Richten Sie KI-Apps für Partner ein - Amazon SageMaker AI
VoraussetzungenAdministrative BerechtigungenBenutzerberechtigungen

Richten Sie KI-Apps für Partner ein

In den folgenden Themen werden die Berechtigungen beschrieben, die erforderlich sind, um mit der Nutzung von Amazon SageMaker Partner AI Apps zu beginnen. Die erforderlichen Berechtigungen sind je nach Stufe der Benutzerberechtigungen in zwei Teile aufgeteilt:

  • Administratorberechtigungen — Berechtigungen für Administratoren, die Entwicklerumgebungen für Datenwissenschaftler und maschinelles Lernen (ML) einrichten.

    • AWS Marketplace

    • Verwaltung von KI-Apps durch Partner

    • AWS License Manager

  • Benutzerberechtigungen — Berechtigungen für Datenwissenschaftler und Entwickler von maschinellem Lernen.

    • Benutzer-Autorisierung

    • Verbreitung von Identitäten

    • SDK-Zugang

Voraussetzungen

Administratoren können die folgenden Voraussetzungen erfüllen, um Partner-KI-Apps einzurichten.

  • (Optional) Integrieren Sie eine SageMaker AI-Domain. Auf Partner-KI-Apps kann direkt von einer SageMaker AI-Domain aus zugegriffen werden. Weitere Informationen finden Sie unter Übersicht über die Domain von Amazon SageMaker AI.

    • Wenn Sie Partner AI Apps in einer SageMaker AI-Domain im reinen VPC-Modus verwenden, müssen Administratoren einen Endpunkt mit dem folgenden Format erstellen, um eine Verbindung zu den Partner AI Apps herzustellen. Weitere Informationen zur Verwendung von Studio im Modus „Nur VPC“ finden Sie unter Verbinden von Amazon SageMaker Studio in einer VPC mit externen Ressourcen. 

      aws.sagemaker.region.partner-app

  • (Optional) Wenn Administratoren über die AWS CLI mit der Domain interagieren, müssen Sie außerdem die folgenden Voraussetzungen erfüllen.

    1. Aktualisieren Sie AWS CLI indem Sie den Schritten unter Installation der aktuellen AWS CLI-Version folgen. 

    2. Führen Sie aws configure vom lokalen Rechner aus und geben Sie die AWS-Anmeldeinformationen ein. Informationen zu den AWS-Anmeldeinformationen finden Sie unter Verstehen und Abrufen der AWS-Anmeldeinformationen.

Administrative Berechtigungen

Der Administrator muss die folgenden Berechtigungen hinzufügen, um Partner-KI-Apps in SageMaker AI zu aktivieren.

  • Erlaubnis, das AWS Marketplace Abonnement für Partner-AI-Apps abzuschließen

  • Richten Sie die Ausführungsrolle für die Partner-AI-App ein

AWS MarketplaceAbonnement für Partner-KI-Apps

Administratoren müssen die folgenden Schritte ausführen, um Berechtigungen für AWS Marketplace hinzuzufügen. Weitere Informationen zur Verwendung von AWS Marketplace finden Sie unter Erste Schritte als Käufer mit AWS Marketplace.

  1. Erteilen von Berechtigungen für AWS Marketplace. Administratoren von Partner-KI-Apps benötigen diese Berechtigungen, um Abonnements für Partner-KI-Apps zu erwerben. AWS Marketplace Um Zugriff darauf zu erhaltenAWS Marketplace, müssen Administratoren die AWSMarketplaceManageSubscriptions verwaltete Richtlinie an die IAM-Rolle anfügen, mit der sie auf die SageMaker-AI-Konsole zugreifen und die App kaufen. Weitere Informationen zu verwalteten AWSMarketplaceManageSubscriptions-Richtlinie finden Sie unter AWS-verwaltete Richtlinien für AWS Marketplace-Käufer. Informationen zum Hinzufügen von verwalteten Richtlinien finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

  2. Erteilen Sie SageMaker AI die Erlaubnis, Operationen im Namen der Administratoren mithilfe anderer auszuführen. AWS-Services Administratoren müssen SageMaker AI Berechtigungen erteilen, um diese Services und die Ressourcen, auf die sie zugreifen, nutzen zu können. In der folgenden Richtliniendefinition wird demonstriert, wie Sie die erforderlichen Berechtigungen für Partner-AI Apps gewähren. Diese Berechtigungen werden zusätzlich zu den vorhandenen Berechtigungen für die Administratorrolle benötigt. Weitere Informationen finden Sie unter So verwenden Sie SageMaker AI-Ausführungsrollen.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Richten Sie die Ausführungsrolle für die Partner-AI-App ein

  1. KI-Apps von Partnern benötigen eine Ausführungsrolle, um mit Ressourcen in der zu interagierenAWS-Konto. Administratoren können diese Ausführungsrolle mithilfe der AWS CLI erstellen. Die Partner AI App verwendet diese Rolle, um Aktionen im Zusammenhang mit der Funktionalität der Partner AI App abzuschließen. 

