기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# MLflow 앱 설정 필수 조건
# MLflow 앱에 대한 IAM 권한 설정
Amazon SageMaker AI에서 MLflow 앱을 시작하려면 필요한 IAM 서비스 역할을 구성해야 합니다.
Studio에서 실험에 액세스하기 위해 새 Amazon SageMaker AI 도메인을 만드는 경우 도메인 설정 중에 필수 IAM 권한을 구성할 수 있습니다. 자세한 내용은 [새 도메인을 생성할 때 MLflow IAM 권한 설정](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-role-manager) 단원을 참조하십시오.
IAM 콘솔을 사용하여 권한을 설정하려면 [IAM 콘솔에서 필요한 IAM 서비스 역할 생성](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-service-roles) 섹션을 참조하세요.
`sagemaker-mlflow` 작업에 대한 권한 부여 제어를 구성해야 합니다. 선택적으로 작업별 MLflow 권한을 관리하기 위해 보다 세분화된 권한 부여 제어를 정의할 수 있습니다. 자세한 내용은 [작업별 권한 부여 제어 생성](#mlflow-create-app-update-iam-actions) 단원을 참조하십시오.
## 새 도메인을 생성할 때 MLflow IAM 권한 설정
조직에 새 Amazon SageMaker AI 도메인을 설정할 때 **사용자 및 ML 활동** 설정을 통해 도메인 서비스 역할에 대한 IAM 권한을 구성할 수 있습니다.
1. SageMaker AI 콘솔을 사용하여 새 도메인을 설정합니다. **SageMaker AI 도메인 설정** 페이지에서 **조직용 설정**을 선택합니다. 자세한 내용은 [콘솔을 사용한 사용자 지정 설정](onboard-custom.md#onboard-custom-instructions-console) 단원을 참조하십시오.
1. **사용자 및 ML 활동을** 설정할 때 MLflow에 대한 다음 ML 활동 중에서 선택합니다. ** MLflow 사용**, ** MLflow 앱 관리**, ** MLflow AWS 서비스에 필요한 액세스**. 이러한 활동에 대한 자세한 내용은 이 절차를 따르는 설명을 참조하세요.
1. 새 도메인의 설정 및 생성을 완료합니다.
Amazon SageMaker Role Manager에서 사용할 수 있는 MLflow ML 활동은 다음과 같습니다.
+ **MLflow 사용**: 이 ML 활동은 도메인 서비스 역할에 MLflow의 실험, 실행 및 모델을 관리하기 위해 MLflow REST API를 호출할 수 있는 권한을 부여합니다.
+ **MLflow 앱 관리**:이 ML 활동은 도메인 서비스 역할에 MLflow 앱을 생성, 업데이트 및 삭제할 수 있는 권한을 부여합니다.
+ **MLflow 앱 AWS 서비스 에 필요한 액세스**:이 ML 활동은 Amazon S3 및 SageMaker AI 모델 레지스트리에 액세스하는 데 필요한 도메인 서비스 역할 권한을 제공합니다. 이렇게 하면 도메인 서비스 역할을 추적 서버 서비스 역할로 사용할 수 있습니다.
역할 관리자의 ML 활성화에 대한 자세한 내용은 [ML 활동 참조](role-manager-ml-activities.md) 섹션을 참조하세요.
## IAM 콘솔에서 필요한 IAM 서비스 역할 생성
도메인 서비스 역할을 생성하거나 업데이트하지 않은 경우 MLflow 앱을 생성하고 사용하려면 IAM 콘솔에서 다음 서비스 역할을 대신 생성해야 합니다.
+ 앱이 SageMaker AI 리소스에 액세스하는 데 사용할 수 있는 MLflow 앱 IAM 서비스 역할
+ SageMaker AI가 MLflow 리소스를 만들고 관리하는 데 사용할 수 있는 SageMaker AI IAM 서비스 역할
### MLflow 앱 IAM 서비스 역할에 대한 IAM 정책
MLflow 앱 IAM 서비스 역할은 앱에서 Amazon S3 및 SageMaker 모델 레지스트리와 같이 필요한 리소스에 액세스하는 데 사용됩니다.
앱 IAM 서비스 역할을 생성할 때 다음 IAM 신뢰 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
IAM 콘솔에서 앱 서비스 역할에 다음 권한 정책을 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:Put*",
"s3:List*",
"sagemaker:AddTags",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:UpdateModelPackage",
"sagemaker:DescribeModelPackageGroup"
],
"Resource": "*"
}
]
}
```
------
### SageMaker AI IAM 서비스 역할에 대한 IAM 정책
SageMaker AI 서비스 역할은 MLflow 앱에 액세스하는 클라이언트가 사용하며 MLflow REST APIs를 호출할 권한이 필요합니다. SageMaker AI 서비스 역할에는 앱을 생성, 업데이트 보기 및 삭제할 수 있는 SageMaker API 권한도 필요합니다.
새로운 실행 역할을 생성하거나 기존 역할을 업데이트할 수 있습니다. SageMaker AI 서비스 역할에는 다음 정책이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*",
"sagemaker:CreateMlflowTrackingServer",
"sagemaker:ListMlflowTrackingServers",
"sagemaker:UpdateMlflowTrackingServer",
"sagemaker:DeleteMlflowTrackingServer",
"sagemaker:StartMlflowTrackingServer",
"sagemaker:StopMlflowTrackingServer",
"sagemaker:CreatePresignedMlflowTrackingServerUrl"
],
"Resource": "*"
}
]
}
```
------
## 작업별 권한 부여 제어 생성
에 대한 권한 부여 제어를 설정해야 하며`sagemaker-mlflow`, 선택적으로 작업별 권한 부여 제어를 구성하여 사용자가 MLflow 앱에서 보유하는 보다 세분화된 MLflow 권한을 관리할 수 있습니다.
**참고**
다음 단계에서는 이미 사용 가능한 MLflow 앱에 대한 ARN이 있다고 가정합니다.
### MLflow 앱에 지원되는 데이터 영역 IAM 작업
권한 부여 액세스 제어에는 다음 SageMaker AI MLflow 작업이 지원됩니다.
+ sagemaker:CallMlflowAppApi