Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen - Amazon SageMaker KI
SageMaker Rollen für die KI-AusführungBeispiel für flexible Berechtigungen mit Ausführungsrollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen

Bei vielen SageMaker KI-Anwendungen wird beim Starten einer SageMaker KI-Anwendung innerhalb einer Domain ein Bereich für die Anwendung erstellt. Wenn ein Benutzerprofil einen Bereich erstellt, nimmt dieser Bereich eine AWS Identity and Access Management-IAM-Rolle ein, die die Berechtigungen definiert, die diesem Bereich gewährt werden. Auf der folgenden Seite finden Sie Informationen zu den Bereichstypen und den Ausführungsrollen, die die Berechtigungen für den Bereich definieren.

Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Anmerkung

Wenn Sie Amazon SageMaker Canvas oder starten RStudio, wird kein Bereich erstellt, der eine IAM-Rolle übernimmt. Stattdessen ändern Sie die dem Benutzerprofil zugeordnete Rolle, um deren Berechtigungen für die Anwendung zu verwalten. Informationen zum Abrufen der Rolle eines SageMaker KI-Benutzerprofils finden Sie unterAbrufen der Benutzerausführungsrolle.

Informationen zu SageMaker Canvas finden Sie unterEinrichtung und Rechteverwaltung von Amazon SageMaker Canvas (für IT-Administratoren).

Für RStudio, sieheAmazon SageMaker AI-Domain mit RStudio App erstellen.

Benutzer können in einem gemeinsam genutzten oder privaten Bereich auf ihre SageMaker KI-Anwendungen zugreifen.

Gemeinsam genutzte Bereiche

  • Einer Anwendung kann nur ein Bereich zugeordnet sein. Auf einen gemeinsam genutzten Bereich können alle Benutzerprofile innerhalb der Domain zugreifen. Dadurch erhalten alle Benutzerprofile in der Domain Zugriff auf dasselbe zugrunde liegende Dateispeichersystem für die Anwendung.

  • Dem gemeinsam genutzten Bereich werden die in der Standard-Ausführungsrolle des Bereichs definierten Berechtigungen erteilt. Wenn Sie die Ausführungsrolle des gemeinsam genutzten Bereichs ändern möchten, müssen Sie die standardmäßige Ausführungsrolle des Bereichs ändern.

    Informationen zum Abrufen der Standard-Ausführungsrolle für den Bereich finden Sie unter Abrufen der Bereichsausführungsrolle.

    Weitere Informationen zum Ändern Ihrer Ausführungsrolle finden Sie unter Ändern Sie die Berechtigungen für die Ausführungsrolle.

  • Weitere Informationen über gemeinsam genutzte Bereiche finden Sie unter Zusammenarbeit mit gemeinsam genutzten Räumen.

  • Informationen zum Erstellen eines gemeinsam genutzten Bereichs finden Sie unter Erstellen Sie einen gemeinsamen Bereich.

Privater Bereich

  • Einer Anwendung kann nur ein Bereich zugeordnet sein. Auf einen privaten Bereich kann nur das Benutzerprofil zugreifen, das ihn erstellt hat. Dieser Bereich kann nicht mit anderen Benutzern geteilt werden.

  • Der private Bereich übernimmt die Benutzerprofil-Ausführungsrolle des Benutzerprofils, das ihn erstellt hat. Wenn Sie die Ausführungsrolle des privaten Bereichs ändern möchten, müssen Sie die standardmäßige Ausführungsrolle des Bereichs ändern.

    Informationen zum Abrufen der Ausführungsrolle für das Benutzerprofil finden Sie unter Abrufen der Benutzerausführungsrolle.

    Weitere Informationen zum Ändern Ihrer Ausführungsrolle finden Sie unter Ändern Sie die Berechtigungen für die Ausführungsrolle.

  • Alle Anwendungen, die Bereiche unterstützen, unterstützen auch private Bereiche.

  • Standardmäßig ist für jedes Benutzerprofil bereits ein privater Bereich für Studio Classic erstellt.

SageMaker Rollen für die KI-Ausführung

Eine SageMaker KI-Ausführungsrolle ist eine AWSIdentity and Access Management (IAM) -Rolle, die einer IAM-Identität zugewiesen ist, die Ausführungen in KI durchführt. SageMaker Eine IAM-Identität ermöglicht den Zugriff auf ein AWS Konto und stellt einen menschlichen Benutzer oder einen programmatischen Workload dar, der authentifiziert und dann zur Ausführung von Aktionen autorisiert werden kann. Dadurch erhält SageMaker KI die ErlaubnisAWS, in Ihrem Namen auf andere Ressourcen zuzugreifen. AWS Diese Rolle ermöglicht es der SageMaker KI, Aktionen wie das Starten von Compute-Instances, den Zugriff auf Daten und Modellartefakte, die in Amazon S3 gespeichert sind, oder das Schreiben von Protokollen in diese auszuführen CloudWatch. SageMaker KI übernimmt zur Laufzeit die Ausführungsrolle und erhält vorübergehend die in der Rollenrichtlinie definierten Berechtigungen. Die Rolle sollte die erforderlichen Berechtigungen enthalten, die definieren, welche Aktionen die Identität ausführen kann und auf welche Ressourcen die Identität Zugriff hat. Sie können verschiedenen Identitäten Rollen zuweisen, um einen flexiblen und detaillierten Ansatz für die Verwaltung von Berechtigungen und Zugriffen innerhalb Ihrer Domain bereitzustellen. Weitere Informationen zu Domains finden Sie unter Überblick über die Amazon SageMaker AI-Domain. Beispielsweise können Sie IAM-Rollen zuweisen zur:

