Partner AI App 설정 - Amazon SageMaker AI
사전 조건관리 권한사용자 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Partner AI App 설정

다음 주제에서는 Amazon SageMaker Partner AI App 사용을 시작하는 데 필요한 권한을 설명합니다. 필요한 권한은 사용자 권한 수준에 따라 두 부분으로 나뉩니다.

  • 관리 권한 - 데이터 과학자 및 기계 학습(ML) 개발자 환경을 설정하는 관리자를 위한 권한입니다.

    • AWS Marketplace

    • Partner AI App 관리

    • AWS License Manager

  • 사용자 권한 - 데이터 과학자 및 기계 학습 개발자를 위한 권한입니다.

    • 사용자 권한 부여

    • ID 전파

    • SDK 액세스

사전 조건

관리자는 Partner AI App을 설정하기 위해 다음 사전 조건을 충족할 수 있습니다.

  • (선택 사항) SageMaker AI 도메인에 온보딩합니다. Partner AI App은 SageMaker AI 도메인에서 직접 액세스할 수 있습니다. 자세한 내용은 Amazon SageMaker AI 도메인 개요 단원을 참조하십시오.

    • VPC 전용 모드의 SageMaker AI 도메인에서 Partner AI App을 사용하는 경우 관리자는 Partner AI App에 연결하기 위해 다음 형식의 엔드포인트를 생성해야 합니다. VPC 전용 모드에서 Studio를 사용하는 방법에 대한 자세한 내용은 VPC의 Amazon SageMaker Studio를 외부 리소스에 연결 섹션을 참조하세요.

      aws.sagemaker.region.partner-app

  • (선택 사항) 관리자가를 사용하여 도메인과 상호 작용하는 경우 다음 사전 조건도 완료해야 AWS CLI합니다.

    1. 현재 버전 설치의 단계에 AWS CLI따라를 업데이트합니다. AWS CLI  

    2. 로컬 머신에서 aws configure를 실행하고 AWS 자격 증명을 제공합니다. 자격 AWS증명에 대한 자세한 내용은 자격 증명 이해 및 가져오기를 참조하세요AWS.

관리 권한

SageMaker AI에서 Partner AI App을 활성화하려면 관리자가 다음 권한을 추가해야 합니다.

  • 파트너 AI 앱 AWS Marketplace구독을 완료할 수 있는 권한

  • Partner AI App 실행 역할 설정

AWS Marketplace파트너 AI 앱 구독

권한을 추가하려면 관리자가 다음 단계를 완료해야 합니다AWS Marketplace. 사용에 대한 자세한 내용은를 사용하여 구매자로 시작하기를 AWS Marketplace참조하세요. AWS Marketplace

  1. 에 대한 권한을 부여합니다AWS Marketplace. 파트너 AI 앱 관리자는 파트너 AI 앱 구독을 구매하려면 이러한 권한이 필요합니다AWS Marketplace. AWS Marketplace 액세스 권한을 얻으려면 관리자가 SageMaker AI 콘솔에 액세스하고 앱을 구매하는 데 사용하는 IAM 역할에 AWSMarketplaceManageSubscriptions 관리형 정책을 연결해야 합니다. 관리형 정책에 대한 자세한 내용은 구매자를AWSMarketplaceManageSubscriptions 위한 관리형 정책을 참조하세요. AWSAWS Marketplace 관리형 정책 연결에 대한 자세한 내용은 IAM 자격 증명 권한 추가 및 제거를 참조하세요.

  2. SageMaker AI가 다른 AWS 서비스를 사용하여 관리자를 대신하여 작업을 실행할 수 있는 권한을 부여합니다. 관리자는 SageMaker AI에 이러한 서비스와 서비스가 적용되는 리소스를 사용할 수 있는 권한을 부여해야 합니다. 다음 정책 정의는 필요한 Partner AI App 권한을 부여하는 방법을 보여줍니다. 이러한 권한은 관리자 역할에 대한 기존 권한 외에 추가로 필요합니다. 자세한 내용은 SageMaker AI 실행 역할을 사용하는 방법 단원을 참조하십시오.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Partner AI App 실행 역할 설정

  1. Partner AI App이 AWS 계정의 리소스와 상호 작용하려면 실행 역할이 필요합니다. 관리자는 AWS CLI를 사용하여 이 실행 역할을 생성할 수 있습니다. Partner AI App은 이 역할을 사용하여 Partner AI App 기능과 관련된 작업을 완료합니다.

