View a markdown version of this page

Richten Sie IAM-Berechtigungen für MLflow Apps ein - Amazon SageMaker KI
Einrichten von MLflow-IAM-Berechtigungen beim Erstellen einer DomainErstellen der erforderlichen IAM-Servicerollen in der IAM-KonsoleErstellen aktionsspezifischer Autorisierungskontrollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie IAM-Berechtigungen für MLflow Apps ein

Sie müssen die erforderlichen IAM-Servicerollen konfigurieren, um mit MLflow Apps in Amazon SageMaker AI zu beginnen.

Wenn Sie eine neue Amazon SageMaker AI-Domain für den Zugriff auf Ihre Experimente in Studio erstellen, können Sie die erforderlichen IAM-Berechtigungen während der Domaineinrichtung konfigurieren. Weitere Informationen finden Sie unter Einrichten von MLflow-IAM-Berechtigungen beim Erstellen einer Domain.

Informationen zum Einrichten von Berechtigungen mithilfe der IAM-Konsole finden Sie unter Erstellen der erforderlichen IAM-Servicerollen in der IAM-Konsole.

Sie müssen die Autorisierungskontrollen für sagemaker-mlflow-Aktionen konfigurieren. Sie können optional detailliertere Autorisierungskontrollen definieren, um aktionsspezifische MLflow-Berechtigungen zu steuern. Weitere Informationen finden Sie unter Erstellen aktionsspezifischer Autorisierungskontrollen.

Einrichten von MLflow-IAM-Berechtigungen beim Erstellen einer Domain

Wenn Sie eine neue Amazon SageMaker AI-Domain für Ihre Organisation einrichten, können Sie IAM-Berechtigungen für Ihre Domain-Servicerolle über die Einstellungen „Benutzer“ und „ML-Aktivitäten“ konfigurieren.

  1. Richten Sie mithilfe der SageMaker AI-Konsole eine neue Domain ein. Wählen Sie auf der Seite SageMaker KI-Domain einrichten die Option Für Organisationen einrichten aus. Weitere Informationen finden Sie unter Benutzerdefinierte Einrichtung mit der Konsole.

  2. Wählen Sie bei der Einrichtung von Benutzern und ML-Aktivitäten aus den folgenden ML-Aktivitäten für MLflow: MLflow verwenden, MLflow Apps verwalten und Zugriff auf AWS Dienste für MLflow erforderlich. Weitere Informationen zu diesen Aktivitäten finden Sie in den Erläuterungen, die diesem Verfahren folgen.

  3. Schließen Sie die Einrichtung und Erstellung Ihrer neuen Domain ab.

Die folgenden MLflow ML-Aktivitäten sind in Amazon SageMaker Role Manager verfügbar:

  • MLflow verwenden: Diese ML-Aktivität gewährt der Domain-Servicerolle die Berechtigung, MLflow-REST-APIs aufzurufen, um Experimente, Läufe und Modelle in MLflow zu verwalten.

  • MLflow Apps verwalten: Diese ML-Aktivität gewährt der Domain-Servicerolle die Erlaubnis, MLflow Apps zu erstellen, zu aktualisieren und zu löschen.

  • Zugriff erforderlich AWS-Services für MLflow Apps: Diese ML-Aktivität stellt die Domain-Servicerollenberechtigungen bereit, die für den Zugriff auf Amazon S3 und die SageMaker AI Model Registry erforderlich sind. Auf diese Weise können Sie die Domain-Servicerolle als Tracking-Server-Servicerolle verwenden.

Weitere Informationen über ML-Aktivitäten im Rollenmanager finden Sie unter Referenz zur ML-Aktivität.

Erstellen der erforderlichen IAM-Servicerollen in der IAM-Konsole

Wenn Sie Ihre Domain-Servicerolle nicht erstellt oder aktualisiert haben, müssen Sie stattdessen die folgenden Servicerollen in der IAM-Konsole erstellen, um MLflow Apps zu erstellen und zu verwenden:

  • Eine MLflow App IAM-Servicerolle, mit der die App auf KI-Ressourcen zugreifen kann SageMaker

  • Eine SageMaker KI-IAM-Servicerolle, mit der SageMaker KI MLflow-Ressourcen erstellen und verwalten kann

IAM-Richtlinien für die MLflow App IAM-Servicerolle

Die MLflow App IAM-Servicerolle wird von der App verwendet, um auf die benötigten Ressourcen wie Amazon S3 und die SageMaker Model Registry zuzugreifen.

Verwenden Sie bei der Erstellung der App-IAM-Servicerolle die folgende IAM-Vertrauensrichtlinie:

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Fügen Sie in der IAM-Konsole Ihrer App-Servicerolle die folgende Berechtigungsrichtlinie hinzu:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

IAM-Richtlinie für die SageMaker AI IAM-Dienstrolle

Die SageMaker AI-Servicerolle wird vom Client verwendet, der auf die MLflow App zugreift, und benötigt Berechtigungen, um MLflow REST-APIs aufzurufen. Die SageMaker AI-Servicerolle benötigt außerdem SageMaker API-Berechtigungen zum Erstellen, Anzeigen, Aktualisieren und Löschen von Apps.

Sie können eine neue Rolle erstellen oder eine vorhandene Rolle aktualisieren. Die SageMaker AI-Servicerolle benötigt die folgende Richtlinie:

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Erstellen aktionsspezifischer Autorisierungskontrollen

Sie müssen Autorisierungskontrollen für einrichten und können optional aktionsspezifische Autorisierungskontrollen konfigurierensagemaker-mlflow, um detailliertere MLflow-Berechtigungen zu steuern, die Ihre Benutzer für eine MLflow App haben.

Anmerkung

Bei den folgenden Schritten wird davon ausgegangen, dass Sie bereits über einen ARN für eine MLflow App verfügen.

Data Plane IAM-Aktionen werden für MLflow Apps unterstützt

Die folgenden SageMaker AI MLflow-Aktionen werden für die Autorisierungszugriffskontrolle unterstützt:

  • Sagemaker: CallMlflowAppApi