Menambahkan pengguna dan mengatur akun layanan - Amazon SageMaker AI
Kontrol akses berbutir halus - rekomendasi kamiRuang pribadi dan Publik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan pengguna dan mengatur akun layanan

Kontrol akses berbutir halus - rekomendasi kami

Pengguna dibedakan berdasarkan nama pengguna Kubernetes mereka. Username Kubernetes pengguna didefinisikan dalam Access Entry mereka. Untuk memastikan dua pengguna manusia memiliki nama pengguna yang berbeda, ada dua opsi:

  1. Direkomendasikan - Beberapa pengguna manusia dapat menggunakan peran yang sama selama masing-masing memiliki nama sesi berbeda yang akan bertahan di antara sesi. Secara default, nama pengguna Kubernetes untuk peran IAM ada dalam format. arn:aws:sts::{ACCOUNT_ID}:assumed-role/{ROLE_NAME}/{SESSION_NAME} Dengan default ini, pengguna sudah akan dibedakan berdasarkan nama sesi. Admin memiliki beberapa cara untuk menerapkan nama sesi unik per pengguna.

    • Login SSO - Pengguna yang menggunakan login SSO secara default akan memiliki nama sesi yang terkait dengan nama pengguna mereka AWS

    • Layanan penjual kredensi pusat - Untuk pelanggan perusahaan, mereka mungkin memiliki beberapa layanan penjual kredenal internal yang dapat dihubungi pengguna untuk mendapatkan kredensil dengan identitas mereka.

    • Penegakan berbasis peran - Mewajibkan pengguna IAM untuk menetapkan nama sesi peran mereka ketika mereka mengambil peran IAM dalam Anda. aws:username Akun AWS Dokumentasi tentang cara melakukan ini ada di sini: https://aws.amazon.com/blogs/keamanan/ -/easily-control-naming-individualiam-role-sessions

  2. Jika 2 Ilmuwan Data menggunakan entri akses yang berbeda (peran IAM atau pengguna yang berbeda), mereka akan selalu dihitung sebagai pengguna yang berbeda.

Membuat entri akses

Kebijakan IAM yang diperlukan untuk peran ilmuwan data:

  • eks:DescribeCluster

Kebijakan entri akses yang diperlukan

  • AmazonSagemakerHyperpodSpacePolicy- cakupan ke namespace DS harus membuat spasi di

  • AmazonSagemakerHyperpodSpaceTemplatePolicy- dicakup ke namespace “jupyter-k8s-shared”

Ruang pribadi dan Publik

Kami mendukung 2 jenis pola berbagi: “Publik” dan “OwnerOnly”. Kedua bidang “AccessType” dan “OwnershipType” menggunakan 2 nilai ini.

  • AccessType: Ruang publik dapat diakses oleh siapa saja yang memiliki izin di namespace, sementara hanya OwnerOnly dapat diakses oleh pembuat ruang serta pengguna administrator. Pengguna administrator didefinisikan dengan kriteria berikut:

  • OwnershipType: Ruang publik bisa modified/deleted oleh siapa saja yang memiliki izin di namespace, OwnerOnly bisa modified/deleted oleh pencipta atau Admin.

Pengguna admin ditentukan oleh:

  1. Bagian dari kelompok system:masters Kubernetes

  2. Bagian dari grup Kubernetes yang didefinisikan dalam variabel lingkungan CLUSTER_ADMIN_GROUP dalam bagan helm.

Grup pengguna dapat dikonfigurasi menggunakan entri akses EKS. Spasi dapat didefinisikan sebagai “Publik” atau “OwnerOnly” dengan mengonfigurasi spesifikasi dalam objek:

apiVersion: workspace.jupyter.org/v1alpha1
kind: Workspace
metadata:
  labels:
    app.kubernetes.io/name: jupyter-k8s
  name: example-workspace
spec:
  displayName: "Example Workspace"
  image: "public.ecr.aws/sagemaker/sagemaker-distribution:3.4.2-cpu"
  desiredStatus: "Running"
  ownershipType: "Public"/"OwnerOnly"
  accessType: "Public"/"OwnerOnly"
  # more fields here