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. License Manager에 대한 AWS License Manager서비스 연결 역할 생성의 단계에 따라 서비스 연결 역할을 생성합니다. https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html#create-slr-core  

  3. AWS CLI를 사용하여 Partner AI App이 License Manager에 액세스할 수 있는 권한을 부여합니다. Partner AI App의 라이선스에 액세스하려면 이러한 권한이 필요합니다. 이렇게 하면 Partner AI App이 Partner AI App 라이선스에 대한 액세스를 확인할 수 있습니다.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Partner AI App이 Amazon S3 버킷에 액세스해야 하는 경우 실행 역할에 Amazon S3 권한을 추가합니다. 자세한 내용은 Amazon S3 API 작업에 필요한 권한을 참조하세요.

Amazon Bedrock 통합 구성

Deepchecks와 같은 파트너 AI 애플리케이션은 Amazon Bedrock과의 통합을 지원하여 LLM 기반 평가 기능을 활성화합니다. Amazon Bedrock 지원으로 파트너 AI 앱을 구성할 때 관리자는 애플리케이션 내에서 사용할 수 있는 파운데이션 모델 및 추론 프로파일을 지정할 수 있습니다. Amazon Bedrock 모델의 할당량 제한을 늘려야 하는 경우 Amazon Bedrock 할당량 증가 요청을 참조하세요.

  1. 파트너 AI 앱 실행 역할에 필요한 Amazon Bedrock 권한이 있는지 확인합니다. Amazon Bedrock 모델 액세스를 활성화하려면 다음 권한을 추가합니다.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{
	   "Version": "2012-10-17",		 	 	 
	   "Statement": {
	     "Effect": "Allow",
	     "Action": [
	       "bedrock:InvokeModel",
	       "bedrock:GetFoundationModel",
	       "bedrock:GetInferenceProfile"
	     ],
	     "Resource": "*"
	   }
	 }'

  2. 조직에서 파트너 AI 앱에서 사용할 수 있도록 하려는 Amazon Bedrock 모델을 식별합니다. Amazon Bedrock 콘솔을 사용하여 리전에서 사용 가능한 모델을 볼 수 있습니다. 리전 간 모델 가용성에 대한 자세한 내용은의 모델 지원을 참조하세요AWS 리전.

  3. (선택 사항) 비용 추적 및 모델 관리를 위한 고객 관리형 추론 프로파일을 생성합니다. 추론 프로파일을 사용하면 특히 파트너 AI 앱에 대한 Amazon Bedrock 사용량을 추적할 수 있으며 현재 리전에서 모델을 사용할 수 없는 경우 리전 간 추론을 활성화할 수 있습니다. 자세한 내용은 Amazon Bedrock에서 추론 프로파일 사용을 참조하세요.

  4. 파트너 AI 앱을 생성하거나 업데이트할 때 CreatePartnerApp 또는 UpdatePartnerApp API를 사용하여 허용되는 모델 및 추론 프로파일을 지정합니다. 파트너 AI 앱은 명시적으로 구성한 모델 및 추론 프로필에만 액세스할 수 있습니다.

중요

파트너 AI 앱을 통한 Amazon Bedrock 사용량은 기존 Amazon Bedrock 요금을 AWS 계정사용하여에 직접 청구됩니다. 파트너 AI 앱 인프라 비용은 Amazon Bedrock 모델 추론 비용과는 별개입니다.

Deepchecks Amazon Bedrock 통합

Deepchecks는 다음을 포함하여 LLM 기반 평가 기능에 대한 Amazon Bedrock 통합을 지원합니다.

