Use o AMS SSP para provisionar o Amazon SageMaker AI em sua conta AMS - Guia do usuário avançado do AMS
SageMaker Perguntas frequentes sobre IA no AWS Managed Services

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o AMS SSP para provisionar o Amazon SageMaker AI em sua conta AMS

Use o modo AMS Self-Service Provisioning (SSP) para acessar os recursos de SageMaker IA da Amazon diretamente em sua conta gerenciada pelo AMS. SageMaker A IA fornece a todos os desenvolvedores e cientistas de dados a capacidade de criar, treinar e implantar modelos de aprendizado de máquina rapidamente. O Amazon SageMaker AI é um serviço totalmente gerenciado que abrange todo o fluxo de trabalho de aprendizado de máquina para rotular e preparar seus dados, escolher um algoritmo, treinar o modelo, ajustá-lo e otimizá-lo para implantação, fazer previsões e agir. Seus modelos chegam à produção mais rapidamente com muito menos esforço e menor custo. Para saber mais, consulte Amazon SageMaker AI.

SageMaker Perguntas frequentes sobre IA no AWS Managed Services

Perguntas e respostas comuns:

P: Como solicito acesso à SageMaker IA na minha conta do AMS?

Solicite acesso enviando um tipo de alteração Gerenciamento | AWS Serviço | Serviço autoprovisionado | Adicionar (ct-1w8z66n899dct). Essa RFC provisiona as seguintes funções do IAM para sua conta: customer_sagemaker_admin_role e função AmazonSageMaker-ExecutionRole-Admin de serviço. Depois que a SageMaker IA for provisionada em sua conta, você deverá integrar a customer_sagemaker_admin_role função na sua solução de federação. A função de serviço não pode ser acessada diretamente por você; o serviço de SageMaker IA a usa ao realizar várias ações, conforme descrito aqui: Passando funções.

P: Quais são as restrições ao uso da SageMaker IA na minha conta do AMS?

  • Os seguintes casos de uso não são compatíveis com a função AMS Amazon SageMaker AI IAM:

    • SageMaker O AI Studio não é suportado no momento.

    • SageMaker O AI Ground Truth para gerenciar forças de trabalho privadas não é suportado, pois esse recurso exige acesso excessivamente permissivo aos recursos do Amazon Cognito. Se for necessário gerenciar uma força de trabalho privada, você pode solicitar uma função personalizada do IAM com permissões combinadas de SageMaker IA e Amazon Cognito. Caso contrário, recomendamos o uso de força de trabalho pública (apoiada pela Amazon Mechanical Turk) AWS Marketplace ou provedores de serviços para rotulagem de dados.

  • Criação de VPC Endpoints para oferecer suporte a chamadas de API para serviços de SageMaker IA (aws.sagemaker). {region} .notebook, com.amazonaws. {region} .sagemaker.api e com.amazonaws. {region} .sagemaker.runtime) não é suportado, pois as permissões não podem ser reduzidas apenas aos serviços relacionados à IA. SageMaker Para dar suporte a esse caso de uso, envie um RFC Management | Other | Other para criar VPC endpoints relacionados.

  • SageMaker O escalonamento automático de endpoints de IA não é suportado, pois a SageMaker IA exige DeleteAlarm permissões em qualquer recurso (“*”). Para oferecer suporte ao escalonamento automático de endpoint, envie um RFC de gerenciamento | Outro | Outro para configurar o escalonamento automático para um endpoint de IA. SageMaker

P: Quais são os pré-requisitos ou dependências para usar a SageMaker IA na minha conta do AMS?

  • Os seguintes casos de uso exigem uma configuração especial antes do uso:

    • Se um bucket do S3 for usado para armazenar artefatos e dados do modelo, você deverá solicitar um bucket do S3 nomeado com as palavras-chave necessárias (” SageMaker “, “Sagemaker”, “sagemaker” ou “aws-glue”) com um Deployment | Advanced stack components | S3 storage | Create RFC.

    • Se o Elastic File Store (EFS) for usado, o armazenamento do EFS deverá ser configurado na mesma sub-rede e permitido por grupos de segurança.

