了解網域空間權限和執行角色 - Amazon SageMaker
SageMaker 執行角色具有執行角色的彈性權限範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解網域空間權限和執行角色

Amazon SageMaker 網域是讓您的團隊存取 SageMaker 資源的環境。網域可簡化網域中使用者設定檔的機器學習 (ML) 應用程式、資源和權限的管理作業。您可以通過您的域訪問 SageMaker 應用程序,如代碼編輯器OSS,基於代碼 JupyterLab,RStudioVisual Studio 代碼-開源,,和工作室經典。如需有關網域的詳細資訊,請參閱Amazon SageMaker 域名概述

對於許多 SageMaker 應用程 SageMaker 序,當您在域中啟動應用程序時,將為該應用程序創建一個空間。當使用者設定檔建立空間時,該空間會假設為 AWS Identity and Access Management (IAM) 定義授與該空間權限的角色。IAM角色是您可以在具有特定權限的帳戶中建立的IAM身分。IAM角色與IAM使用者類似,因為它是 AWS 使用權限原則的身分識別身分識別可以執行和不能在中執行的動作 AWS。 但是,角色並非與一個人唯一關聯,而是為了讓任何需要角色的人保證。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。

注意

當您啟動 Amazon SageMaker Canvas 時RStudio,或者它不會建立擔任IAM角色的空間。而是變更與使用者設定檔相關聯的角色,以管理其應用程式的權限。如需取得 SageMaker 使用者設定檔角色的資訊,請參閱取得使用者執行角色

對於「 SageMaker 畫布」,請參閱設置和管理 Amazon SageMaker 畫布(適用於 IT 管理員)

對於RStudio,請參閱使用 RStudio 應用程式建立 Amazon SageMaker 網域

使用者可以在共用或私人空間中存取其 SageMaker 應用程式。

共用空間

  • 一個應用程式只能有一個關聯的空間。網域內的所有使用者設定檔都可以存取共用空間。這會授與網域中的所有使用者設定檔存取應用程式相同的基礎檔案儲存系統。

  • 共用空間將被授與空間預設執行角色所定義的權限。如果您想要修改共用空間的執行角色,您必須修改空間預設執行角色。

    如需取得空間預設執行角色的資訊,請參閱獲取空間執行角色

    如需修改執行角色的資訊,請參閱修改執行角色的權限

  • 如需共用空間的相關資訊,請參閱與共用空間協同合作

  • 若要建立共用空間,請參閱建立共用空間

私人空間

  • 一個應用程式只能有一個關聯的空間。私人空間只能由建立它的使用者設定檔存取。此空間無法與其他使用者共用。

  • 私人空間將承擔創建它的用戶配置文件的用戶配置文件執行角色。如果您想要修改私人空間的執行角色,則必須修改使用者設定檔的執行角色。

    如需取得使用者設定檔之執行角色的資訊,請參閱取得使用者執行角色

    如需修改執行角色的資訊,請參閱修改執行角色的權限

  • 所有支援空間的應用程式也支援私人空間。

  • 默認情況下,已為每個用戶配置文件創建了 Studio 經典的私人空間。

  • 在 Amazon SageMaker 工作室中創建一個私人空間

    1. 推出 Amazon SageMaker 工作.

    2. 在左側導航窗格中,選擇要在「應用程序」下運行的應用程序。

    3. 選擇 [+ 建立空間]。

    4. 輸入您的空間名稱,然後選擇私人

    5. 選擇建立空間

SageMaker 執行角色

SageMaker 執行角色是 AWS 指派給在 SageMaker中執行執行之身份識別的 I IAM dentity and Access Management (IAM) 角色。一個IAM身份可以訪問 AWS 帳號,並代表人類使用者或程式化工作負載,該工作負載可經過驗證,然後授權執行動作 AWS,授予存取其 SageMaker 他權限 AWS 代表您的資源。此角色允許執 SageMaker 行動作,例如啟動運算執行個體、存取 Amazon S3 中存放的資料和模型成品,或將日誌寫入 CloudWatch。 SageMaker 在執行階段會採用執行角色,並暫時授與角色原則中定義的權限。角色應包含必要的權限,這些權限定義識別可執行的動作以及身分識別可存取的資源。您可以將角色指派給各種身分識別,以提供彈性且精細的方法來管理網域內的權限和存取。如需網域的詳細資訊,請參閱Amazon SageMaker 域名概述。例如,您可以將IAM角色指派給:

  • 網域執行角色,可授與網域內所有使用者設定檔的廣泛權限。

  • 空間執行角色可授與網域內共用空間的廣泛權限。網域中的所有使用者設定檔都可以存取共用空間,並在共用空間內使用空間的執行角色。

  • 用戶配置文件執行角色,以授予特定用戶配置文件的細粒度權限。由使用者設定檔建立的私人空間將假定該使用者設定檔的執行角色。

這可讓您授與必要的權限給網域,同時仍維持使用者設定檔的最低權限權限原則,以遵循中IAM的安全性最佳作法 AWS IAM Identity Center 使用者指南

對執行角色的任何變更或修改可能需要幾分鐘的時間來傳播。如需詳細資訊,請分別參閱變更您的執行角色修改執行角色的權限

具有執行角色的彈性權限範例

使用IAM角色,您可以在廣泛和細微層級上管理和授予權限。下列範例包含授與空間層級和使用者層級的權限。

假設您是為資料科學家小組設定網域的管理員。您可以允許網域內的使用者設定檔擁有 Amazon Simple Storage Service (Amazon S3) 貯體的完整存取權、執行 SageMaker 訓練任務,以及使用共用空間中的應用程式部署模型。在此範例中,您可以建立名為 "DataScienceTeamRole" 具有廣泛權限的IAM角色。然後,您可以將 "DataScienceTeamRole" 指派為空間預設執行角色,為您的團隊授與廣泛的權限。當使用者設定檔建立共用空間時,該空間將採用空間預設執行角色。如需將執行角色指派給現有網域的資訊,請參閱獲取空間執行角色

您可以限制使用者設定檔的許可,而不允許在自己私有空間中工作的任何個別使用者設定檔擁有 Amazon S3 儲存貯體的完整存取權,而不允許他們變更 Amazon S3 儲存貯體。在此範例中,您可以授與他們讀取 Amazon S3 儲存貯體的存取權限,以擷取資料、執行 SageMaker 訓練任務,以及在其私有空間部署模型。您可以使用相對較有限的權限來建立名為 "DataScientistRole" 的使用者層級執行角色。然後,您可以將 "DataScientistRole" 指派給使用者設定檔執行角色,授與必要的權限,以便在定義的範圍內執行其特定資料科學工作。當使用者設定檔建立私人空間時,該空間將扮演使用者執行角色。如需將執行角色指派給現有使用者設定檔的資訊,請參閱取得使用者執行角色

如需 SageMaker 執行角色及新增其他權限的相關資訊,請參閱如何使用 SageMaker 執行角色