Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan izin IAM untuk Aplikasi MLFlow
Anda harus mengonfigurasi peran layanan IAM yang diperlukan untuk memulai Aplikasi MLFlow di Amazon SageMaker AI.
Jika Anda membuat domain Amazon SageMaker AI baru untuk mengakses eksperimen di Studio, Anda dapat mengonfigurasi izin IAM yang diperlukan selama penyiapan domain. Untuk informasi selengkapnya, lihat [Siapkan izin IAM MLFlow saat membuat domain baru](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-role-manager).
Untuk mengatur izin menggunakan konsol IAM, lihat. [Buat peran layanan IAM yang diperlukan di konsol IAM](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-service-roles)
Anda harus mengonfigurasi kontrol otorisasi untuk `sagemaker-mlflow` tindakan. Anda dapat menentukan kontrol otorisasi yang lebih terperinci secara opsional untuk mengatur izin MLFlow khusus tindakan. Untuk informasi selengkapnya, lihat [Buat kontrol otorisasi khusus tindakan](#mlflow-create-app-update-iam-actions).
## Siapkan izin IAM MLFlow saat membuat domain baru
Saat menyiapkan domain Amazon SageMaker AI baru untuk organisasi Anda, Anda dapat mengonfigurasi izin IAM untuk peran layanan domain Anda melalui setelan Aktivitas **Pengguna dan Aktivitas ML**.
1. Siapkan domain baru menggunakan konsol SageMaker AI. Pada halaman **Siapkan domain SageMaker AI**, pilih **Siapkan untuk organisasi**. Untuk informasi selengkapnya, lihat [Penyiapan khusus menggunakan konsol](onboard-custom.md#onboard-custom-instructions-console).
1. Saat menyiapkan Aktivitas **Pengguna dan MLFlow, pilih dari aktivitas** MLFlow berikut: **Gunakan MLFlow, Kelola Aplikasi MLFlow****, dan **Akses yang diperlukan ke AWS Layanan untuk** MLFlow**. Untuk informasi lebih lanjut tentang kegiatan ini, lihat penjelasan yang mengikuti prosedur ini.
1. Selesaikan pengaturan dan pembuatan domain baru Anda.
Aktivitas MLFlow MLFlow berikut tersedia di Amazon SageMaker Role Manager:
+ **Gunakan MLFlow**: Aktivitas ML ini memberikan izin peran layanan domain untuk memanggil MLFlow REST API untuk mengelola eksperimen, proses, dan model di MLFlow.
+ **Kelola Aplikasi MLFlow**: Aktivitas ML ini memberikan izin peran layanan domain untuk membuat, memperbarui, dan menghapus Aplikasi MLFlow.
+ **Akses yang diperlukan Layanan AWS untuk Aplikasi MLFlow**: Aktivitas ML ini menyediakan izin peran layanan domain yang diperlukan untuk mengakses Amazon S3 dan SageMaker Registri Model AI. Ini memungkinkan Anda untuk menggunakan peran layanan domain sebagai peran layanan server pelacakan.
Untuk informasi selengkapnya tentang aktivitas ML di Manajer Peran, lihat[Referensi aktivitas ML](role-manager-ml-activities.md).
## Buat peran layanan IAM yang diperlukan di konsol IAM
Jika Anda tidak membuat atau memperbarui peran layanan domain, Anda harus membuat peran layanan berikut di konsol IAM untuk membuat dan menggunakan Aplikasi MLFlow:
+ Peran layanan IAM Aplikasi MLFlow yang dapat digunakan Aplikasi untuk mengakses SageMaker sumber daya AI
+ Peran layanan SageMaker AI IAM yang dapat digunakan SageMaker AI untuk membuat dan mengelola sumber daya MLFlow
### Kebijakan IAM untuk peran layanan IAM Aplikasi MLFlow
Peran layanan IAM Aplikasi MLFlow digunakan oleh aplikasi untuk mengakses sumber daya yang dibutuhkan seperti Amazon S3 dan SageMaker Registry Model.
Saat membuat peran layanan IAM aplikasi, gunakan kebijakan kepercayaan IAM berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Di konsol IAM, tambahkan kebijakan izin berikut ke peran layanan aplikasi Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:Put*",
"s3:List*",
"sagemaker:AddTags",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:UpdateModelPackage",
"sagemaker:DescribeModelPackageGroup"
],
"Resource": "{{*}}"
}
]
}
```
------
### Kebijakan IAM untuk peran layanan SageMaker AI IAM
Peran layanan SageMaker AI digunakan oleh klien yang mengakses Aplikasi MLFlow dan memerlukan izin untuk memanggil MLFlow REST API. Peran layanan SageMaker AI juga memerlukan izin SageMaker API untuk membuat, melihat pembaruan, dan menghapus aplikasi.
Anda dapat membuat peran baru atau memperbarui peran yang sudah ada. Peran layanan SageMaker AI membutuhkan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*",
"sagemaker:CreateMlflowTrackingServer",
"sagemaker:ListMlflowTrackingServers",
"sagemaker:UpdateMlflowTrackingServer",
"sagemaker:DeleteMlflowTrackingServer",
"sagemaker:StartMlflowTrackingServer",
"sagemaker:StopMlflowTrackingServer",
"sagemaker:CreatePresignedMlflowTrackingServerUrl"
],
"Resource": "*"
}
]
}
```
------
## Buat kontrol otorisasi khusus tindakan
Anda harus menyiapkan kontrol otorisasi untuk`sagemaker-mlflow`, dan secara opsional dapat mengonfigurasi kontrol otorisasi khusus tindakan untuk mengatur izin MLFlow yang lebih terperinci yang dimiliki pengguna Anda di Aplikasi MLFlow.
**catatan**
Langkah-langkah berikut mengasumsikan bahwa Anda memiliki ARN untuk Aplikasi MLFlow yang sudah tersedia.
### Tindakan IAM Data Plane didukung untuk Aplikasi MLFlow
Tindakan SageMaker AI MLFlow berikut didukung untuk kontrol akses otorisasi:
+ pembuat sagemaker: CallMlflowAppApi