共用您的特徵群組目錄 - Amazon SageMaker
使用 共用功能群組目錄 AWS SDK for Python (Boto3)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用您的特徵群組目錄

特徵群組目錄 DefaultFeatureGroupCatalog 包含資源擁有者帳戶擁有的所有特徵群組實體。資源擁有者帳戶可以共用目錄,將可探索性授予單一或多個資源取用者帳戶。方法是在 (AWS RAM) 中 AWS Resource Access Manager 建立資源共用。功能群組是 Amazon SageMaker Feature Store 的主要資源,由特徵定義和由 Feature Store 管理的記錄組成。如需特徵群組的更多相關資訊,請參閱功能儲存概念

可探索性表示資源取用者帳戶可以搜尋可探索的資源。可探索的資源會被視為在自己的帳戶中 (標籤除外)。允許特徵群組目錄可探索後,依預設不會授予資源消費者帳戶存取許可 (唯讀、讀寫或管理員)。存取許可是在資源層級授予,而不是在帳戶層級授予。如需如何授予存取許可的資訊,請參閱啟用跨帳戶存取權

若要啟用跨帳戶探索能力,您需要在使用 AWS RAM 開發人員指南中的AWS RAM 建立資源共用指示時指定 SageMaker 資源目錄和功能群組目錄。在以下,我們提供使用 AWS RAM 主控台指示的規格。

  1. 指定資源共享詳細資訊

    • 資源類型:選擇 SageMaker Resource Catalogs

    • ARN:使用 ARN 格式選擇功能群組目錄: arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog

      us-east-1 是資源的區域,以及 111122223333 是資源擁有者帳戶 ID。

    • 資源 ID:選擇 DefaultFeatureGroupCatalog

  2. 關聯受管許可

    • 受管許可:選擇 AWSRAMPermissionSageMakerCatalogResourceSearch

  3. 授予存取權給主體

    • 選擇主體類型 (AWS 帳戶、組織或組織單位),然後輸入適當的 ID。

      如果您是組織,您可能想要利用 AWS Organizations。透過 Organizations,您可以與個別 AWS 帳戶、組織中的所有帳戶,或組織單位 (OU) 共用資源。這可簡化套用許可,而無需將許可套用至每個帳戶。如需在 中共用資源和授予許可的詳細資訊 AWS,請參閱 AWS Resource Access Manager 開發人員指南中的在 中啟用資源共用 AWS Organizations

  4. 檢閱和建立

    • 檢閱,然後選擇建立資源共用

資源共用和主體或資源消費者帳戶可能需要幾分鐘的時間才能完成關聯。設定資源共用和主體關聯後,指定的資源消費者帳戶會收到加入該資源共用的邀請。資源取用者帳戶可以透過在 AWS RAM 主控台中開啟與我共用:資源共用頁面來檢視和接受邀請。如需在 中接受和檢視資源的詳細資訊 AWS RAM,請參閱存取與您共用 AWS 的資源。在這些情況下,邀請將不會送出:

  • 如果您是 中組織的一部分, AWS Organizations 且已啟用組織中的共用。在這種情況下,組織中的主體會自動存取共用資源,而無需邀請。

  • 如果您與 AWS 帳戶 擁有該資源的 共用 ,則該帳戶中的主體會自動存取共用資源,而無需邀請。

如需有關接受和使用資源共用的更多相關資訊,請參閱搜尋可探索的資源

使用 共用功能群組目錄 AWS SDK for Python (Boto3)

您可以使用 AWS SDK for Python (Boto3) AWS RAM APIs來建立資源共用。下列程式碼是資源擁有者帳戶 ID 的範例 111122223333 區域內 us-east-1。 資源擁有者正在建立名為 的資源共用 test-cross-account-catalog。 他們使用資源取用者帳戶 ID 共用功能群組目錄 444455556666。 若要使用 Python SDK for AWS RAM APIs,請將AWSRAMPermissionSageMakerCatalogResourceSearch政策與執行角色連接。如需更多詳細資訊AWS RAM APIs,請參閱 。

#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()

# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
    name='test-cross-account-catalog', # Change to your custom resource share name
    resourceArns=[
        'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
    ],
    principals=[
        '444455556666', # Change 444455556666 to the resource consumer account ID
    ],
    permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)

主體是安全系統中的執行者。在資源型政策中,允許的主體是IAM使用者、IAM角色、根帳戶或其他 AWS 服務。