View a markdown version of this page

Configura le autorizzazioni IAM per le app MLFlow - Amazon SageMaker AI
Configurazione delle autorizzazioni IAM MLflow quando si crea un nuovo dominioCreazione dei ruoli di servizio IAM necessari nella console IAMCreazione di controlli di autorizzazione specifici per azione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura le autorizzazioni IAM per le app MLFlow

È necessario configurare i ruoli di servizio IAM necessari per iniziare a usare MLFlow Apps in Amazon SageMaker AI.

Se crei un nuovo dominio Amazon SageMaker AI per accedere ai tuoi esperimenti in Studio, puoi configurare le autorizzazioni IAM necessarie durante la configurazione del dominio. Per ulteriori informazioni, consulta Configurazione delle autorizzazioni IAM MLflow quando si crea un nuovo dominio.

Per configurare le autorizzazioni utilizzando la console IAM, consulta Creazione dei ruoli di servizio IAM necessari nella console IAM.

È necessario configurare i controlli di autorizzazione per le azioni sagemaker-mlflow. Facoltativamente, puoi definire controlli di autorizzazione più granulari per gestire le autorizzazioni MLflow specifiche per azione. Per ulteriori informazioni, consulta Creazione di controlli di autorizzazione specifici per azione.

Configurazione delle autorizzazioni IAM MLflow quando si crea un nuovo dominio

Quando configuri un nuovo dominio Amazon SageMaker AI per la tua organizzazione, puoi configurare le autorizzazioni IAM per il tuo ruolo di servizio di dominio tramite le impostazioni Users and ML Activities.

  1. Configura un nuovo dominio utilizzando la console SageMaker AI. Nella pagina Configura dominio SageMaker AI, scegli Configura per le organizzazioni. Per ulteriori informazioni, consulta Configurazione personalizzata tramite la console.

  2. Quando configuri utenti e attività ML, scegli tra le seguenti attività ML per MLFlow: Usa MLFlow, Gestisci le app MLFlow e Accesso richiesto ai AWS servizi per MLFlow. Per ulteriori informazioni su tali attività, consulta le spiegazioni che seguono questa procedura.

  3. Completa la configurazione e la creazione del tuo nuovo dominio.

Le seguenti attività MLFlow ML sono disponibili in Amazon SageMaker Role Manager:

  • Usa MLflow: questa attività ML concede al ruolo del servizio di dominio l’autorizzazione a chiamare le REST API di MLflow per gestire esperimenti, esecuzioni e modelli in MLflow.

  • Gestione delle app MLFlow: questa attività ML concede al ruolo del servizio di dominio l'autorizzazione a creare, aggiornare ed eliminare app MLFlow.

  • Accesso richiesto Servizi AWS per le app MLFlow: questa attività ML fornisce le autorizzazioni del ruolo di servizio di dominio necessarie per accedere ad Amazon S3 e al AI SageMaker Model Registry. Questo consente di utilizzare il ruolo del servizio di dominio come ruolo di servizio del server di tracciamento.

Per ulteriori informazioni sulle attività ML in Gestione dei ruoli, consulta Riferimento all'attività ML.

Creazione dei ruoli di servizio IAM necessari nella console IAM

Se non hai creato o aggiornato il ruolo di servizio di dominio, devi invece creare i seguenti ruoli di servizio nella console IAM per creare e utilizzare un'app MLFlow:

  • Un ruolo di servizio IAM dell'app MLFlow che l'app può utilizzare per accedere alle risorse AI SageMaker

  • Un ruolo di servizio IAM SageMaker SageMaker AI che l'IA può utilizzare per creare e gestire le risorse MLFlow

Politiche IAM per il ruolo del servizio IAM dell'app MLFlow

Il ruolo del servizio IAM dell'app MLFlow viene utilizzato dall'app per accedere alle risorse di cui ha bisogno, come Amazon S3 e SageMaker il Model Registry.

Quando crei il ruolo del servizio IAM dell'app, utilizza la seguente policy di fiducia IAM:

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

Nella console IAM, aggiungi la seguente politica di autorizzazione al tuo ruolo di servizio dell'app:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

Policy IAM per il ruolo del servizio IAM SageMaker AI

Il ruolo del servizio SageMaker AI viene utilizzato dal client che accede all'app MLFlow e necessita delle autorizzazioni per chiamare le API REST di MLFlow. Il ruolo del servizio SageMaker AI richiede anche le autorizzazioni SageMaker API per creare, visualizzare, aggiornare ed eliminare app.

Puoi creare un nuovo ruolo o aggiornarne uno esistente. Il ruolo del servizio SageMaker AI richiede la seguente politica:

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Creazione di controlli di autorizzazione specifici per azione

È necessario impostare i controlli di autorizzazione per esagemaker-mlflow, facoltativamente, configurare controlli di autorizzazione specifici per le azioni per gestire le autorizzazioni MLFlow più granulari di cui dispongono gli utenti su un'app MLFlow.

Nota

I passaggi seguenti presuppongono che tu disponga già di un ARN per un'app MLFlow.

Azioni IAM Data Plane supportate per le app MLFlow

Le seguenti azioni SageMaker AI MLFlow sono supportate per il controllo degli accessi alle autorizzazioni:

  • saggista: CallMlflowAppApi