View a markdown version of this page

Configurar permissões do IAM para MLflow aplicativos - SageMaker IA da Amazon
Configure as permissões MLflow do IAM ao criar um novo domínioCriar os perfis de serviço do IAM necessários no console do IAMCriar controles de autorização específicos para ações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar permissões do IAM para MLflow aplicativos

Você deve configurar as funções de serviço do IAM necessárias para começar a usar MLflow os aplicativos na Amazon SageMaker AI.

Se você criar um novo domínio do Amazon SageMaker AI para acessar seus experimentos no Studio, poderá configurar as permissões necessárias do IAM durante a configuração do domínio. Para obter mais informações, consulte Configure as permissões MLflow do IAM ao criar um novo domínio.

Para configurar as permissões usando o console do IAM, consulte Criar os perfis de serviço do IAM necessários no console do IAM.

Você deve configurar os controles de autorização para ações com sagemaker-mlflow. Opcionalmente, você pode definir controles de autorização mais granulares para controlar as permissões específicas da ação. MLflow Para obter mais informações, consulte Criar controles de autorização específicos para ações.

Configure as permissões MLflow do IAM ao criar um novo domínio

Ao configurar um novo domínio do Amazon SageMaker AI para sua organização, você pode configurar as permissões do IAM para sua função de serviço de domínio por meio das configurações Usuários e Atividades de ML.

  1. Configure um novo domínio usando o console de SageMaker IA. Na página Configurar domínio SageMaker AI, escolha Configurar para organizações. Para obter mais informações, consulte Configuração personalizada usando o console.

  2. Ao configurar usuários e atividades de ML, escolha entre as seguintes atividades de ML para MLflow: Usar MLflow, gerenciar MLflow aplicativos e acesso necessário aos AWS serviços para MLflow. Para obter mais informações sobre essas atividades, consulte as explicações posteriores a esse processo.

  3. Conclua a configuração e a criação do seu novo domínio.

As seguintes atividades MLflow de ML estão disponíveis no Amazon SageMaker Role Manager:

  • Uso MLflow: essa atividade de ML concede à função de serviço do domínio permissão para chamar MLflow REST APIs para gerenciar experimentos, execuções e modelos em MLflow.

  • Gerenciar MLflow aplicativos: essa atividade de ML concede à função de serviço do domínio permissão para criar, atualizar e excluir MLflow aplicativos.

  • Acesso necessário Serviços da AWS para MLflow aplicativos: essa atividade de ML fornece as permissões de função de serviço de domínio necessárias para acessar o Amazon S3 e o SageMaker AI Model Registry. Isso permite que você use o perfil de serviço de domínio como o perfil de serviço do servidor de rastreamento.

Para obter mais informações sobre atividades de ML no Gerenciador de Perfis, consulte Referência da atividade de ML.

Criar os perfis de serviço do IAM necessários no console do IAM

Se você não criou ou atualizou sua função de serviço de domínio, você deve criar as seguintes funções de serviço no console do IAM para criar e usar um MLflow aplicativo:

  • Uma função de serviço do MLflow App IAM que o aplicativo pode usar para acessar recursos de SageMaker IA

  • Uma função de serviço do SageMaker SageMaker AI IAM que a IA pode usar para criar e gerenciar MLflow recursos

Políticas do IAM para a função de serviço do MLflow App IAM

A função de serviço do MLflow App IAM é usada pelo aplicativo para acessar os recursos necessários, como o Amazon S3 e o SageMaker Model Registry.

Ao criar a função de serviço do IAM do aplicativo, use a seguinte política de confiança do IAM:

JSON
{
     "Version":"2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Principal": {
                 "Service": [                     
                      "sagemaker.amazonaws.com"
                 ]
             },
             "Action": "sts:AssumeRole"
         }
     ]
 }

No console do IAM, adicione a seguinte política de permissões à sua função de serviço de aplicativo:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:Put*",
                "s3:List*",
                "sagemaker:AddTags",
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:UpdateModelPackage",
                "sagemaker:DescribeModelPackageGroup"
            ],
            "Resource": "*"
        }
    ]
}

Política do IAM para a função de serviço SageMaker AI IAM

A função de serviço de SageMaker IA é usada pelo cliente que acessa o MLflow aplicativo e precisa de permissões para chamar o MLflow REST APIs. A função de serviço de SageMaker IA também precisa de permissões de SageMaker API para criar, visualizar, atualizar e excluir aplicativos.

Você pode criar um novo perfil ou atualizar o existente. A função de serviço de SageMaker IA precisa da seguinte política:

JSON
{
    "Version":"2012-10-17",    
    "Statement": [        
        {            
            "Effect": "Allow",            
            "Action": [
                "sagemaker-mlflow:*",
                "sagemaker:CreateMlflowTrackingServer",
                "sagemaker:ListMlflowTrackingServers",
                "sagemaker:UpdateMlflowTrackingServer",
                "sagemaker:DeleteMlflowTrackingServer",
                "sagemaker:StartMlflowTrackingServer",
                "sagemaker:StopMlflowTrackingServer",
                "sagemaker:CreatePresignedMlflowTrackingServerUrl"
            ],            
            "Resource": "*"        
        }        
    ]
}

Criar controles de autorização específicos para ações

Você deve configurar controles de autorização esagemaker-mlflow, opcionalmente, pode configurar controles de autorização específicos da ação para controlar MLflow as permissões mais granulares que seus usuários têm em um aplicativo. MLflow

nota

As etapas a seguir pressupõem que você já tenha um ARN para um MLflow aplicativo disponível.

Ações do Data Plane IAM compatíveis com MLflow aplicativos

As seguintes MLflow ações de SageMaker IA são compatíveis com o controle de acesso por autorização:

  • sábio: CallMlflowAppApi