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. Erstellen Sie die AWS License Manager serviceverknüpfte Rolle, indem Sie die unter Erstellen einer serviceverknüpften Rolle für License Manager ausführen. 

  3. Erteilen Sie der Partner AI App Berechtigungen für den Zugriff auf den License Manager mithilfe vonAWS CLI. Diese Berechtigungen sind für den Zugriff auf die Lizenzen für die Partner AI App erforderlich. Dadurch kann die Partner AI App den Zugriff auf die Partner AI App-Lizenz überprüfen.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Wenn die Partner AI-App Zugriff auf einen Amazon S3 S3-Bucket benötigt, fügen Sie der Ausführungsrolle Amazon S3 S3-Berechtigungen hinzu. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für API-Operationen von Amazon S3.

Benutzerberechtigungen

Nachdem die Administratoren die Einstellungen für die Administratorberechtigungen vorgenommen haben, müssen sie sicherstellen, dass die Benutzer über die für den Zugriff auf die Partner-AI-Apps erforderlichen Berechtigungen verfügen.

  1. Gewähren Sie SageMaker AI Berechtigungen, um Operationen in Ihrem Namen mithilfe anderer auszuführen. AWS-Services Administratoren müssen SageMaker AI Berechtigungen erteilen, um diese Services und die Ressourcen, auf die sie zugreifen, nutzen zu können. Administratoren gewähren SageMaker AI diese Berechtigungen mithilfe einer IAM-Ausführungsrolle. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen. In der folgenden Richtliniendefinition wird demonstriert, wie Sie die erforderlichen Berechtigungen für Partner-AI Apps gewähren. Diese Richtlinie kann zur Ausführungsrolle des Benutzerprofils hinzugefügt werden.  Weitere Informationen finden Sie unter So verwenden Sie SageMaker AI-Ausführungsrollen.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (Optional) Wenn Sie Partner-KI-Apps von Studio aus starten, fügen Sie die sts:TagSession Vertrauensrichtlinie wie folgt der Rolle hinzu, mit der Studio oder die Partner-AI-Apps direkt gestartet wurden. Dadurch wird sichergestellt, dass die Identität ordnungsgemäß weitergegeben werden kann.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (Optional) Wenn Sie das SDK einer Partner-KI-App verwenden, um auf Funktionen in SageMaker AI zuzugreifen, fügen Sie der Rolle, die zur Ausführung des SDK-Codes verwendet wird, die folgende CallPartnerAppApi Berechtigung hinzu. Wenn Sie den SDK-Code von Studio aus ausführen, fügen Sie die Berechtigung zur Studio-Ausführungsrolle hinzu. Wenn Sie den Code von einem anderen Ort als Studio aus ausführen, fügen Sie die Berechtigung zur IAM-Rolle hinzu, die mit dem Notebook verwendet wird. Dadurch kann der Benutzer über das SDK der Partner AI App auf die Funktionen der Partner AI App zugreifen.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:partner-app/app"
            ]
        }
    ]
}

Verwalten der Benutzerautorisierung und -authentifizierung

Um Mitgliedern ihres Teams Zugriff auf Partner-KI-Apps zu gewähren, müssen Administratoren sicherstellen, dass die Identität ihrer Benutzer an die Partner-KI-Apps weitergegeben wird. Diese Weitergabe stellt sicher, dass Benutzer ordnungsgemäß auf die Benutzeroberfläche der Partner AI Apps zugreifen und autorisierte Partner-AI-App-Aktionen ausführen können.

KI-Apps von Partnern unterstützen die folgenden Identitätsquellen:

  • AWS IAM Identity Center

  • Externe Identitätsanbieter (IdPs) 

  • IAM-Sitzungsbasierte Identität

Die folgenden Abschnitte enthalten Informationen zu den Identitätsquellen, die von Partner-KI-Apps unterstützt werden, sowie wichtige Informationen zu dieser Identitätsquelle.

