Configura le autorizzazioni IAM per le app MLflow - Amazon SageMaker AI
Configura le autorizzazioni MLflow IAM quando crei un nuovo dominioCreazione dei ruoli di servizio IAM necessari nella console IAMCreazione di controlli di autorizzazione specifici per azione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura le autorizzazioni IAM per le app MLflow

È necessario configurare i ruoli di servizio IAM necessari per iniziare a utilizzare le MLflow app in Amazon SageMaker AI.

Se crei un nuovo dominio Amazon SageMaker AI per accedere ai tuoi esperimenti in Studio, puoi configurare le autorizzazioni IAM necessarie durante la configurazione del dominio. Per ulteriori informazioni, consulta Configura le autorizzazioni MLflow IAM quando crei un nuovo dominio.

Per configurare le autorizzazioni utilizzando la console IAM, consulta Creazione dei ruoli di servizio IAM necessari nella console IAM.

È necessario configurare i controlli di autorizzazione per le azioni sagemaker-mlflow. Facoltativamente, puoi definire controlli di autorizzazione più granulari per gestire le autorizzazioni specifiche delle azioni. MLflow Per ulteriori informazioni, consulta Creazione di controlli di autorizzazione specifici per azione.

Configura le autorizzazioni MLflow IAM quando crei un nuovo dominio

Quando configuri un nuovo dominio Amazon SageMaker AI per la tua organizzazione, puoi configurare le autorizzazioni IAM per il tuo ruolo di servizio di dominio tramite le impostazioni Users and ML Activities.

  1. Configura un nuovo dominio utilizzando la console SageMaker AI. Nella pagina Configura dominio SageMaker AI, scegli Configura per le organizzazioni. Per ulteriori informazioni, consulta Configurazione personalizzata tramite la console.

  2. Quando configuri utenti e attività di machine learning, scegli tra le seguenti attività di machine MLflow learning per: Utilizzo MLflow, gestione MLflow delle app e Accesso richiesto ai AWS servizi per MLflow. Per ulteriori informazioni su tali attività, consulta le spiegazioni che seguono questa procedura.

  3. Completa la configurazione e la creazione del tuo nuovo dominio.

Le seguenti attività di MLflow machine learning sono disponibili in Amazon SageMaker Role Manager:

  • Uso MLflow: questa attività di machine learning concede al ruolo del servizio di dominio l'autorizzazione a chiamare MLflow REST APIs per gestire esperimenti, esecuzioni e modelli. MLflow

  • Gestione MLflow delle app: questa attività di machine learning concede al ruolo del servizio di dominio l'autorizzazione a creare, aggiornare ed eliminare MLflow app.

  • Accesso richiesto Servizi AWS per MLflow le app: questa attività ML fornisce le autorizzazioni del ruolo di servizio di dominio necessarie per accedere ad Amazon S3 e al AI SageMaker Model Registry. Questo consente di utilizzare il ruolo del servizio di dominio come ruolo di servizio del server di tracciamento.

Per ulteriori informazioni sulle attività ML in Gestione dei ruoli, consulta Riferimento all'attività ML.

Creazione dei ruoli di servizio IAM necessari nella console IAM

Se non hai creato o aggiornato il ruolo di servizio di dominio, devi invece creare i seguenti ruoli di servizio nella console IAM per creare e utilizzare un' MLflow app:

  • Un ruolo del servizio IAM dell' MLflow app che l'app può utilizzare per accedere alle risorse SageMaker AI

  • Un ruolo del servizio IAM SageMaker SageMaker AI che l'IA può utilizzare per creare e gestire MLflow risorse

Politiche IAM per il ruolo del servizio MLflow App IAM

Il ruolo del servizio MLflow App IAM viene utilizzato dall'app per accedere alle risorse di cui ha bisogno, come Amazon S3 e il SageMaker Model Registry.

Quando crei il ruolo del servizio IAM dell'app, utilizza la seguente policy di fiducia IAM:

JSON
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Nella console IAM, aggiungi la seguente politica di autorizzazione al tuo ruolo di servizio dell'app:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

Policy IAM per il ruolo del servizio IAM SageMaker AI

Il ruolo del servizio SageMaker AI viene utilizzato dal client che accede all' MLflow app e necessita delle autorizzazioni per chiamare MLflow REST APIs. Il ruolo del servizio SageMaker AI richiede anche le autorizzazioni SageMaker API per creare, visualizzare, aggiornare ed eliminare app.

Puoi creare un nuovo ruolo o aggiornarne uno esistente. Il ruolo del servizio SageMaker AI richiede la seguente politica:

JSON
{
    "Version":"2012-10-17",		 	 	     
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Creazione di controlli di autorizzazione specifici per azione

È necessario impostare i controlli di autorizzazione per esagemaker-mlflow, facoltativamente, configurare controlli di autorizzazione specifici per le azioni per gestire le MLflow autorizzazioni più granulari degli utenti su un'app. MLflow

Nota

I passaggi seguenti presuppongono che tu disponga già di un ARN per un' MLflow app.

Azioni IAM Data Plane supportate per MLflow le app

Le seguenti MLflow azioni SageMaker AI sono supportate per il controllo degli accessi alle autorizzazioni:

  • saggista: CallMlflowAppApi