本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定監控排程的服務控制政策
當您分別使用 CreateMonitoringSchedule API 或 UpdateMonitoringSchedule API 來建立或更新排程時,您必須指定監控工作的參數。視您的使用案例而定,您可採用下列其中一種方式這麼做:
-
當您調用
CreateMonitoringSchedule或UpdateMonitoringSchedule時,您可以指定 MonitoringScheduleConfig 的 MonitoringJobDefinition 欄位。您只能使用此功能來建立或更新資料品質監控工作的排程。 -
在調用
CreateMonitoringSchedule或UpdateMonitoringSchedule時,您可以為MonitoringScheduleConfig的MonitoringJobDefinitionName欄位指定已建立的監控工作定義名稱。您可以將此功能用於透過下列其中一個 API 建立的任何工作定義:如果您想要使用 SageMaker Python SDK 來建立或更新排程,則必須使用此程序。
上述程序為互斥,也就是說,您可以在建立或更新監控排程時指定 MonitoringJobDefinition 欄位或 MonitoringJobDefinitionName 欄位。
當您建立監控工作定義或在 MonitoringJobDefinition 欄位中指定一個定義時,您可以設定安全性參數,例如 NetworkConfig 和 VolumeKmsKeyId。身為管理員,您可能希望這些參數一律設定為特定值,以便監控工作永遠在安全的環境中執行。為了確保這一點,請設定適當的服務控制政策 (SCP)。SCP 是一種組織政策類型,可用來管理組織中的許可。
下列範例顯示可用來確保在建立或更新監控工作排程時,已正確設定基礎架構參數的 SCP。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "sagemaker:CreateDataQualityJobDefinition", "sagemaker:CreateModelBiasJobDefinition", "sagemaker:CreateModelExplainabilityJobDefinition", "sagemaker:CreateModelQualityJobDefinition" ], "Resource": "arn:*:sagemaker:*:*:*", "Condition": { "Null": { "sagemaker:VolumeKmsKey":"true", "sagemaker:VpcSubnets": "true", "sagemaker:VpcSecurityGroupIds": "true" } } }, { "Effect": "Deny", "Action": [ "sagemaker:CreateDataQualityJobDefinition", "sagemaker:CreateModelBiasJobDefinition", "sagemaker:CreateModelExplainabilityJobDefinition", "sagemaker:CreateModelQualityJobDefinition" ], "Resource": "arn:*:sagemaker:*:*:*", "Condition": { "Bool": { "sagemaker:InterContainerTrafficEncryption": "false" } } }, { "Effect": "Deny", "Action": [ "sagemaker:CreateMonitoringSchedule", "sagemaker:UpdateMonitoringSchedule", ], "Resource": "arn:*:sagemaker:*:*:monitoring-schedule/*", "Condition": { "Null": { "sagemaker:ModelMonitorJobDefinitionName": "true" } } } ] }
在範例中的前兩個規則,確定一律為監控工作定義設定安全性參數。最終規則會要求組織中建立或更新排程的任何人都必須一律指定 MonitoringJobDefinitionName 欄位。這樣可確保在建立或更新排程時,組織中的任何人都不能透過指定 MonitoringJobDefinition 欄位為安全性參數設定不安全值。
