As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar aplicativos de IA de parceiros
Os tópicos a seguir descrevem as permissões necessárias para começar a usar os Amazon SageMaker Partner AI Apps. As permissões necessárias são divididas em duas partes, dependendo do nível de permissões do usuário:
-
Permissões administrativas — Permissões para administradores que configuram ambientes de cientistas de dados e desenvolvedores de aprendizado de máquina (ML).
-
AWS Marketplace
-
Gerenciamento de aplicativos de IA de parceiros
-
AWS License Manager
-
-
Permissões de usuário — permissões para cientistas de dados e desenvolvedores de aprendizado de máquina.
-
Autorização de usuários
-
Propagação de identidade
-
Acesso ao SDK
-
Pré-requisitos
Os administradores podem preencher os seguintes pré-requisitos para configurar os Partner AI Apps.
-
(Opcional) Integração a um domínio de SageMaker IA. Os aplicativos de IA de parceiros podem ser acessados diretamente de um domínio de SageMaker IA. Para obter mais informações, consulte Visão geral do domínio Amazon SageMaker AI.
-
Se estiver usando Partner AI Apps em um domínio de SageMaker IA no modo somente VPC, os administradores devem criar um endpoint com o seguinte formato para se conectar aos Partner AI Apps. Para obter mais informações sobre como usar o Studio no modo somente VPC, consulte. Conecte o Amazon SageMaker Studio em uma VPC a recursos externos
aws.sagemaker.region.partner-app
-
-
(Opcional) Se os administradores estiverem interagindo com o domínio usando o AWS CLI, eles também deverão preencher os seguintes pré-requisitos.
-
Atualize o AWS CLI seguindo as etapas em Instalando a AWS CLI versão atual.
-
Na máquina local, execute
aws configuree forneça AWS as credenciais. Para obter informações sobre AWS credenciais, consulte Entendendo e obtendo suas AWS credenciais.
-
Permissões administrativas
O administrador deve adicionar as seguintes permissões para habilitar os aplicativos de IA do parceiro na SageMaker IA.
-
Permissão para concluir a AWS Marketplace assinatura do Partner AI Apps
-
Configurar a função de execução do Partner AI App
AWS Marketplace assinatura do Partner AI Apps
Os administradores devem concluir as etapas a seguir para adicionar permissões para. AWS Marketplace Para obter informações sobre o uso AWS Marketplace, consulte Como começar como comprador usando AWS Marketplace.
-
Conceda permissões para AWS Marketplace. Os administradores do Partner AI Apps precisam dessas permissões para comprar assinaturas do Partner AI Apps em. AWS Marketplace Para ter acesso AWS Marketplace, os administradores devem anexar a política
AWSMarketplaceManageSubscriptionsgerenciada à função do IAM que estão usando para acessar o console de SageMaker IA e comprar o aplicativo. Para obter detalhes sobre a políticaAWSMarketplaceManageSubscriptionsgerenciada, consulte políticas AWS gerenciadas para AWS Marketplace compradores. Para obter informações sobre como anexar políticas gerenciadas, consulte Adicionar e remover permissões de identidade do IAM. -
Conceda permissões para que a SageMaker IA execute operações em nome dos administradores usando outros. Serviços da AWS Os administradores devem conceder permissões de SageMaker IA para usar esses serviços e os recursos com os quais eles atuam. A definição de política a seguir demonstra como conceder as permissões necessárias do Partner AI Apps. Essas permissões são necessárias além das permissões existentes para a função de administrador. Para obter mais informações, consulte Como usar funções de execução de SageMaker IA.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreatePartnerApp", "sagemaker:DeletePartnerApp", "sagemaker:UpdatePartnerApp", "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl", "sagemaker:CreatePartnerApp", "sagemaker:AddTags", "sagemaker:ListTags", "sagemaker:DeleteTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Configurar a função de execução do Partner AI App
-
Os aplicativos de IA de parceiros exigem uma função de execução para interagir com os recursos no Conta da AWS. Os administradores podem criar essa função de execução usando o. AWS CLI O Partner AI App usa essa função para concluir ações relacionadas à funcionalidade do Partner AI App.
aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }' -
Crie a função AWS License Manager vinculada ao serviço seguindo as etapas em Criar uma função vinculada ao serviço para o License Manager.
-
Conceda permissões para que o Partner AI App acesse o License Manager usando AWS CLI o. Essas permissões são necessárias para acessar as licenças do Partner AI App. Isso permite que o Partner AI App verifique o acesso à licença do Partner AI App.
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "license-manager:ExtendLicenseConsumption", "license-manager:GetLicense", "license-manager:GetLicenseUsage" ], "Resource": "*" } }' -
Se o aplicativo Partner AI exigir acesso a um bucket do Amazon S3, adicione as permissões do Amazon S3 à função de execução. Para obter mais informações, consulte Permissões necessárias para operações de API do Amazon S3.
Permissões de usuário
Depois que os administradores concluírem as configurações de permissões administrativas, eles devem garantir que os usuários tenham as permissões necessárias para acessar os Partner AI Apps.
