View a markdown version of this page

Configurer les autorisations IAM pour les applications MLflow - Amazon SageMaker AI
Configurer les autorisations MLflow IAM lors de la création d'un nouveau domaineCréation des rôles de service IAM nécessaires dans la console IAMCréation de contrôles d’autorisation spécifiques aux actions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les autorisations IAM pour les applications MLflow

Vous devez configurer les rôles de service IAM nécessaires pour commencer à utiliser les MLflow applications dans Amazon SageMaker AI.

Si vous créez un nouveau domaine Amazon SageMaker AI pour accéder à vos expériences dans Studio, vous pouvez configurer les autorisations IAM nécessaires lors de la configuration du domaine. Pour de plus amples informations, veuillez consulter Configurer les autorisations MLflow IAM lors de la création d'un nouveau domaine.

Pour configurer les autorisations à l’aide de la console IAM, consultez Création des rôles de service IAM nécessaires dans la console IAM.

Vous devez configurer les contrôles d’autorisation pour les actions sagemaker-mlflow. Vous pouvez éventuellement définir des contrôles d'autorisation plus précis pour régir les autorisations spécifiques à une action MLflow. Pour de plus amples informations, veuillez consulter Création de contrôles d’autorisation spécifiques aux actions.

Configurer les autorisations MLflow IAM lors de la création d'un nouveau domaine

Lorsque vous configurez un nouveau domaine Amazon SageMaker AI pour votre organisation, vous pouvez configurer les autorisations IAM pour votre rôle de service de domaine via les paramètres Utilisateurs et Activités ML.

  1. Configurez un nouveau domaine à l'aide de la console SageMaker AI. Sur la page Configurer le domaine SageMaker AI, choisissez Configurer pour les organisations. Pour de plus amples informations, veuillez consulter Configuration personnalisée à l’aide de la console.

  2. Lorsque vous configurez les utilisateurs et les activités de machine learning, choisissez parmi les activités de machine learning suivantes pour MLflow : utilisation MLflow, gestion des MLflow applications et accès requis aux AWS services pour MLflow. Pour plus d’informations sur ces activités, consultez les explications qui suivent cette procédure.

  3. Terminez la configuration et la création de votre domaine.

Les activités MLflow ML suivantes sont disponibles dans Amazon SageMaker Role Manager :

  • Utilisation MLflow : Cette activité ML accorde au rôle de service de domaine l'autorisation d'appeler MLflow REST APIs afin de gérer les expériences, les exécutions et les modèles dans MLflow.

  • Gérer les MLflow applications : cette activité ML accorde au rôle de service de domaine l'autorisation de créer, de mettre à jour et de supprimer MLflow des applications.

  • Accès requis Services AWS pour les MLflow applications : cette activité ML fournit les autorisations de rôle de service de domaine nécessaires pour accéder à Amazon S3 et à l' SageMaker AI Model Registry. Cela vous permet d’utiliser le rôle de service du domaine comme rôle de service du serveur de suivi.

Pour plus d’informations sur les activités de ML dans le gestionnaire de rôles, consultez Référence d’activité de ML.

Création des rôles de service IAM nécessaires dans la console IAM

Si vous n'avez pas créé ou mis à jour votre rôle de service de domaine, vous devez créer les rôles de service suivants dans la console IAM afin de créer et d'utiliser une MLflow application :

  • Un rôle de service MLflow App IAM que l'application peut utiliser pour accéder aux ressources de l' SageMaker IA

  • Un rôle de service SageMaker AI IAM que l' SageMaker IA peut utiliser pour créer et gérer MLflow des ressources

Politiques IAM pour le rôle de MLflow service App IAM

Le rôle de service MLflow App IAM est utilisé par l'application pour accéder aux ressources dont elle a besoin, telles qu'Amazon S3 et le SageMaker Model Registry.

Lorsque vous créez le rôle de service IAM de l'application, appliquez la politique de confiance IAM suivante :

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Dans la console IAM, ajoutez la politique d'autorisation suivante à votre rôle de service d'application :

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

Politique IAM pour le rôle de SageMaker service AI IAM

Le rôle de service SageMaker AI est utilisé par le client qui accède à l' MLflow application et a besoin d'autorisations pour appeler MLflow REST APIs. Le rôle de service SageMaker AI nécessite également des autorisations d' SageMaker API pour créer, afficher, mettre à jour et supprimer des applications.

Vous pouvez créer un rôle ou mettre à jour un rôle existant. Le rôle de service d' SageMaker IA nécessite la politique suivante :

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Création de contrôles d’autorisation spécifiques aux actions

Vous devez configurer des contrôles d'autorisation poursagemaker-mlflow, et vous pouvez éventuellement configurer des contrôles d'autorisation spécifiques à une action pour régir MLflow les autorisations plus détaillées dont disposent vos utilisateurs sur une application. MLflow

Note

Les étapes suivantes supposent que vous disposez déjà d'un ARN pour une MLflow application.

Actions IAM du plan de données prises en charge pour les applications MLflow

Les MLflow actions d' SageMaker IA suivantes sont prises en charge pour le contrôle d'accès aux autorisations :

  • sagemaker : CallMlflowAppApi