View a markdown version of this page

Configurer les autorisations IAM pour les applications MLflow - Amazon SageMaker AI
Configuration des autorisations IAM MLflow lors de la création d’un domaineCréation des rôles de service IAM nécessaires dans la console IAMCréation de contrôles d’autorisation spécifiques aux actions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les autorisations IAM pour les applications MLflow

Vous devez configurer les rôles de service IAM nécessaires pour commencer à utiliser MLflow Apps dans Amazon SageMaker AI.

Si vous créez un nouveau domaine Amazon SageMaker AI pour accéder à vos expériences dans Studio, vous pouvez configurer les autorisations IAM nécessaires lors de la configuration du domaine. Pour de plus amples informations, veuillez consulter Configuration des autorisations IAM MLflow lors de la création d’un domaine.

Pour configurer les autorisations à l’aide de la console IAM, consultez Création des rôles de service IAM nécessaires dans la console IAM.

Vous devez configurer les contrôles d’autorisation pour les actions sagemaker-mlflow. Vous pouvez éventuellement définir des contrôles d’autorisation plus précis pour régir les autorisations MLflow spécifiques à une action. Pour de plus amples informations, veuillez consulter Création de contrôles d’autorisation spécifiques aux actions.

Configuration des autorisations IAM MLflow lors de la création d’un domaine

Lorsque vous configurez un nouveau domaine Amazon SageMaker AI pour votre organisation, vous pouvez configurer les autorisations IAM pour votre rôle de service de domaine via les paramètres Utilisateurs et Activités ML.

  1. Configurez un nouveau domaine à l'aide de la console SageMaker AI. Sur la page Configurer le domaine SageMaker AI, choisissez Configurer pour les organisations. Pour de plus amples informations, veuillez consulter Configuration personnalisée à l’aide de la console.

  2. Lorsque vous configurez les utilisateurs et les activités ML, choisissez parmi les activités ML suivantes pour MLflow : Utiliser MLflow, gérer les applications MLflow et Accès requis aux AWS services pour MLflow. Pour plus d’informations sur ces activités, consultez les explications qui suivent cette procédure.

  3. Terminez la configuration et la création de votre domaine.

Les activités MLflow ML suivantes sont disponibles dans Amazon SageMaker Role Manager :

  • Utiliser MLflow : cette activité de ML accorde au rôle de service du domaine l’autorisation d’appeler les API REST MLflow afin de gérer les expériences, les exécutions et les modèles dans MLflow.

  • Gérer les applications MLflow : cette activité ML accorde au rôle de service de domaine l'autorisation de créer, mettre à jour et supprimer des applications MLflow.

  • Accès requis Services AWS pour les applications MLflow : cette activité ML fournit les autorisations de rôle de service de domaine nécessaires pour accéder à Amazon S3 et à l' SageMaker AI Model Registry. Cela vous permet d’utiliser le rôle de service du domaine comme rôle de service du serveur de suivi.

Pour plus d’informations sur les activités de ML dans le gestionnaire de rôles, consultez Référence d’activité de ML.

Création des rôles de service IAM nécessaires dans la console IAM

Si vous n'avez pas créé ou mis à jour votre rôle de service de domaine, vous devez créer les rôles de service suivants dans la console IAM afin de créer et d'utiliser une application MLflow :

  • Un rôle de service IAM de l'application MLflow que l'application peut utiliser pour accéder aux ressources de l'IA SageMaker

  • Un rôle de service SageMaker AI IAM que l' SageMaker IA peut utiliser pour créer et gérer des ressources MLflow

Politiques IAM pour le rôle de service IAM de l'application MLflow

Le rôle de service IAM de l'application MLflow est utilisé par l'application pour accéder aux ressources dont elle a besoin, telles qu'Amazon S3 et le SageMaker Model Registry.

Lorsque vous créez le rôle de service IAM de l'application, appliquez la politique de confiance IAM suivante :

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Dans la console IAM, ajoutez la politique d'autorisation suivante à votre rôle de service d'application :

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

Politique IAM pour le rôle de SageMaker service AI IAM

Le rôle de service SageMaker AI est utilisé par le client qui accède à l'application MLflow et a besoin d'autorisations pour appeler les API REST MLflow. Le rôle de service SageMaker AI nécessite également des autorisations d' SageMaker API pour créer, afficher, mettre à jour et supprimer des applications.

Vous pouvez créer un rôle ou mettre à jour un rôle existant. Le rôle de service d' SageMaker IA nécessite la politique suivante :

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Création de contrôles d’autorisation spécifiques aux actions

Vous devez configurer des contrôles d'autorisation poursagemaker-mlflow, et vous pouvez éventuellement configurer des contrôles d'autorisation spécifiques à une action pour régir les autorisations MLflow plus détaillées dont disposent vos utilisateurs sur une application MLflow.

Note

Les étapes suivantes supposent que vous disposez déjà d'un ARN pour une application MLflow.

Actions IAM du plan de données prises en charge pour les applications MLflow

Les actions SageMaker AI MLflow suivantes sont prises en charge pour le contrôle d'accès aux autorisations :

  • sagemaker : CallMlflowAppApi