Richten Sie IAM-Berechtigungen für Apps ein MLflow - Amazon SageMaker KI
Richten Sie MLflow IAM-Berechtigungen ein, wenn Sie eine neue Domain erstellenErstellen der erforderlichen IAM-Servicerollen in der IAM-KonsoleErstellen aktionsspezifischer Autorisierungskontrollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie IAM-Berechtigungen für Apps ein MLflow

Sie müssen die erforderlichen IAM-Servicerollen konfigurieren, um mit MLflow Apps in Amazon SageMaker AI zu beginnen.

Wenn Sie eine neue Amazon SageMaker AI-Domain für den Zugriff auf Ihre Experimente in Studio erstellen, können Sie die erforderlichen IAM-Berechtigungen während der Domaineinrichtung konfigurieren. Weitere Informationen finden Sie unter Richten Sie MLflow IAM-Berechtigungen ein, wenn Sie eine neue Domain erstellen.

Informationen zum Einrichten von Berechtigungen mithilfe der IAM-Konsole finden Sie unter Erstellen der erforderlichen IAM-Servicerollen in der IAM-Konsole.

Sie müssen die Autorisierungskontrollen für sagemaker-mlflow-Aktionen konfigurieren. Sie können optional detailliertere Autorisierungskontrollen definieren, um MLflow aktionsspezifische Berechtigungen zu regeln. Weitere Informationen finden Sie unter Erstellen aktionsspezifischer Autorisierungskontrollen.

Richten Sie MLflow IAM-Berechtigungen ein, wenn Sie eine neue Domain erstellen

Wenn Sie eine neue Amazon SageMaker AI-Domain für Ihre Organisation einrichten, können Sie IAM-Berechtigungen für Ihre Domain-Servicerolle über die Einstellungen „Benutzer“ und „ML-Aktivitäten“ konfigurieren.

  1. Richten Sie mithilfe der SageMaker AI-Konsole eine neue Domain ein. Wählen Sie auf der Seite SageMaker KI-Domain einrichten die Option Für Organisationen einrichten aus. Weitere Informationen finden Sie unter Benutzerdefinierte Einrichtung mit der Konsole.

  2. Wählen Sie beim Einrichten von Benutzern und ML-Aktivitäten aus den folgenden ML-Aktivitäten für MLflow: Verwenden MLflow, MLflow Apps verwalten und Zugriff auf AWS Dienste für erforderlich MLflow. Weitere Informationen zu diesen Aktivitäten finden Sie in den Erläuterungen, die diesem Verfahren folgen.

  3. Schließen Sie die Einrichtung und Erstellung Ihrer neuen Domain ab.

Die folgenden MLflow ML-Aktivitäten sind in Amazon SageMaker Role Manager verfügbar:

  • Verwendung MLflow: Diese ML-Aktivität gewährt der Domain-Servicerolle die Berechtigung, MLflow REST APIs aufzurufen, um Experimente, Läufe und Modelle in zu verwalten MLflow.

  • MLflow Apps verwalten: Diese ML-Aktivität gewährt der Domain-Dienstrolle die Berechtigung, MLflow Apps zu erstellen, zu aktualisieren und zu löschen.

  • Zugriff erforderlich AWS-Services für MLflow Apps: Diese ML-Aktivität stellt die Berechtigungen für die Domain-Servicerolle bereit, die für den Zugriff auf Amazon S3 und die SageMaker AI Model Registry erforderlich sind. Auf diese Weise können Sie die Domain-Servicerolle als Tracking-Server-Servicerolle verwenden.

Weitere Informationen über ML-Aktivitäten im Rollenmanager finden Sie unter Referenz zur ML-Aktivität.

Erstellen der erforderlichen IAM-Servicerollen in der IAM-Konsole

Wenn Sie Ihre Domain-Servicerolle nicht erstellt oder aktualisiert haben, müssen Sie stattdessen die folgenden Servicerollen in der IAM-Konsole erstellen, um MLflow Apps zu erstellen und zu verwenden:

  • Eine MLflow App-IAM-Dienstrolle, mit der die App auf KI-Ressourcen zugreifen SageMaker kann

  • Eine SageMaker KI-IAM-Servicerolle, mit der SageMaker KI Ressourcen erstellen und verwalten kann MLflow

IAM-Richtlinien für die MLflow App IAM-Servicerolle

Die MLflow App IAM-Servicerolle wird von der App verwendet, um auf die benötigten Ressourcen wie Amazon S3 und SageMaker Model Registry zuzugreifen.

Verwenden Sie bei der Erstellung der App-IAM-Servicerolle die folgende IAM-Vertrauensrichtlinie:

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Fügen Sie in der IAM-Konsole Ihrer App-Servicerolle die folgende Berechtigungsrichtlinie hinzu:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

IAM-Richtlinie für die SageMaker AI IAM-Dienstrolle

Die SageMaker AI-Servicerolle wird vom Client verwendet, der auf die MLflow App zugreift, und benötigt Berechtigungen, um REST aufzurufen MLflow . APIs Die SageMaker AI-Servicerolle benötigt außerdem SageMaker API-Berechtigungen, um Apps zu erstellen, anzusehen, zu aktualisieren und zu löschen.

Sie können eine neue Rolle erstellen oder eine vorhandene Rolle aktualisieren. Für die SageMaker AI-Servicerolle ist die folgende Richtlinie erforderlich:

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Erstellen aktionsspezifischer Autorisierungskontrollen

Sie müssen Autorisierungskontrollen für Apps einrichten und können optional aktionsspezifische Autorisierungskontrollen konfigurierensagemaker-mlflow, um detailliertere MLflow Berechtigungen zu regeln, die Ihre Benutzer für eine App haben. MLflow

Anmerkung

Bei den folgenden Schritten wird davon ausgegangen, dass Sie über einen ARN für eine MLflow App verfügen, die bereits verfügbar ist.

IAM-Aktionen auf Datenebene werden für MLflow Apps unterstützt

Die folgenden SageMaker MLflow KI-Aktionen werden für die Autorisierungszugriffskontrolle unterstützt:

  • Sagemaker: CallMlflowAppApi