設定 SageMaker 資產 (管理員指南) - Amazon SageMaker AI
檢視和修改使用者的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 SageMaker 資產 (管理員指南)

重要

SageMaker 資產僅適用於 Amazon SageMaker Studio。如果您使用的是 Amazon SageMaker Studio Classic,則必須遷移至 Studio。如需 Studio 和 Studio Classic 的詳細資訊,請參閱 Amazon SageMaker AI 提供的機器學習環境。如需遷移的相關資訊,請參閱 從 Amazon SageMaker Studio Classic 遷移

隨著業務需求的變化,您的使用者需要有效地協作,以便在出現業務問題時加以解決。若要解決這些問題,使用者必須彼此共用資料和模型。

SageMaker Assets 將 Amazon SageMaker Studio 與 DataZone資料管理服務 Amazon 整合。 SageMaker Assets 是一個平台,可協助您的使用者彼此共用模型和資料。您可以使用以下資訊來設定 SageMaker 資產與 Amazon 之間的整合 DataZone。

您可以為您的業務單位或組織建立 Amazon DataZone 網域。網域是 Amazon 的核心功能 DataZone。您所有使用者的資料和模型都存在於網域中。

在 Amazon DataZone 網域中,您的部分使用者會處理特定專案。專案通常對應至特定的業務問題。在專案中,成員可以建立資料集和模型。根據預設,專案成員只能存取專案內的資料和模型。他們可以提供其資料和模型的存取權給組織內的其他使用者。

在專案中,您可以建立環境。對於 SageMaker 資產,環境是用來啟動 Amazon SageMaker Studio 的已設定資源集合。如需 Amazon 所用術語的詳細資訊 DataZone,請參閱術語和概念

重要

根據您選擇的設定,Amazon SageMaker Studio 會使用下列其中一項:

  • Amazon DataZone 建立的 Amazon SageMaker AI SageMaker 網域,作為 AI 環境的一部分。

  • 您遷移至 Amazon 的現有 Amazon SageMaker AI 網域 DataZone

您可以從 Amazon SageMaker AI 網域存取 Studio,但我們建議您從已建立的專案存取它。如需存取 Studio 的相關資訊,請參閱 使用資產 (使用者指南)

使用下列清單中的步驟及其參考的文件,以 DataZone 其建立的 Amazon SageMaker AI 網域來設定 Amazon。

  1. 建立對應至使用者組織或業務單位的 Amazon DataZone 網域。如需建立 Amazon DataZone 網域的資訊,請參閱建立網域

  2. 在 Amazon 中啟用 SageMaker AI 藍圖 DataZone。如需啟用 SageMaker AI 藍圖的相關資訊,請參閱在擁有 Amazon DataZone 網域的 AWS 帳戶中啟用內建藍圖

  3. 在網域內建立對應於網域中使用者正在解決之業務問題的專案。如需建立專案的詳細資訊,請參閱建立新專案

  4. 建立環境描述檔,您可以用它做為範本,為您的使用者建立 SageMaker AI 環境。如需建立環境設定檔的資訊,請參閱建立環境設定檔

  5. 建立 SageMaker AI 環境。在專案中,您的使用者會使用 SageMaker AI 環境來啟動 Amazon SageMaker Studio。在 Studio 中,他們可以建立資產並使用 SageMaker 資產來共用它們。如需建立環境的相關資訊,請參閱建立新環境

  6. 將 SageMaker AI 新增為 Amazon 中信任的服務之一 DataZone。若要新增 SageMaker AI 做為其中一個服務,請參閱在擁有 Amazon DataZone 網域 AWS 的帳戶中新增 SageMaker AI 做為信任的服務

使用下列清單中的步驟及其參考的文件來設定 DataZone 具有現有 Amazon SageMaker AI 網域的 Amazon。

  1. 建立對應於使用者組織或業務單位的 Amazon DataZone 網域。如需建立 Amazon DataZone 網域的相關資訊,請參閱建立網域

  2. 在 Amazon 中啟用 SageMaker AI 藍圖 DataZone。如需啟用自訂藍圖的相關資訊,請參閱 Amazon DataZone 自訂 AWS 服務藍圖