  • LLM을 판사로 평가 - 파운데이션 모델을 사용하여 모델 출력의 품질, 관련성 및 기타 기준을 자동으로 평가

  • 자동 주석 - 파운데이션 모델을 사용하여 데이터 세트에 대한 레이블 및 주석 생성

  • 콘텐츠 분석 - LLM 기능을 사용하여 텍스트 데이터의 편향, 유해성 및 기타 품질 지표 분석

Deepchecks Amazon Bedrock 기능 및 구성에 대한 자세한 내용은 애플리케이션 내의 Deepchecks 설명서를 참조하세요.

사용자 권한

관리자가 관리 권한 설정을 완료한 후에는 사용자에게 Partner AI App에 액세스하는 데 필요한 권한이 있는지 확인해야 합니다.

  1. SageMaker AI가 다른 AWS 서비스를 사용하여 사용자를 대신하여 작업을 실행할 수 있는 권한을 부여합니다. 관리자는 SageMaker AI에 이러한 서비스와 서비스가 적용되는 리소스를 사용할 수 있는 권한을 부여해야 합니다. 관리자는 IAM 실행 역할을 사용하여 SageMaker AI에 이러한 권한을 부여합니다. IAM 역할에 대한 자세한 내용은 IAM 역할을 참조하세요. 다음 정책 정의는 필요한 Partner AI App 권한을 부여하는 방법을 보여줍니다. 이 정책은 사용자 프로필의 실행 역할에 추가할 수 있습니다.   자세한 내용은 SageMaker AI 실행 역할을 사용하는 방법 단원을 참조하십시오.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (선택 사항) Studio에서 Partner AI App을 시작하는 경우 다음과 같이 Studio 또는 Partner AI App을 시작하는 데 사용되는 역할에 직접 sts:TagSession 신뢰 정책을 추가합니다. 이렇게 하면 ID가 올바르게 전파될 수 있습니다.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (선택 사항) Partner AI App의 SDK를 사용하여 SageMaker AI의 기능에 액세스하는 경우 SDK 코드를 실행하는 데 사용되는 역할에 다음 CallPartnerAppApi 권한을 추가합니다. Studio에서 SDK 코드를 실행하는 경우 Studio 실행 역할에 권한을 추가합니다. Studio 이외의 위치에서 코드를 실행하는 경우 노트북과 함께 사용되는 IAM 역할에 권한을 추가합니다. 이를 통해 사용자는 Partner AI App의 SDK에서 Partner AI App 기능에 액세스할 수 있습니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:partner-app/app"
            ]
        }
    ]
}

사용자 인증 및 권한 부여 관리

팀 구성원에게 Partner AI App에 대한 액세스 권한을 제공하려면 관리자는 사용자의 ID가 Partner AI App에 전파되었는지 확인해야 합니다. 이 전파를 통해 사용자는 Partner AI App의 UI에 올바르게 액세스하고 승인된 Partner AI App 작업을 수행할 수 있습니다.

Partner AI App은 다음과 같은 ID 소스를 지원합니다.

  • AWS IAM Identity Center

  • 외부 ID 제공업체(idP) 

  • IAM 세션 기반 ID

다음 섹션에서는 Partner AI App이 지원하는 ID 소스에 대한 정보와 해당 ID 소스와 관련된 중요한 세부 정보를 제공합니다.

사용자가 IAM Identity Center를 사용하여 Studio에 인증되고 Studio에서 애플리케이션을 시작하는 경우 IAM Identity Center UserName은 Partner AI App의 사용자 ID로 자동 전파됩니다. 사용자가 CreatePartnerAppPresignedUrl API를 사용하여 Partner AI App을 직접 시작하는 경우에는 그렇지 않습니다.

AWS 계정페더레이션에 SAML을 사용하는 경우 관리자는 IdP 자격 증명을 파트너 AI 앱의 사용자 자격 증명으로 이전할 수 있는 두 가지 옵션이 있습니다. AWS 계정페더레이션 설정에 대한 자세한 내용은AWS 계정페더레이션용 SAML 2.0 구성 방법을 참조하세요

  • 보안 주체 태그 - 관리자는 다음 Name 속성이 있는 AWS세션을PrincipalTag 사용하여 랜딩 세션에서 ID 정보를 전달하도록 IdP별 IAM Identity Center 애플리케이션을 구성할 수 있습니다. SAML을 사용하는 경우 랜딩 역할 세션은 IAM 역할을 사용합니다. PrincipalTag를 사용하려면 관리자가 이 랜딩 역할과 Studio 실행 역할에 sts:TagSession 권한을 추가해야 합니다. PrincipalTag에 대한 자세한 내용은 인증 응답을 위한 SAML 어설션 구성을 참조하세요.

