設定 SageMaker 資產 (管理員指南) - Amazon SageMaker
檢視和修改使用者的權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 SageMaker 資產 (管理員指南)

重要

SageMaker 資產僅適用於 Amazon SageMaker 工作室。如果您使用的是 Amazon SageMaker 工作室經典版,則必須遷移到工作室。如需工作室和工作室經典版的詳細資訊,請參閱使用 Amazon 提供的機器學習環境 SageMaker。如需移轉的相關資訊,請參閱從 Amazon SageMaker 工作室經典遷移

隨著業務需求的變化,您的使用者需要有效地協同合作,以解決業務問題出現時的問題。要解決這些問題,用戶必須相互共享數據和模型。

SageMaker 資產將 Amazon SageMaker 工作室與 Amazon DataZone(一種數據管理服務)集成 SageMaker 資產是一個平台,可協助您的使用者彼此共用模型和資料。您可以使用以下信息來設置資 SageMaker 產和 Amazon 之間的集成 DataZone。

您可以為您的業務線或組織建立 Amazon DataZone 網域。該是 Amazon 的核心功能 DataZone。所有使用者的資料和模型都存在於網域中。

在 Amazon DataZone 網域中,您的使用者子集在特定專案上工作。一個項目通常對應於一個特定的業務問題。在專案中,成員可以建立資料集和模型。依預設,專案成員只能存取專案中的資料和模型。他們可以提供對其資料和模型的存取權給組織內的其他使用者。

在專案中,您可以建立環境。對於 SageMaker 資產而言,環境是用於啟動 Amazon SageMaker Studio 的已設定資源集合。如需 Amazon 中使用的術語的詳細資訊 DataZone,請參閱術語和概念

使用下列清單中的步驟及其參考的文件來設定 Amazon DataZone。

  1. 建立與使用者組織或業務線相對應的 Amazon DataZone 網域。如需建立 Amazon 網 DataZone 域的相關資訊,請參閱建立網域

  2. 在 Amazon 內啟用 SageMaker 藍圖 DataZone。如需啟用藍 SageMaker 圖的相關資訊,請參閱在 AWS 擁有 Amazon DataZone 域的帳戶

  3. 在網域內建立專案,該專案對應於您網域中使用者正在解決的業務問題。如需有關建立專案的資訊,請參閱建立新專案

  4. 建立可做為範本的環境設定檔,以便為使用者建立環 SageMaker境。如需有關建立環境設定檔的資訊,請參閱建立環境設定檔

  5. 建立 SageMaker 環境。在專案中,您的使用者會使用該 SageMaker環境來啟動 Amazon SageMaker 工作室。在 Studio 中,他們可以創建資產並使用 SageMaker 資產來共享它們。如需有關建立環境的資訊,請參閱建立新環境

  6. 添加 SageMaker 為 Amazon 中受信任的服務之一 DataZone。若要新增 SageMaker 為其中一個服務,請參閱新增 SageMaker 為受信任的服務 AWS 擁有 Amazon DataZone 域的帳戶

重要

Amazon SageMaker 工作室使用 Amazon DataZone 創建的 Amazon SageMaker 域作為您的 SageMaker環境的一部分。Amazon SageMaker 域名與 Amazon DataZone 域不同。它包含運行 Studio 所需的資源。您可以從 Amazon SageMaker 網域存取 Studio,但我們建議您從您建立的專案存取它。若要取得有關存取 Studio 的資訊,請參閱存取或共用資產 (使用者指南)

注意

SageMaker 環境使用最新版本的 SageMaker 分佈映像。 SageMaker發佈映像具有用於機器學習的熱門程式庫套件。如需詳細資訊,請參閱SageMaker 分發映像

建立環境之後,您可以建立 AWS Glue 和 Amazon Redshift 表和數據庫。如需詳細資訊,請參閱在 Athena 或 Amazon Redshift 中查詢資料

檢視和修改使用者的權限

建立 SageMaker 環境之後,您可以變更使用者的權限以符合組織的需求。 SageMaker 藍圖會指定所有使用者的權限。他們可以對所有 SageMaker 服務執行動作,但許可的範圍是在 Amazon DataZone 網域中建立的資源。

重要

您建立的環境會使用權限有限和權限界限的IAM角色。若要變更使用者的權限,您可以修改或取代權限界限。例如,如果您的使用者需要存取已在環境中建立的 Amazon S3 儲存貯體等資源,您可以變更許可界限。

您可以檢視用來建立 SageMaker網域ARN之IAM角色的權限。

請使用下列程序來檢視或編輯使用者IAM角色的權限。

若要檢視或編輯使用者的權限

  1. 打開 Amazon SageMaker 控制台

  2. 選擇網域

  3. 選擇與您的 Amazon 域名具有相同名稱的 DataZone域名。

  4. 選擇網域設定

  5. 在「執行角色」下,複製執行角色ARN的。

  6. 開啟主IAM控台

  7. 選擇角色

  8. 粘貼ARN並刪除除最後一個正斜杠之後的角色名稱以外的所有內容。

  9. 選擇要檢視權限的角色。

  10. 在「權限」下,修改原則以符合您組織的需求。

  11. (選擇性) 選取權限界限,然後選擇設定權限界限

  12. 選取要設定為權限界限的策略。