追蹤跨帳戶系列 - Amazon SageMaker
設定跨帳戶歷程追蹤追蹤跨帳戶歷程

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

追蹤跨帳戶系列

Amazon SageMaker 支援從不同 AWS 帳戶追蹤譜系實體。其他 AWS 帳戶可以與您共用其譜系實體,您可以透過直接API呼叫或譜系查詢來存取這些譜 SageMaker 系實體。

SageMaker 使用 AWS Resource Access Manager 來協助您安全地共用譜系資源。您可以透過 AWS RAM 主控台共用資源。

設定跨帳戶歷程追蹤

您可以透過 歷程追蹤實體 Amazon 中的譜系群組來分組和共用您的 SageMaker。每個帳戶僅 SageMaker 支援一個預設譜系群組。每當在您的帳戶中建立譜系實體時, 都會 SageMaker 建立預設譜系群組。您的帳戶擁有的每個歷程實體都會指派給此預設歷程群組。若要與其他帳戶共用歷程實體,您可以與該帳戶共用此預設歷程群組。

注意

您可以共用歷程群組中的所有歷程追蹤實體,也可以不共用任何實體。

使用 AWS Resource Access Manager 主控台為您的譜系實體建立資源共用。如需詳細資訊,請參閱 AWS Resource Access Manager 使用者指南 中的共用 AWS 資源

注意

建立資源共用後,資源和主體可能需要幾分鐘的時間才能完成關聯。設定關聯之後,共享帳戶會收到加入資源共用的邀請。共用帳戶必須接受邀請才能存取共用資源。如需在 中接受資源共用邀請的詳細資訊 AWS RAM,請參閱 AWS Resource Access Manager 使用者指南 中的使用共用 AWS 資源

跨帳戶歷程追蹤資源政策

Amazon 僅 SageMaker 支援一種類型的資源政策。 SageMaker 資源政策必須允許下列所有操作:

"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
範例 以下是使用 建立 SageMaker 的資源政策, AWS Resource Access Manager 用於為帳戶系列群組建立資源共用。
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

追蹤跨帳戶歷程實體

透過跨帳戶譜系追蹤,您可以使用相同的AddAssociationAPI動作來關聯不同帳戶中的譜系實體。當您關聯兩個譜系實體時, 會 SageMaker 驗證您是否具有在兩個譜系實體上執行AddAssociationAPI動作的許可。 SageMaker 然後建立關聯。如果您沒有許可, SageMaker 不會建立關聯。建立跨帳戶關聯後,您可以透過 QueryLineageAPI動作從另一個存取任一譜系實體。如需詳細資訊,請參閱查詢歷程實體

除了 SageMaker 自動建立譜系實體之外,如果您有跨帳戶存取權, 會 SageMaker 連接參考相同物件或資料的成品。如果來自一個帳戶的資料用於不同帳戶的譜系追蹤, 會在每個帳戶中 SageMaker 建立成品來追蹤該資料。使用跨帳戶譜系時,只要 SageMaker 建立新的成品,就會 SageMaker 檢查是否有其他成品為同樣與您共用的相同資料所建立。 SageMaker 然後, 會在新建立的成品與設定為 AssociationType 與您共用的每個成品之間建立關聯SameAs。然後,您可以使用 QueryLineageAPI動作來周遊您帳戶中的譜系實體,以與您共用但由不同 AWS 帳戶擁有的譜系實體。如需詳細資訊,請參閱 查詢歷程實體

從不同帳戶存取歷程資源

設定共用譜系的跨帳戶存取權後,您可以直接與 呼叫下列 SageMaker API動作ARN,以描述來自另一個帳戶的共用譜系實體:

您也可以使用下列 SageMaker API動作,管理與您共用之不同帳戶所擁有之譜系實體的關聯

如需展示如何使用 SageMaker Lineage APIs 跨帳戶查詢譜系的筆記本,請參閱 sagemaker-lineage-cross-account-with-ram.ipynb

授權跨帳戶查詢歷程實體

Amazon SageMaker 必須驗證您是否具有在 上執行QueryLineageAPI動作的許可StartArns。這是透過連接至 LineageGroup 的資源政策來強制執行的。此動作的結果包括您可以存取所有歷程實體,無論這些實體是由您的帳戶擁有還是由其他帳戶共用。如需詳細資訊,請參閱查詢歷程實體