Agregue usuarios y configure cuentas de servicio - Amazon SageMaker AI
Control de acceso detallado: nuestra recomendaciónEspacios públicos y privados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Agregue usuarios y configure cuentas de servicio

Control de acceso detallado: nuestra recomendación

Los usuarios se diferencian en función de su nombre de usuario de Kubernetes. El nombre de usuario de Kubernetes se define en su entrada de acceso. Para garantizar que dos usuarios humanos tengan nombres de usuario distintos, hay dos opciones:

  1. Recomendado: varios usuarios humanos pueden usar el mismo rol siempre que cada uno tenga su propio nombre de sesión distinto que persista entre sesiones. De forma predeterminada, los nombres de usuario de Kubernetes para las funciones de IAM tienen este formato. arn:aws:sts::{ACCOUNT_ID}:assumed-role/{ROLE_NAME}/{SESSION_NAME} Con este valor predeterminado, los usuarios ya estarán diferenciados por el nombre de la sesión. Un administrador tiene varias formas de imponer nombres de sesión únicos por usuario.

    • Inicio de sesión SSO: los usuarios que utilicen el inicio de sesión único tendrán de forma predeterminada un nombre de sesión vinculado a su nombre de usuario AWS

    • Servicio central de venta de credenciales: los clientes empresariales pueden disponer de algún servicio interno de venta de credenciales al que los usuarios puedan llamar para obtener credenciales con su identidad.

    • Aplicación basada en roles: exija a los usuarios de IAM que establezcan su aws:username nombre de sesión de rol cuando asuman un rol de IAM en la suya. Cuenta de AWS La documentación sobre cómo hacerlo está aquí: https://aws.amazon.com/blogs/seguridad/ -/easily-control-naming-individualiam-role-sessions

  2. Si dos científicos de datos utilizan entradas de acceso diferentes (función o usuario de IAM diferente), siempre se contarán como usuarios diferentes.

Crear una entrada de acceso

Política de IAM requerida para el puesto de científico de datos:

  • eks:DescribeCluster

Políticas de acceso y entrada obligatorias

  • AmazonSagemakerHyperpodSpacePolicy- dentro del ámbito del espacio de nombres, DS debería crear espacios en

  • AmazonSagemakerHyperpodSpaceTemplatePolicy- limitado al espacio de nombres «jupyter-k8s-shared»

Espacios públicos y privados

Admitimos 2 tipos de patrones de uso compartido: «Público» y «OwnerOnly». Tanto los campos «AccessType» como «OwnershipType» utilizan estos dos valores.

  • AccessType: Cualquier persona con permisos en el espacio de nombres puede acceder a los espacios públicos, mientras que solo OwnerOnly pueden acceder a ellos el creador del espacio y los usuarios administradores. Los usuarios administradores se definen con los siguientes criterios:

  • OwnershipType: Los espacios públicos pueden ser modified/deleted propiedad de cualquier persona con permisos en el espacio de nombres, OwnerOnly del creador o del administrador. modified/deleted

Los usuarios administradores se definen de la siguiente manera:

  1. Forma parte del grupo system:masters Kubernetes

  2. Parte del grupo de Kubernetes definido en la variable de entorno CLUSTER_ADMIN_GROUP del diagrama helm.

Los grupos de un usuario se pueden configurar mediante entradas de acceso EKS. Un espacio se puede definir como «público» o «OwnerOnly» configurando las especificaciones del objeto:

apiVersion: workspace.jupyter.org/v1alpha1
kind: Workspace
metadata:
  labels:
    app.kubernetes.io/name: jupyter-k8s
  name: example-workspace
spec:
  displayName: "Example Workspace"
  image: "public.ecr.aws/sagemaker/sagemaker-distribution:3.4.2-cpu"
  desiredStatus: "Running"
  ownershipType: "Public"/"OwnerOnly"
  accessType: "Public"/"OwnerOnly"
  # more fields here