Compreendendo as permissões de espaço e os perfis de execução do domínio - SageMaker IA da Amazon
SageMaker Funções de execução de IAExemplo de permissões flexíveis com perfis de execução

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compreendendo as permissões de espaço e os perfis de execução do domínio

Para muitos aplicativos de SageMaker IA, quando você inicia um aplicativo de SageMaker IA em um domínio, um espaço é criado para o aplicativo. Quando um perfil de usuário cria um espaço, esse espaço assume um perfil AWS Identity and Access Management (IAM) que define as permissões concedidas a esse espaço. A página a seguir fornece informações sobre os tipos de espaço e os perfis de execução que definem as permissões para o espaço.

Um perfil do IAM é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil.

nota

Quando você inicia o Amazon SageMaker Canvas ou RStudio, ele não cria um espaço que assume uma função do IAM. Em vez disso, você altera o perfil associado ao perfil do usuário para gerenciar suas permissões para a aplicação. Para obter informações sobre como obter a função de um perfil de usuário de SageMaker IA, consulteObtenha um perfil de execução.

Para SageMaker Canvas, consulteConfiguração e gerenciamento de permissões do Amazon SageMaker Canvas (para administradores de TI).

Para RStudio, vejaCrie um domínio Amazon SageMaker AI com o RStudio aplicativo.

Os usuários podem acessar seus aplicativos de SageMaker IA em um espaço compartilhado ou privado.

Espaços compartilhados

  • Pode haver apenas um espaço associado a uma aplicação. Um espaço compartilhado pode ser acessado por todos os perfis de usuário dentro do domínio. Isso concede a todos os perfis de usuário no domínio acesso ao mesmo sistema de armazenamento de arquivos subjacente da aplicação.

  • O espaço compartilhado receberá as permissões definidas pelo perfil de execução padrão do espaço. Se você quiser modificar o perfil de execução do espaço compartilhado, deverá modificar o perfil de execução padrão do espaço.

    Para informações sobre como obter o perfil de execução padrão do espaço, consulte Obtenha um perfil de execução de espaço.

    Para informações sobre como modificar seu perfil de execução, consulte Modificar as permissões para o perfil de execução.

  • Para obter mais informações sobre espaços compartilhados, consulte Colaboração com espaços compartilhados.

  • Para criar um espaço compartilhado, consulte Criar um espaço compartilhado.

Espaços privados

  • Pode haver apenas um espaço associado a uma aplicação. Um espaço privado só pode ser acessado pelo perfil do usuário que o criou. Esse espaço não pode ser compartilhado com outros usuários.

  • O espaço privado assumirá o perfil de execução de perfil do usuário do perfil do usuário que o criou. Se quiser modificar o perfil de execução do espaço privado, você deve modificar o perfil de execução do perfil de usuário.

    Para informações sobre como obter o perfil de execução do perfil de usuário, consulte Obtenha um perfil de execução.

    Para informações sobre como modificar seu perfil de execução, consulte Modificar as permissões para o perfil de execução.

  • Todos as aplicações que oferecem apoio a espaços também oferecem apoio a espaços privados.

  • Um espaço privado do Studio Classic já é criado para cada perfil de usuário por padrão.

SageMaker Funções de execução de IA

Uma função de execução de SageMaker IA é uma função de AWS Identity and Access Management (IAM) atribuída a uma identidade do IAM que está realizando execuções SageMaker em IA. Uma identidade do IAM fornece acesso a uma AWS conta e representa um usuário humano ou uma carga de trabalho programática que pode ser autenticada e depois autorizada a realizar ações AWS, concedendo permissões à SageMaker IA para acessar outros AWS recursos em seu nome. Essa função permite que a SageMaker IA execute ações como iniciar instâncias de computação, acessar dados e artefatos de modelos armazenados no Amazon S3 ou gravar registros no. CloudWatch SageMaker A IA assume a função de execução em tempo de execução e recebe temporariamente as permissões definidas na política da função. O perfil deve conter as permissões necessárias que definam as ações que a identidade pode realizar e os recursos aos quais a identidade tem acesso. Você pode atribuir funções a várias identidades para fornecer uma abordagem flexível e granular para gerenciar permissões e acesso em seu domínio. Para obter mais informações sobre domínios, consulte Visão geral do domínio Amazon SageMaker AI. Por exemplo, você pode atribuir perfis do IAM para:

  • Perfil de execução do domínio para conceder permissões amplas a todos os perfis de usuário dentro do domínio.

  • Perfil de execução do espaço para conceder permissões amplas para espaços compartilhados dentro do domínio. Todos os perfis de usuário no domínio podem acessar espaços compartilhados e usarão o perfil de execução do espaço enquanto estiverem dentro do espaço compartilhado.

  • Perfil de execução do perfil de usuário para conceder permissões refinadas para perfis de usuário específicos. Um espaço privado criado por um perfil de usuário assumirá o perfil de execução desse perfil de usuário.

Isso possibilita que você conceda as permissões necessárias ao domínio enquanto mantém o princípio das permissões de privilégio mínimo para perfis de usuário, a fim de seguir as práticas recomendadas de segurança do IAM no Guia do usuário do AWS IAM Identity Center .

Quaisquer alterações ou modificações nos perfis de execução podem levar alguns minutos para serem propagadas. Para obter mais informações, consulte Mudar o perfil de execução ou Modificar as permissões para o perfil de execução, respectivamente.

Exemplo de permissões flexíveis com perfis de execução

Com os perfis do IAM, você pode gerenciar e conceder permissões em níveis amplos e granulares. O exemplo a seguir inclui a concessão de permissões no nível do espaço e no nível do usuário.

Suponha que você seja um administrador configurando um domínio para uma equipe de cientistas de dados. Você pode permitir que os perfis de usuário dentro do domínio tenham acesso total aos buckets do Amazon Simple Storage Service (Amazon S3), SageMaker executem trabalhos de treinamento e implantem modelos usando um aplicativo em um espaço compartilhado. Neste exemplo, você pode criar uma função do IAM chamada "DataScienceTeamRole" com amplas permissões. Em seguida, você pode atribuir DataScienceTeamRole "" como a função de execução padrão do espaço, concedendo amplas permissões para sua equipe. Quando um perfil de usuário cria um espaço compartilhado, esse espaço assumirá o perfil de execução padrão do espaço. Para obter informações sobre como atribuir um perfil de execução a um domínio existente, consulte Obtenha um perfil de execução de espaço.

Em vez de permitir que qualquer perfil de usuário individual trabalhando em seu próprio espaço privado tenha acesso total aos buckets do Amazon S3, você pode restringir as permissões de um perfil de usuário e não permitir que ele altere os buckets do Amazon S3. Neste exemplo, você pode dar a eles acesso de leitura aos buckets do Amazon S3 para recuperar dados, executar trabalhos de SageMaker treinamento e implantar modelos em seu espaço privado. Você pode criar uma função de execução em nível de usuário chamada "DataScientistRole" com as permissões relativamente mais limitadas. Em seguida, você pode atribuir DataScientistRole "" à função de execução do perfil de usuário, concedendo as permissões necessárias para realizar suas tarefas específicas de ciência de dados dentro do escopo definido. Quando um perfil de usuário cria um espaço privado, esse espaço assumirá o perfil de execução do usuário. Para obter informações sobre como atribuir um perfil de execução a um perfil de usuário existente, consulte Obtenha um perfil de execução.

Para obter informações sobre funções de execução de SageMaker IA e como adicionar permissões adicionais a elas, consulteComo usar funções de execução de SageMaker IA.