角色管理員 FAQs - Amazon SageMaker

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

角色管理員 FAQs

如需 Amazon SageMaker Role Manager 常見問題的解答FAQ,請參閱下列項目。

答:您可以透過 Amazon SageMaker 主控台中的多個位置來存取 Amazon SageMaker Role Manager。如需有關存取角色管理器及使用它來建立角色的資訊,請參閱使用角色管理器 (主控台)

答案:人物角色是基於一般機器學習 (ML) 責任的預先設定許可群組。例如,資料科學角色會建議 SageMaker 在環境中進行一般機器學習開發和實驗的許可,而MLOps角色則會建議與操作相關的 ML 活動許可。

答:ML 活動是與 機器學習 SageMaker相關的常見 AWS 任務,需要特定IAM許可。使用 Amazon SageMaker Role Manager 建立角色時,每個角色都會建議相關的 ML 活動。機器學習 (ML) 活動包括 Amazon S3 完整存取權或搜尋和視覺化實驗等任務。如需詳細資訊,請參閱機器學習 (ML) 活動參考

答案:是。使用 Amazon SageMaker Role Manager 建立的角色是具有自訂存取政策IAM的角色。您可以在IAM主控台的角色區段中檢視建立的角色

答:您可以在IAM主控台的角色區段中檢視建立的角色。根據預設,字首"sagemaker-"會新增至每個角色名稱,以便在IAM主控台中更輕鬆地搜尋。例如,如果您在角色建立test-123期間命名角色,您的角色會在IAM主控台sagemaker-test-123中顯示為 。

答案:是。您可以透過IAM主控台 修改 Amazon SageMaker Role Manager 建立的角色和政策。如需更多資訊,請參閱 AWS Identity and Access Management IAM 使用者指南中的修改角色

答案:是。您可以將任何 AWS 或客戶管理IAM的政策從您的帳戶連接至您使用 Amazon SageMaker Role Manager 建立的角色。

答:將受管政策連接至IAM角色或使用者的上限是 20。受管政策的最大字元大小限制為 6,144。如需詳細資訊,請參閱IAM物件配額IAM和 AWS Security Token Service 配額名稱要求,以及字元限制

答:您在 步驟 1. 輸入角色資訊 Amazon SageMaker Role Manager 中提供的任何條件,例如子網路、安全群組或KMS金鑰,都會自動傳遞至在 中選取的任何 ML 活動步驟 2. 設定機器學習 (ML) 活動。如有必要,您也可以將其他條件新增至機器學習 (ML) 活動。例如,您也可以在管理訓練工作活動中新增 InstanceTypesIntercontainerTrafficEncryption 條件。

答:您可以在 Amazon SageMaker Role Manager 步驟 3:新增其他政策和標籤的 中將標籤新增至您的角色。若要使用標籤成功管理 AWS 資源,您必須將相同的標籤新增至角色和任何相關聯的政策。例如,您可以將標籤新增至角色和 Amazon S3 儲存貯體。然後,由於角色會將標籤傳遞至 SageMaker 工作階段,因此只有具有該角色的使用者才能存取該 S3 儲存貯體。您可以透過IAM主控台 將標籤新增至政策。如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南 中的標記IAM角色

答:否。不過,在角色管理員中建立服務角色之後,您可以前往IAM主控台編輯角色,並在IAM主控台中新增人工存取角色。

答案:使用者直接扮演使用者聯合角色來存取 AWS 資源,例如存取 AWS Management Console。 SageMaker 服務會擔任 SageMaker 執行角色,以代表使用者或自動化工具執行函數。例如,當使用者開啟 Studio Classic 執行個體時,Studio Classic 會擔任與使用者設定檔相關聯的執行角色,以便代表使用者存取 AWS 資源。如果使用者設定檔未指定執行角色,則會在 Amazon SageMaker 網域層級指定執行角色。

答:如果您使用自訂 Web 應用程式存取 Studio Classic,則您具有混合式使用者聯合角色和 SageMaker 執行角色。請確定此角色具有最低權限許可,讓使用者可以執行哪些動作,以及 Studio Classic 可以代表相關聯使用者執行哪些動作。

答: AWS IAM Identity Center Studio Classic Cloud Applications 使用 Studio Classic 執行角色來授予聯合使用者許可。此執行角色可以在 Studio Classic IAM Identity Center 使用者設定檔層級或預設網域層級指定。使用者身分和群組必須同步至 IAM Identity Center,且 Studio Classic 使用者設定檔必須使用 IAM Identity Center 使用者指派建立CreateUserProfile。如需詳細資訊,請參閱使用 IAM Identity Center 啟動 Studio Classic