    • Se outros recursos exigirem acesso direto aos serviços de SageMaker IA (notebooks, API, tempo de execução etc.), a configuração deverá ser solicitada por:

      • Enviando uma RFC para criar um grupo de segurança para o endpoint (Implantação | Componentes avançados da pilha | Grupo de segurança | Criar (automático)).

      • Enviando um gerenciamento | Outro | Outro | Crie RFC para configurar endpoints VPC relacionados.

P: Quais são as convenções de nomenclatura suportadas para recursos que eles customer_sagemaker_admin_role podem acessar diretamente? (O seguinte é para atualizar e excluir permissões; se você precisar de convenções de nomenclatura adicionais suportadas para seus recursos, entre em contato com um arquiteto de nuvem do AMS para obter consultoria.)

  • Recurso: AmazonSageMaker-ExecutionRole-* Papel de passagem

    • Permissões: a SageMaker função de serviço autoprovisionada de IA oferece suporte ao uso da função de serviço de SageMaker IA (AmazonSageMaker-ExecutionRole-*) com AWS Glue, e. AWS RoboMaker AWS Step Functions

  • Recurso: Segredos no AWS Secrets Manager

    • Permissões: descrever, criar, obter e atualizar segredos com um AmazonSageMaker-* prefixo.

    • Permissões: descreva, obtenha segredos quando a tag do SageMaker recurso estiver definida comotrue.

  • Recurso: Repositórios em AWS CodeCommit

    • Permissões: crie/exclua repositórios com um prefixo. AmazonSageMaker-*

    • Permissões: Git Pull/Push em repositórios com os seguintes prefixos,, e. *sagemaker* *SageMaker* *Sagemaker*

  • Recurso: Repositórios do Amazon ECR (Amazon Elastic Container Registry)

    • Permissões: Permissões: defina, exclua políticas do repositório e faça upload de imagens de contêiner, quando a seguinte convenção de nomenclatura de recursos for usada,. *sagemaker*

  • Recurso: buckets Amazon S3

    • Permissões: Obter, colocar, excluir objeto, interromper o upload de objetos do S3 em várias partes quando os recursos tiverem os seguintes prefixos:*SageMaker*, e. *Sagemaker* *sagemaker* aws-glue

    • Permissões: obtenha objetos do S3 quando a SageMaker tag estiver definida como. true

  • Recurso: Amazon CloudWatch Log Group

    • Permissões: Criar grupo ou transmissão de log, colocar evento de registro, listar, atualizar, criar, excluir entrega de log com o seguinte prefixo:/aws/sagemaker/*.

  • Recurso: Amazon CloudWatch Metric

    • Permissões: coloque dados métricos quando os seguintes prefixos forem usados: AWS/SageMakerAWS/SageMaker/,aws/SageMaker,aws/SageMaker/,aws/sagemaker,aws/sagemaker/, e. /aws/sagemaker/.

  • Recurso: Amazon CloudWatch Dashboard

    • Permissões: Create/Delete painéis quando os seguintes prefixos são usados:. customer_*

  • Recurso: tópico Amazon SNS (Simple Notification Service)

    • Permissões: Subscribe/Create tópico quando os seguintes prefixos são usados: *sagemaker**SageMaker*, e. *Sagemaker*

P: Qual é a diferença entre AmazonSageMakerFullAccess ecustomer_sagemaker_admin_role?

O customer_sagemaker_admin_role with the customer_sagemaker_admin_policy fornece quase as mesmas permissões, AmazonSageMakerFullAccess exceto:

  • Permissão para se conectar com AWS RoboMaker o Amazon Cognito e AWS Glue os recursos.

  • SageMaker Escalonamento automático de endpoints de IA. Você deve enviar uma RFC com Management | Advanced stack components | Identity and Access Management (IAM) | Atualizar o tipo de alteração de entidade ou política (revisão obrigatória) (ct-27tuth19k52b4) para elevar as permissões de escalonamento automático temporariamente ou permanentemente, pois o escalonamento automático exige acesso permissivo no serviço. CloudWatch

P: Como adoto a chave gerenciada pelo AWS KMS cliente na criptografia de dados em repouso?

Você deve garantir que a política de chaves tenha sido configurada adequadamente nas chaves gerenciadas pelo cliente para que os usuários ou funções relacionados do IAM possam usar as chaves. Para obter mais informações, consulte o documento de política de AWS KMS chaves.