Configure los permisos de IAM para las aplicaciones MLflow - Amazon SageMaker AI
Configure los permisos MLflow de IAM al crear un dominio nuevoCreación de los roles de servicio de IAM necesarios en la consola de IAMCreación de controles de autorización específicos de cada acción

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure los permisos de IAM para las aplicaciones MLflow

Debe configurar las funciones de servicio de IAM necesarias para empezar a utilizar MLflow las aplicaciones en Amazon SageMaker AI.

Si creas un nuevo dominio de Amazon SageMaker AI para acceder a tus experimentos en Studio, puedes configurar los permisos de IAM necesarios durante la configuración del dominio. Para obtener más información, consulte Configure los permisos MLflow de IAM al crear un dominio nuevo.

Para configurar los permisos mediante la consola de IAM, consulte Creación de los roles de servicio de IAM necesarios en la consola de IAM.

Debe configurar los controles de autorización para las acciones de sagemaker-mlflow. Si lo desea, puede definir controles de autorización más detallados para regular los permisos específicos de cada acción MLflow. Para obtener más información, consulte Creación de controles de autorización específicos de cada acción.

Configure los permisos MLflow de IAM al crear un dominio nuevo

Al configurar un nuevo dominio de Amazon SageMaker AI para su organización, puede configurar los permisos de IAM para su función de servicio de dominio a través de los ajustes Usuarios y Actividades de aprendizaje automático.

  1. Configure un nuevo dominio mediante la consola de SageMaker IA. En la página Configurar un dominio de SageMaker IA, selecciona Configurar para organizaciones. Para obtener más información, consulte Configuración personalizada mediante la consola.

  2. Al configurar los usuarios y las actividades de aprendizaje automático, elija entre las siguientes actividades de aprendizaje MLflow automático para: usar MLflow, administrar MLflow aplicaciones y acceder a AWS los servicios necesarios para ello MLflow. Para obtener más información sobre estas actividades, consulte las explicaciones que se incluyen a continuación de este procedimiento.

  3. Complete la configuración y la creación del nuevo dominio.

Las siguientes actividades de aprendizaje MLflow automático están disponibles en Amazon SageMaker Role Manager:

  • Uso MLflow: Esta actividad de aprendizaje automático otorga al rol de servicio de dominio permiso para llamar a MLflow REST APIs con el fin de gestionar los experimentos, las ejecuciones y los modelos MLflow.

  • Administrar MLflow aplicaciones: esta actividad de aprendizaje automático otorga al rol de servicio de dominio permiso para crear, actualizar y eliminar MLflow aplicaciones.

  • Acceso obligatorio Servicios de AWS para MLflow las aplicaciones: esta actividad de aprendizaje automático proporciona los permisos de rol de servicio de dominio necesarios para acceder a Amazon S3 y al registro de modelos de SageMaker IA. Esto le permite utilizar el rol de servicio de dominio como rol de servicio de servidor de seguimiento.

Para obtener más información sobre las actividades de ML en el Administrador de roles, consulte Referencia de actividad de ML.

Creación de los roles de servicio de IAM necesarios en la consola de IAM

Si no creó ni actualizó su rol de servicio de dominio, debe crear los siguientes roles de servicio en la consola de IAM para crear y usar una MLflow aplicación:

  • Un MLflow rol de servicio de IAM de aplicaciones que la aplicación puede usar para acceder a los recursos de IA SageMaker

  • Un rol de servicio de SageMaker IA IAM que la SageMaker IA puede usar para crear y administrar recursos MLflow

Políticas de IAM para la función de servicio de IAM de MLflow aplicaciones

La MLflow aplicación utiliza el rol de servicio App IAM para acceder a los recursos que necesita, como Amazon S3 y SageMaker Model Registry.

Al crear el rol de servicio de IAM de la aplicación, utilice la siguiente política de confianza de IAM:

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

En la consola de IAM, añade la siguiente política de permisos a tu rol de servicio de aplicaciones:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

Política de IAM para el rol de servicio de SageMaker AI IAM

El cliente que accede a la MLflow aplicación utiliza el rol de servicio de SageMaker IA y necesita permisos para llamar MLflow a REST. APIs El rol de servicio de SageMaker IA también necesita permisos de SageMaker API para crear, ver, actualizar y eliminar aplicaciones.

Puede crear un nuevo rol o actualizar uno existente. El rol de servicio de SageMaker IA necesita la siguiente política:

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Creación de controles de autorización específicos de cada acción

Debe configurar controles de autorización ysagemaker-mlflow, si lo desea, puede configurar controles de autorización específicos para cada acción a fin de regular MLflow los permisos más detallados que sus usuarios tienen en una MLflow aplicación.

nota

En los siguientes pasos se supone que ya tiene un ARN para una MLflow aplicación disponible.

Las acciones de IAM del plano de datos son compatibles con las aplicaciones MLflow

Se admiten las siguientes MLflow acciones de SageMaker IA para el control del acceso y la autorización:

  • Sagemaker: CallMlflowAppApi