As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar permissões do IAM para aplicativos MLflow
Você deve configurar as funções de serviço do IAM necessárias para começar a usar os aplicativos MLflow na Amazon SageMaker AI.
Se você criar um novo domínio do Amazon SageMaker AI para acessar seus experimentos no Studio, poderá configurar as permissões necessárias do IAM durante a configuração do domínio. Para obter mais informações, consulte [Configurar permissões do MLflow ao criar um novo domínio](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-role-manager).
Para configurar as permissões usando o console do IAM, consulte [Criar os perfis de serviço do IAM necessários no console do IAM](mlflow-create-tracking-server-iam.md#mlflow-create-tracking-server-iam-service-roles).
Você deve configurar os controles de autorização para ações com `sagemaker-mlflow`. Ou então, você pode definir controles de autorização mais detalhados para controlar as permissões do MLflow específicas para ações. Para obter mais informações, consulte [Criar controles de autorização específicos para ações](#mlflow-create-app-update-iam-actions).
## Configurar permissões do MLflow ao criar um novo domínio
Ao configurar um novo domínio do Amazon SageMaker AI para sua organização, você pode configurar as permissões do IAM para sua função de serviço de domínio por meio das configurações **Usuários e Atividades de ML**.
1. Configure um novo domínio usando o console de SageMaker IA. Na página **Configurar domínio SageMaker AI**, escolha **Configurar para organizações**. Para obter mais informações, consulte [Configuração personalizada usando o console](onboard-custom.md#onboard-custom-instructions-console).
1. Ao configurar **usuários e atividades de ML**, escolha entre as seguintes atividades de ML para MLflow: **usar MLflow**, **gerenciar aplicativos MLflow** e **acesso necessário aos AWS serviços para** MLflow. Para obter mais informações sobre essas atividades, consulte as explicações posteriores a esse processo.
1. Conclua a configuração e a criação do seu novo domínio.
As seguintes atividades do MLflow ML estão disponíveis no Amazon SageMaker Role Manager:
+ **Usar o MLflow**: essa atividade do ML concede ao perfil de serviço do domínio permissão para chamar as APIs REST do MLflow para gerenciar experimentos, execuções e modelos no MLflow.
+ **Gerenciar aplicativos MLflow**: essa atividade de ML concede à função de serviço de domínio permissão para criar, atualizar e excluir aplicativos MLflow.
+ **Acesso necessário Serviços da AWS para aplicativos MLflow**: essa atividade de ML fornece as permissões de função de serviço de domínio necessárias para acessar o Amazon S3 e SageMaker o AI Model Registry. Isso permite que você use o perfil de serviço de domínio como o perfil de serviço do servidor de rastreamento.
Para obter mais informações sobre atividades de ML no Gerenciador de Perfis, consulte [Referência da atividade de ML](role-manager-ml-activities.md).
## Criar os perfis de serviço do IAM necessários no console do IAM
Se você não criou ou atualizou sua função de serviço de domínio, você deve criar as seguintes funções de serviço no console do IAM para criar e usar um MLflow Apps:
+ Uma função do serviço MLflow App IAM que o aplicativo pode usar para acessar recursos de SageMaker IA
+ Uma função de serviço do SageMaker AI IAM que a SageMaker IA pode usar para criar e gerenciar recursos do MLflow
### Políticas do IAM para a função de serviço do MLflow App IAM
A função de serviço MLflow App IAM é usada pelo aplicativo para acessar os recursos necessários, como o Amazon S3 e SageMaker o Model Registry.
Ao criar a função de serviço do IAM do aplicativo, use a seguinte política de confiança do IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
No console do IAM, adicione a seguinte política de permissões à sua função de serviço de aplicativo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:Put*",
"s3:List*",
"sagemaker:AddTags",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:UpdateModelPackage",
"sagemaker:DescribeModelPackageGroup"
],
"Resource": "{{*}}"
}
]
}
```
------
### Política do IAM para a função de serviço SageMaker AI IAM
A função de serviço de SageMaker IA é usada pelo cliente que acessa o aplicativo MLflow e precisa de permissões para chamar as APIs REST do MLflow. A função de serviço de SageMaker IA também precisa de permissões de SageMaker API para criar, visualizar, atualizar e excluir aplicativos.
Você pode criar um novo perfil ou atualizar o existente. A função de serviço de SageMaker IA precisa da seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*",
"sagemaker:CreateMlflowTrackingServer",
"sagemaker:ListMlflowTrackingServers",
"sagemaker:UpdateMlflowTrackingServer",
"sagemaker:DeleteMlflowTrackingServer",
"sagemaker:StartMlflowTrackingServer",
"sagemaker:StopMlflowTrackingServer",
"sagemaker:CreatePresignedMlflowTrackingServerUrl"
],
"Resource": "*"
}
]
}
```
------
## Criar controles de autorização específicos para ações
Você deve configurar controles de autorização e`sagemaker-mlflow`, opcionalmente, pode configurar controles de autorização específicos da ação para controlar permissões de MLflow mais granulares que seus usuários têm em um aplicativo MLflow.
**nota**
As etapas a seguir pressupõem que você já tenha um ARN para um aplicativo MLflow disponível.
### Ações do Data Plane IAM compatíveis com aplicativos MLflow
As seguintes ações do SageMaker AI MLflow são suportadas para controle de acesso de autorização:
+ sábio: CallMlflowAppApi