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • 랜딩 세션 이름 - 관리자는 랜딩 세션 이름을 Partner AI App의 ID로 전파할 수 있습니다. 이렇게 하려면 각 Partner AI App에 대해 EnableIamSessionBasedIdentity 옵트인 플래그를 설정해야 합니다. 자세한 내용은 EnableIamSessionBasedIdentity 단원을 참조하십시오.

중요

프로덕션 계정에는 이 방법을 사용하지 않는 것이 좋습니다. 프로덕션 계정의 경우 보안 강화를 위해 ID 제공업체를 사용하세요.

SageMaker AI는 IAM 세션 기반 ID을 사용할 때 ID 전파에 대해 다음 옵션을 지원합니다. 세션 태그를와 함께 사용하는 것을 제외한 모든 옵션을 사용하려면 각 애플리케이션에 대해 옵트인 플래그를EnableIamSessionBasedIdentity 설정해야 AWS STS합니다. 자세한 내용은 EnableIamSessionBasedIdentity 단원을 참조하십시오.

자격 증명을 전파할 때 SageMaker AI는 AWS STS세션 태그가 사용되고 있는지 확인합니다. 사용하지 않는 경우 SageMaker AI는 IAM 사용자 이름 또는 AWS STS세션 이름을 전파합니다.

  • AWS STS세션 태그 - 관리자는 시작 관리자 IAM SageMakerPartnerAppUser 세션에 대한 세션 태그를 설정할 수 있습니다. 관리자가 SageMaker AI 콘솔 또는SageMakerPartnerAppUser를 사용하여 파트너 AI 앱을 시작하면 AWS CLI세션 태그가 파트너 AI 앱의 사용자 자격 증명으로 자동으로 전달됩니다. 다음 예시에서는 AWS CLI를 사용하여 SageMakerPartnerAppUser 세션 태그를 설정하는 방법을 보여줍니다. 키 값은 위탁자 태그로 추가됩니다.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    사용자에게 CreatePartnerAppPresignedUrl을 사용하여 Partner AI App에 대한 액세스 권한을 부여할 때는 SageMakerPartnerAppUser 키 값을 확인하는 것이 좋습니다. 이렇게 하면 Partner AI App 리소스에 대한 의도하지 않은 액세스를 방지하는 데 도움이 됩니다. 다음 신뢰 정책은 세션 태그가 연결된 IAM 사용자와 정확히 일치하는지 확인합니다. 관리자는 이러한 목적으로 모든 위탁자 태그를 사용할 수 있습니다. Studio 또는 Partner AI App을 시작하는 역할에 구성해야 합니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}"
                }
            }
        }
    ]
}

  • 인증된 IAM 사용자 - 사용자의 사용자 이름이 Partner AI App 사용자로 자동으로 전파됩니다.

  • AWS STS세션 이름 - 사용 시 SageMakerPartnerAppUser 세션 태그가 구성되지 않은 경우AWS STS SageMaker AI는 사용자가 파트너 AI 앱을 시작할 때 오류를 반환합니다. 이 오류를 방지하려면 관리자가 각 Partner AI App에 대해 EnableIamSessionBasedIdentity 옵트인 플래그를 설정해야 합니다. 자세한 내용은 EnableIamSessionBasedIdentity 단원을 참조하십시오.