  3. 在網域內建立對應於網域中使用者正在解決之業務問題的專案。如需建立專案的詳細資訊,請參閱建立新專案

  4. 啟用 SageMaker AI 做為 Amazon 內信任的服務之一 DataZone。若要啟用 SageMaker AI 做為其中一項服務,請參閱在擁有 Amazon DataZone 網域 AWS 的帳戶中新增 Amazon SageMaker AI 做為信任的服務

  5. 在 SageMaker AI 網域內建立 Amazon DataZone 使用者。

  6. 將現有使用者加入 Amazon DataZone 網域。

注意

如果您的 SageMaker AI 使用者是 ,SSO而您的 Amazon DataZone 網域是 SSO,則您可以自動將使用者從 Amazon SageMaker AI 網域映射到 Amazon DataZone 網域。

若要加入現有的 SageMaker AI 使用者,請在您的環境中執行 Amazon DataZone Import SageMaker AI Domain 指令碼。您必須將 的名稱 AWS 區域 和 Amazon SageMaker AI 網域 AWS 的帳戶 ID 做為引數傳遞。以下是執行指令碼的範例 AWS CLI 命令。


python example-script AWS 區域 111122223333

指令碼會執行以下操作:

  1. 要求您提供 Amazon SageMaker AI 網域 ID。

  2. 要求您提供 Amazon DataZone 網域 ID。

  3. 要求您提供 Amazon DataZone 專案。

  4. 提示您指定要匯入的使用者。

  5. 將標籤新增至您的使用者和 Amazon SageMaker AI 網域。

  6. 將您的 Amazon DataZone 使用者映射至 SageMaker AI 使用者設定檔。對於每個 SageMaker AI 使用者設定檔,指令碼會提示您輸入 Amazon DataZone 使用者 ID。您可以修改自己使用案例的指令碼。

  7. 將聯合角色連接至環境,讓 Amazon DataZone 可以存取您的 Amazon SageMaker AI 網域並加以遷移。

指令碼會逐一查看 Amazon SageMaker AI 網域中的每個使用者,並提示您在 Amazon DataZone 網域中指定對應的使用者。它會自動將 Amazon DataZone 網域中的使用者標籤新增至對應 SageMaker AI 網域中的使用者。它也會更新自訂環境藍圖,其中包含每個網域中使用者之間的映射。

注意

SageMaker AI 環境使用最新版的 SageMaker 分佈映像。 SageMaker AI 分佈映像具有熱門的機器學習程式庫套件。如需詳細資訊,請參閱SageMaker Studio 映像支援政策

建立環境之後,您可以建立 AWS Glue 和 Amazon Redshift 資料表和資料庫。如需詳細資訊,請參閱在 Athena 或 Amazon Redshift 中查詢資料

檢視和修改使用者的許可

建立 SageMaker AI 環境後,您可以變更使用者的權限,以符合組織的需求。 SageMaker AI 藍圖會指定所有使用者的許可。他們可以對所有 SageMaker AI 服務執行動作,但許可範圍會縮小至 Amazon DataZone 網域內建立的資源。

重要

您建立的環境會使用具有有限許可和許可界限IAM的角色。若要變更使用者的許可,您可以修改或取代許可界限。例如,如果您的使用者需要存取資源,例如已在環境中建立的 Amazon S3 儲存貯體,您可以變更許可界限。

您可以在IAM用來建立 SageMaker AI 網域ARN的角色的 中檢視許可。

使用下列程序來檢視或編輯使用者IAM角色的許可。

檢視或編輯使用者許可

  1. 開啟 Amazon SageMaker AI 主控台

  2. 選擇網域

  3. 選擇與 Amazon DataZone 網域具有相同名稱的網域名稱。

  4. 選擇網域設定

  5. 執行角色下,複製執行角色ARN的 。

  6. 開啟 IAM 主控台

  7. 選擇角色

  8. 貼上 ARN,並在最後一個正斜線後刪除角色名稱以外的所有內容。

  9. 選擇角色以檢視許可。

  10. 許可下,修改政策以符合組織的需求。

  11. (選用) 選取許可界限,然後選擇設定許可界限

  12. 選取要設定為許可界限的政策。