Wenn ein Benutzer mithilfe von IAM Identity Center in Studio authentifiziert wird und eine Anwendung von Studio aus startet, UserName wird das IAM Identity Center automatisch als Benutzeridentität für eine Partner-AI-App weitergegeben. Dies ist nicht der Fall, wenn der Benutzer die Partner AI-App direkt über die API startet. CreatePartnerAppPresignedUrl

Wenn Sie SAML für den AWS-Konto Verbund verwenden, haben Administratoren zwei Möglichkeiten, die IdP-Identität als Benutzeridentität für eine Partner-KI-App zu übernehmen. Informationen zur Einrichtung eines AWS-Konto Verbunds finden Sie unter So konfigurieren Sie SAML 2.0 für den Verbund. AWS-Konto 

  • Principal Tag — Administratoren können die IDP-spezifische IAM Identity Center-Anwendung so konfigurieren, dass Identitätsinformationen aus der Landing-Sitzung mithilfe der AWS Sitzung PrincipalTag mit dem folgenden Attribut weitergegeben werden. Name Bei Verwendung von SAML verwendet die Sitzung mit der Landing-Rolle eine IAM-Rolle. Um die verwenden zu könnenPrincipalTag, müssen Administratoren sowohl dieser Landing-Rolle als auch der Studio-Ausführungsrolle die sts:TagSession entsprechende Berechtigung hinzufügen. Weitere Informationen zu PrincipalTag finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Name der Landing-Session — Administratoren können den Namen der Landing-Session als Identität für die Partner-AI-App weitergeben. Dazu müssen sie das EnableIamSessionBasedIdentity Opt-in-Flag für jede Partner-KI-App setzen. Weitere Informationen finden Sie unter EnableIamSessionBasedIdentity.

Wichtig

Wir raten davon ab, diese Methode für Produktionskonten zu verwenden. Verwenden Sie für Produktionskonten einen Identitätsanbieter, um die Sicherheit zu erhöhen.

SageMaker AI unterstützt die folgenden Optionen für die Identitätsweitergabe, wenn eine auf IAM-Sitzungen basierende Identität verwendet wird. Alle Optionen, mit Ausnahme der Verwendung eines Sitzungs-Tags mitAWS STS, erfordern das Setzen des EnableIamSessionBasedIdentity Opt-in-Flags für jede Anwendung. Weitere Informationen finden Sie unter EnableIamSessionBasedIdentity.

Bei der Weitergabe von Identitäten überprüft SageMaker AI, ob ein AWS STS Session-Tag verwendet wird. Wenn keiner verwendet wird, gibt SageMaker AI den IAM-Benutzernamen oder den Sitzungsnamen weiter. AWS STS

  • AWS STSSitzungs-Tag — Administratoren können ein Sitzungs-Tag für die SageMakerPartnerAppUser IAM-Sitzung des Launchers festlegen. Wenn Administratoren eine Partner-KI-App mit der SageMaker-AI-Konsole oder der startenAWS CLI, wird das SageMakerPartnerAppUser Sitzungs-Tag automatisch als Benutzeridentität für die Partner AI-App übergeben. Das folgende Beispiel zeigt, wie Sie das SageMakerPartnerAppUser Sitzungs-Tag unter Verwendung des festlegeAWS CLI. Der Wert des Schlüssels wird als Haupt-Tag hinzugefügt.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Wenn Sie Benutzern Zugriff auf eine Partner-KI-App gewährenCreatePartnerAppPresignedUrl, empfehlen wir, den Wert für den SageMakerPartnerAppUser Schlüssel zu überprüfen. Dies trägt dazu bei, einen unbeabsichtigten Zugriff auf Ressourcen der Partner-KI-App zu verhindern. Mit der folgenden Vertrauensrichtlinie wird überprüft, ob das Sitzungs-Tag genau mit dem zugehörigen IAM-Benutzer übereinstimmt. Zu diesem Zweck können Administratoren ein beliebiges Principal-Tag verwenden. Es sollte für die Rolle konfiguriert werden, die Studio oder die Partner AI App startet.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}"
                }
            }
        }
    ]
}

  • Authentifizierter IAM-Benutzer — Der Benutzername des Benutzers wird automatisch als Partner AI App-Benutzer weitergegeben.

  • AWS STSSitzungsname — Wenn bei der Verwendung kein SageMakerPartnerAppUser Sitzungs-Tag konfiguriert istAWS STS, gibt SageMaker AI einen Fehler zurück, wenn Benutzer eine Partner-KI-App starten. Um diesen Fehler zu vermeiden, müssen Administratoren das EnableIamSessionBasedIdentity Opt-in-Flag für jede Partner-KI-App setzen. Weitere Informationen finden Sie unter EnableIamSessionBasedIdentity.