    EnableIamSessionBasedIdentity 옵트인 플래그가 활성화되면 IAM 역할 신뢰 정책을 사용하여 IAM 세션 이름이 IAM 사용자 이름이거나 IAM 사용자 이름을 포함하는지 확인합니다. 이렇게 하면 사용자가 다른 사용자를 가장하여 액세스 권한을 얻지 못합니다. 다음 신뢰 정책은 세션 이름이 연결된 IAM 사용자와 정확히 일치하는지 확인합니다. 관리자는 이러한 목적으로 모든 위탁자 태그를 사용할 수 있습니다. Studio 또는 Partner AI App을 시작하는 역할에 구성해야 합니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    또한 관리자는 Studio 또는 Partner AI App을 시작하는 역할에 sts:TagSession 신뢰 정책을 추가해야 합니다. 이렇게 하면 ID가 올바르게 전파될 수 있습니다.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

자격 증명을 설정한 후 관리자는 각각 또는 CreatePartnerAppPresignedUrl API 호출을 AWS CLI사용하여에서 Studio 또는 파트너 AI 앱에CreatePresignedDomainUrl 대한 액세스 권한을 사용자에게 부여할 수 있습니다.

그러면 사용자도 SageMaker AI 콘솔에서 Studio를 시작하고 Studio에서 Partner AI App을 시작할 수 있습니다.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentity는 옵트인 플래그입니다. EnableIamSessionBasedIdentity 플래그가 설정되면 SageMaker AI는 IAM 세션 정보를 Partner AI App 사용자 ID로 전달합니다. AWS STS세션에 대한 자세한 내용은 AWS리소스에 임시 자격 증명 사용을 참조하세요.

액세스 관리

Partner AI App에 대한 액세스를 제어하려면 사용자 프로필의 실행 역할에 연결된 IAM 정책을 사용합니다. Studio에서 직접 또는를 사용하여 파트너 AI 앱을 시작하려면 사용자 프로필의 실행 역할에 APIAWS CLI에 대한CreatePartnerAppPresignedUrl 권한을 부여하는 정책이 있어야 합니다. 사용자 프로필의 실행 역할에서 이 권한을 제거하여 Partner AI App을 시작할 수 없도록 합니다.

루트 관리자 사용자

Comet 및 Fiddler Partner AI App에는 루트 관리자 사용자가 한 명 이상 필요합니다. 루트 관리자 사용자는 일반 사용자와 관리자 사용자를 둘 다 추가하고 리소스를 관리할 수 있는 권한이 있습니다. 루트 관리자 사용자로 제공된 사용자 이름은 ID 소스의 사용자 이름과 일치해야 합니다.

루트 관리자 사용자는 SageMaker AI에서도 유지되지만, 일반 관리자 사용자는 그렇지 않으며 Partner AI App이 종료될 때까지 Partner AI App 내에만 존재합니다.

관리자는 UpdatePartnerApp API 직접 호출을 사용하여 루트 관리자 사용자를 업데이트할 수 있습니다. 루트 관리자 사용자가 업데이트되면 업데이트된 루트 관리자 사용자 목록이 Partner AI App으로 전달됩니다. Partner AI App은 목록의 모든 사용자 이름에 루트 관리자 권한이 부여되도록 합니다. 루트 관리자 사용자가 목록에서 제거된 경우 사용자는 다음 중 하나가 발생할 때까지 일반 관리자 권한을 유지합니다.

  • 사용자가 애플리케이션에서 제거됨

  • 다른 관리자 사용자가 사용자에 대한 관리자 권한을 취소함

참고

Fiddler는 관리자 사용자 업데이트를 지원하지 않습니다. Comet만 루트 관리자 사용자에 대한 업데이트를 지원합니다. 

루트 관리자 사용자를 삭제하려면 먼저 UpdatePartnerApp API를 사용하여 루트 관리자 사용자 목록을 업데이트해야 합니다. 그런 다음 Partner AI App의 UI를 통해 관리자 권한을 제거하거나 취소합니다.

UpdatePartnerApp API를 사용하여 루트 관리자 사용자 목록을 업데이트하지 않고 Partner AI App의 UI에서 루트 관리자 사용자를 제거하는 경우 변경 사항은 일시적입니다. SageMaker AI가 다음 Partner AI App 업데이트 요청을 보내면 SageMaker AI는 여전히 해당 사용자를 포함하는 루트 관리자 목록을 Partner AI App으로 보냅니다. 이렇게 하면 Partner AI App UI에서 완료된 삭제가 재정의됩니다.