  • Domain-Ausführungsrolle, um allen Benutzerprofilen innerhalb der Domain umfassende Berechtigungen zu gewähren.

  • Bereichs-Ausführungsrolle, um umfassende Berechtigungen für gemeinsam genutzte Bereiche innerhalb der Domain zu gewähren. Alle Benutzerprofile in der Domain können auf gemeinsam genutzte Bereiche zugreifen und verwenden die Bereichs-Ausführungsrolle, solange sie sich innerhalb des gemeinsam genutzten Bereichs befinden.

  • Ausführungsrolle des Benutzerprofils, um detaillierte Berechtigungen für bestimmte Benutzerprofile zu gewähren. Ein privater Bereich, der durch ein Benutzerprofil erstellt wurde, übernimmt die Ausführungsrolle dieses Benutzerprofils.

Auf diese Weise können Sie der Domain die erforderlichen Berechtigungen gewähren und gleichzeitig das Prinzip der geringsten Berechtigungen für Benutzerprofile beibehalten, um die bewährten Sicherheitsmethoden für IAM im AWS IAM Identity Center-Benutzerhandbuch einzuhalten.

Es kann einige Minuten dauern, bis alle Änderungen oder Modifikationen an den Ausführungsrollen übertragen werden. Weitere Informationen finden Sie unter Ändern Sie Ihre Ausführungsrolle bzw. Ändern Sie die Berechtigungen für die Ausführungsrolle.

Beispiel für flexible Berechtigungen mit Ausführungsrollen

Mit IAM-Rollen können Sie Berechtigungen auf breiter und detaillierter Ebene verwalten und gewähren. Das folgende Beispiel umfasst die Gewährung von Berechtigungen auf Bereichs- und Benutzerebene.

Angenommen, Sie sind ein Administrator, der eine Domain für ein Team von Datenwissenschaftlern einrichtet. Sie können den Benutzerprofilen innerhalb der Domain vollen Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren, SageMaker Trainingsjobs ausführen und Modelle mithilfe einer Anwendung in einem gemeinsam genutzten Bereich bereitstellen. In diesem Beispiel können Sie eine IAM-Rolle namens "DataScienceTeamRole" mit umfassenden Berechtigungen erstellen. Anschließend können Sie "DataScienceTeamRole" als standardmäßige Ausführungsrolle für den Space zuweisen und so Ihrem Team umfassende Berechtigungen gewähren. Wenn ein Benutzerprofil einen gemeinsam genutzten Bereich erstellt, übernimmt dieser Bereich die standardmäßige Bereichs-Ausführungsrolle. Informationen zum Zuweisen einer Ausführungsrolle zu einer vorhandenen Domain finden Sie unter Abrufen der Bereichsausführungsrolle.

Anstatt jedem einzelnen Benutzerprofil, das in seinem eigenen privaten Bereich arbeitet, vollen Zugriff auf Amazon-S3-Buckets zu gewähren, können Sie die Berechtigungen eines Benutzerprofils einschränken und ihm nicht erlauben, die Amazon-S3-Buckets zu ändern. In diesem Beispiel können Sie ihnen Lesezugriff auf Amazon S3 S3-Buckets gewähren, um Daten abzurufen, SageMaker Trainingsjobs auszuführen und Modelle in ihrem privaten Bereich bereitzustellen. Sie können eine Ausführungsrolle auf Benutzerebene mit dem Namen "DataScientistRole" mit den relativ eingeschränkteren Berechtigungen erstellen. Anschließend können Sie der Ausführungsrolle des Benutzerprofils DataScientistRole "" zuweisen und so die erforderlichen Berechtigungen für die Ausführung der spezifischen datenwissenschaftlichen Aufgaben innerhalb des definierten Bereichs gewähren. Wenn ein Benutzerprofil einen privaten Bereich erstellt, übernimmt dieser Bereich die Benutzer-Ausführungsrolle. Informationen zum Zuweisen einer Ausführungsrolle zu einem vorhandenen Benutzerprofil finden Sie unter Abrufen der Benutzerausführungsrolle.

Informationen zu SageMaker KI-Ausführungsrollen und zum Hinzufügen zusätzlicher Berechtigungen finden Sie unterWie verwendet man SageMaker AI-Ausführungsrollen.