執行階段擔任執行角色,並暫時授予角色政策中定義的許可。角色應包含必要的許可,以定義身分可執行的動作,以及身分可存取的資源。您可以為各種身分指派角色,提供彈性且精細的方法,以管理網域內的許可和存取權。如需網域的詳細資訊,請參閱 Amazon SageMaker 網域概觀。例如,您可以將IAM角色指派給:

  • 網域執行角色,以授予網域內所有使用者設定檔的廣泛許可。

  • 空間執行角色可授予網域內共用空間的廣泛許可。網域中的所有使用者設定檔都可以存取共用空間,並在共用空間內使用空間的執行角色。

  • 使用者設定檔執行角色可授予特定使用者設定檔的精細許可。使用者設定檔建立的私有空間將擔任該使用者設定檔的執行角色。

這可讓您將必要的許可授予網域,同時仍維持使用者設定檔最低權限許可的原則,以遵循 AWS IAM Identity Center 使用者指南 中的安全最佳實務IAM

執行角色的任何變更或修改可能需要幾分鐘的時間才能傳播。如需詳細資訊修改執行角色的許可,請分別參閱 變更您的執行角色或 。

具有執行角色的彈性許可範例

透過IAM角色,您可以在廣泛且精細的層級管理和授予許可。下列範例包括授予空間層級和使用者層級的許可。

假設您是為資料科學家團隊設定網域的管理員。您可以允許網域中的使用者設定檔完整存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體、執行 SageMaker 訓練任務,以及使用共用空間 中的應用程式部署模型。在此範例中,您可以建立名為「DataScienceTeamRole」且具有廣泛許可IAM的角色。然後,您可以將 "DataScienceTeamRole" 指派為空間預設執行角色 ,為您的團隊授予廣泛許可。當使用者設定檔建立共用空間 時,該空間將擔任空間預設執行角色 。如需將執行角色指派給現有網域的資訊,請參閱 取得空間執行角色

您可以限制使用者設定檔的許可,不允許在自己的私有空間中工作的任何個別使用者設定檔變更 Amazon S3 儲存貯體,而不是允許它們完全存取 Amazon S3 儲存貯體。在此範例中,您可以授予 Amazon S3 儲存貯體的讀取存取權,以擷取資料、執行 SageMaker 訓練任務,以及在其私有空間中部署模型。您可以建立名為 "DataScientistRole" 的使用者層級執行角色,其許可相對較為有限。然後,您可以將 "DataScientistRole" 指派給使用者設定檔執行角色 ,授予在定義範圍內執行其特定資料科學任務的必要許可。當使用者設定檔建立私有空間 時,該空間將擔任使用者執行角色 。如需將執行角色指派給現有使用者設定檔的資訊,請參閱 取得使用者執行角色

如需有關 SageMaker 執行角色和新增其他許可的資訊,請參閱 如何使用 SageMaker 執行角色