    Wenn das EnableIamSessionBasedIdentity Opt-In-Flag aktiviert ist, stellen Sie mithilfe der IAM-Richtlinie für Rollenvertrauensstellungen sicher, dass der Name der IAM-Sitzung dem IAM-Benutzernamen entspricht oder diesen enthält. Dadurch wird sichergestellt, dass Benutzer keinen Zugriff erhalten, indem sie sich als andere Benutzer ausgeben. Mit der folgenden Vertrauensrichtlinie wird überprüft, ob der Sitzungsname genau mit dem zugehörigen IAM-Benutzer übereinstimmt. Zu diesem Zweck können Administratoren ein beliebiges Principal-Tag verwenden. Es sollte für die Rolle konfiguriert werden, die Studio oder die Partner AI App startet.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Administratoren müssen die sts:TagSession Vertrauensrichtlinie auch der Rolle hinzufügen, mit der Studio oder die Partner AI-App gestartet wird. Dadurch wird sichergestellt, dass die Identität ordnungsgemäß weitergegeben werden kann.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Nach dem Einrichten der Anmeldeinformationen können Administratoren ihren Benutzern entweder über die Aufrufe oder die CreatePartnerAppPresignedUrl API-Aufrufe Zugriff auf Studio CreatePresignedDomainUrl oder die Partner AI App gewähren. AWS CLI

Benutzer können Studio dann auch von der SageMaker-AI-Konsole aus starten und Partner-KI-Apps von Studio aus starten.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentityist ein Opt-in-Flag. Wenn die EnableIamSessionBasedIdentity Markierung gesetzt ist, übergibt SageMaker AI die IAM-Sitzungsinformationen als Benutzeridentität der Partner AI App. Weitere Informationen zu AWS STS Sitzungen finden Sie unter Temporäre Anmeldeinformationen mit Ressourcen verwenden. AWS

Zugriffskontrolle

Um den Zugriff auf KI-Anwendungen von Partnern zu steuern, verwenden Sie eine IAM-Richtlinie, die der Ausführungsrolle des Benutzerprofils zugeordnet ist. Um eine Partner-AI-App direkt von Studio aus oder mithilfe von zu startenAWS CLI, muss die Ausführungsrolle des Benutzerprofils über eine Richtlinie verfügen, die Berechtigungen für die CreatePartnerAppPresignedUrl API gewährt. Entfernen Sie diese Berechtigung aus der Ausführungsrolle des Benutzerprofils, um sicherzustellen, dass Partner AI-Apps nicht gestartet werden können.

Root-Admin-Benutzer

Für die Apps Comet und Fiddler Partner AI ist mindestens ein Root-Admin-Benutzer erforderlich. Root-Admin-Benutzer sind berechtigt, sowohl normale als auch Admin-Benutzer hinzuzufügen und Ressourcen zu verwalten. Die als Root-Admin-Benutzer angegebenen Benutzernamen müssen mit den Benutzernamen aus der Identitätsquelle übereinstimmen.

Während Root-Admin-Benutzer in SageMaker AI dauerhaft gespeichert werden, sind normale Admin-Benutzer dies nicht und existieren nur innerhalb der Partner-AI-App, bis die Partner AI-App beendet wird.

Administratoren können Root-Admin-Benutzer mithilfe des API-Aufrufs aktualisieren. UpdatePartnerApp Wenn Root-Admin-Benutzer aktualisiert werden, wird die aktualisierte Liste der Root-Admin-Benutzer an die Partner AI App weitergegeben. Die Partner AI-App stellt sicher, dass allen Benutzernamen in der Liste Root-Administratorrechte gewährt werden. Wenn ein Root-Admin-Benutzer aus der Liste entfernt wird, behält der Benutzer weiterhin normale Administratorrechte, bis einer der folgenden Punkte zutrifft:

  • Der Benutzer wird aus der Anwendung entfernt.

  • Ein anderer Admin-Benutzer widerruft die Administratorberechtigungen für den Benutzer.

Anmerkung

Fiddlerunterstützt das Aktualisieren von Admin-Benutzern nicht. CometUnterstützt nur Updates für Root-Admin-Benutzer. 

Um einen Root-Admin-Benutzer zu löschen, müssen Sie zuerst die Liste der Root-Admin-Benutzer aktualisieren, die die UpdatePartnerApp API verwenden. Entfernen oder widerrufen Sie anschließend die Administratorberechtigungen über die Benutzeroberfläche der Partner AI-App.

Wenn Sie einen Root-Admin-Benutzer aus der Benutzeroberfläche der Partner AI-App entfernen, ohne die Liste der Root-Admin-Benutzer mit der UpdatePartnerApp API zu aktualisieren, ist die Änderung vorübergehend. Wenn SageMaker AI die nächste Aktualisierungsanfrage für die Partner-AI-App sendet, sendet SageMaker AI die Root-Administratorliste, die den Benutzer immer noch enthält, an die Partner AI-App. Dadurch wird der über die Benutzeroberfläche der Partner AI App abgeschlossene Löschvorgang außer Kraft gesetzt.