Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure los permisos de IAM para las aplicaciones de MLflow
<a name="mlflow-app-setup-prerequisites-iam"></a>

Debe configurar las funciones de servicio de IAM necesarias para empezar a utilizar MLflow Apps en Amazon SageMaker AI. 

Si creas un nuevo dominio de Amazon SageMaker AI para acceder a tus experimentos en Studio, puedes configurar los permisos de IAM necesarios durante la configuración del dominio. Para obtener más información, consulte [Configuración de permisos de IAM para MLflow al crear un nuevo dominio](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-role-manager).

Para configurar los permisos mediante la consola de IAM, consulte [Creación de los roles de servicio de IAM necesarios en la consola de IAM](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-service-roles).

Debe configurar los controles de autorización para las acciones de `sagemaker-mlflow`. Si lo desea, puede definir controles de autorización de forma más pormenorizada para regular los permisos de MLflow específicos de cada acción. Para obtener más información, consulte [Creación de controles de autorización específicos de cada acción](#mlflow-create-app-update-iam-actions).

## Configuración de permisos de IAM para MLflow al crear un nuevo dominio
<a name="mlflow-create-app-iam-role-manager"></a>

Al configurar un nuevo dominio de Amazon SageMaker AI para su organización, puede configurar los permisos de IAM para su función de servicio de dominio a través de los ajustes **Usuarios y Actividades de aprendizaje** automático.

1. Configure un nuevo dominio mediante la consola de SageMaker IA. En la página **Configurar un dominio de SageMaker IA**, selecciona **Configurar para organizaciones**. Para obtener más información, consulte [Configuración personalizada mediante la consola](onboard-custom.md#onboard-custom-instructions-console).

1. Al configurar **los usuarios y las actividades de aprendizaje automático**, elija entre las siguientes actividades de aprendizaje automático para MLflow: **utilizar MLflow**, **gestionar las aplicaciones de MLflow** y **acceder a los AWS servicios necesarios para** MLflow. Para obtener más información sobre estas actividades, consulte las explicaciones que se incluyen a continuación de este procedimiento.

1. Complete la configuración y la creación del nuevo dominio.

Las siguientes actividades de MLflow ML están disponibles en Amazon SageMaker Role Manager:
+ **Utilizar MLflow**: esta actividad de ML concede al rol de servicio de dominio permiso para llamar a las API de REST de MLflow con el fin de administrar los experimentos, las ejecuciones y los modelos en MLflow.
+ **Administrar aplicaciones de MLflow**: esta actividad de aprendizaje automático otorga al rol de servicio de dominio permiso para crear, actualizar y eliminar aplicaciones de MLflow.
+ **Acceso necesario Servicios de AWS para las aplicaciones de MLflow**: esta actividad de aprendizaje automático proporciona los permisos de rol de servicio de dominio necesarios para acceder a Amazon S3 y al registro de modelos de SageMaker IA. Esto le permite utilizar el rol de servicio de dominio como rol de servicio de servidor de seguimiento.

Para obtener más información sobre las actividades de ML en el Administrador de roles, consulte [Referencia de actividad de ML](role-manager-ml-activities.md).

## Creación de los roles de servicio de IAM necesarios en la consola de IAM
<a name="mlflow-create-app-iam-service-roles"></a>

Si no creó ni actualizó su función de servicio de dominio, debe crear las siguientes funciones de servicio en la consola de IAM para crear y usar una aplicación de MLflow:
+ Un rol de servicio de IAM de la aplicación MLflow que la aplicación puede usar para acceder a los recursos de IA SageMaker 
+ Una SageMaker función de servicio de IAM de SageMaker IA que la IA puede utilizar para crear y gestionar los recursos de MLflow

### Políticas de IAM para la función de servicio de IAM de la aplicación MLflow
<a name="mlflow-create-app-iam-service-roles-ts"></a>

La aplicación utiliza el rol de servicio MLflow App IAM para acceder a los recursos que necesita, como Amazon S3 y SageMaker Model Registry.

Al crear el rol de servicio de IAM de la aplicación, utilice la siguiente política de confianza de IAM:

------
#### [ JSON ]

****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }
```

------

En la consola de IAM, añade la siguiente política de permisos a tu rol de servicio de aplicaciones:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "{{*}}"
        }
    ]
}
```

------

### Política de IAM para el rol de servicio de SageMaker AI IAM
<a name="mlflow-create-app-iam-service-roles-sm"></a>

El cliente que accede a la aplicación MLflow utiliza el rol de servicio de SageMaker IA y necesita permisos para llamar a las API REST de MLflow. El rol de servicio de SageMaker IA también necesita permisos de SageMaker API para crear, ver, actualizar y eliminar aplicaciones. 

Puede crear un nuevo rol o actualizar uno existente. El rol de servicio de SageMaker IA necesita la siguiente política: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	     
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}
```

------

## Creación de controles de autorización específicos de cada acción
<a name="mlflow-create-app-update-iam-actions"></a>

Debe configurar controles de autorización y`sagemaker-mlflow`, si lo desea, puede configurar controles de autorización específicos para cada acción a fin de regular los permisos de MLflow más detallados que sus usuarios tienen en las aplicaciones de MLflow.

**nota**  
En los siguientes pasos se supone que ya tiene un ARN para una aplicación de MLflow disponible. 

### Las acciones de IAM del plano de datos son compatibles con las aplicaciones de MLflow
<a name="mlflow-app-setup-iam-actions"></a>

Se admiten las siguientes acciones de SageMaker AI MLflow para el control de acceso y autorización:
+ Creador de escenarios: CallMlflowAppApi