-
Conceda permissões para que a SageMaker IA execute operações em seu nome usando outros Serviços da AWS. Os administradores devem conceder permissões de SageMaker IA para usar esses serviços e os recursos com os quais eles atuam. Os administradores concedem essas permissões à SageMaker AI usando uma função de execução do IAM. Para obter mais informações sobre as funções do IAM, consulte Funções do IAM. A definição de política a seguir demonstra como conceder as permissões necessárias do Partner AI Apps. Essa política pode ser adicionada à função de execução do perfil do usuário. Para obter mais informações, consulte Como usar funções de execução de SageMaker IA.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl" ], "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*" } ] } -
(Opcional) Ao iniciar os aplicativos Partner AI do Studio, adicione a política de
sts:TagSessionconfiança à função usada para iniciar o Studio ou os Partner AI Apps diretamente da seguinte forma. Isso garante que a identidade possa ser propagada adequadamente.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } -
(Opcional) Se estiver usando o SDK de um aplicativo Partner AI para acessar a funcionalidade na SageMaker IA, adicione a seguinte
CallPartnerAppApipermissão à função usada para executar o código do SDK. Se estiver executando o código do SDK do Studio, adicione a permissão à função de execução do Studio. Se estiver executando o código de qualquer lugar que não seja o Studio, adicione a permissão à função do IAM usada com o notebook. Isso dá ao usuário acesso à funcionalidade do Partner AI App a partir do SDK do Partner AI App.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "sagemaker:CallPartnerAppApi" ], "Resource": [ "arn:aws:sagemaker:region:account:partner-app/app" ] } ] }
Gerencie a autorização e a autenticação do usuário
Para fornecer acesso aos Partner AI Apps aos membros de sua equipe, os administradores devem garantir que a identidade de seus usuários seja propagada para os Partner AI Apps. Essa propagação garante que os usuários possam acessar adequadamente a interface do usuário do Partner AI Apps e realizar ações autorizadas do Partner AI App.
Os aplicativos de IA do parceiro oferecem suporte às seguintes fontes de identidade:
-
AWS IAM Identity Center
-
Provedores de identidade externos (IdPs)
-
Identidade baseada em sessões do IAM
As seções a seguir fornecem informações sobre as fontes de identidade suportadas pelo Partner AI Apps, bem como detalhes importantes relacionados a essa fonte de identidade.
Se um usuário for autenticado no Studio usando o IAM Identity Center e iniciar um aplicativo do Studio, o IAM Identity Center será UserName propagado automaticamente como a identidade do usuário de um aplicativo Partner AI. Esse não é o caso se o usuário iniciar o aplicativo Partner AI diretamente usando a CreatePartnerAppPresignedUrl API.
Ao usar o SAML para Conta da AWS federação, os administradores têm duas opções para transferir a identidade do IdP como a identidade do usuário para um aplicativo Partner AI. Para obter informações sobre como configurar a Conta da AWS federação, consulte Como configurar o SAML 2.0 para Conta da AWS federação
-
Tag principal — Os administradores podem configurar o aplicativo IAM Identity Center específico do IDP para transmitir informações de identidade da sessão inicial usando a AWS sessão
PrincipalTagcom o atributo a seguir.NameAo usar o SAML, a sessão de função inicial usa uma função do IAM. Para usar oPrincipalTag, os administradores devem adicionar asts:TagSessionpermissão a essa função inicial, bem como à função de execução do Studio. Para obter mais informações sobrePrincipalTag, consulte Configurar asserções SAML para a resposta de autenticação.https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser -
Nome da sessão inicial — Os administradores podem propagar o nome da sessão inicial como a identidade do aplicativo Partner AI. Para fazer isso, eles devem definir o sinalizador de
EnableIamSessionBasedIdentityaceitação para cada aplicativo Partner AI. Para obter mais informações, consulte EnableIamSessionBasedIdentity.
Importante
Não recomendamos usar esse método para contas de produção. Para contas de produção, use um provedor de identidade para aumentar a segurança.
SageMaker A IA oferece suporte às seguintes opções de propagação de identidade ao usar uma identidade baseada em sessão do IAM. Todas as opções, exceto o uso de uma tag de sessão com AWS STS, exigem a configuração do sinalizador de EnableIamSessionBasedIdentity aceitação para cada aplicativo. Para obter mais informações, consulte EnableIamSessionBasedIdentity.
Ao propagar identidades, a SageMaker IA verifica se uma tag de AWS STS sessão está sendo usada. Se um não for usado, a SageMaker IA propagará o nome de usuário ou o nome da AWS STS sessão do IAM.
-
AWS STS Tag de sessão — Os administradores podem definir uma tag de sessão para a
SageMakerPartnerAppUsersessão do IAM do launcher. Quando os administradores iniciam um aplicativo Partner AI usando o console de SageMaker IA ou o AWS CLI, a tag daSageMakerPartnerAppUsersessão é automaticamente passada como a identidade do usuário para o aplicativo Partner AI. O exemplo a seguir mostra como definir a tag daSageMakerPartnerAppUsersessão usando AWS CLI o. O valor da chave é adicionado como uma tag principal.aws sts assume-role \ --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app\ --role-session-name session_name \ --tags Key=SageMakerPartnerAppUser,Value=user-nameAo dar aos usuários acesso a um aplicativo Partner AI usando
CreatePartnerAppPresignedUrl, recomendamos verificar o valor daSageMakerPartnerAppUserchave. Isso ajuda a evitar o acesso não intencional aos recursos do Partner AI App. A política de confiança a seguir verifica se a tag da sessão corresponde exatamente ao usuário do IAM associado. Os administradores podem usar qualquer tag principal para essa finalidade. Ele deve ser configurado na função que está iniciando o Studio ou o aplicativo Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringLike": { "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}" } } } ] } -
Usuário do IAM autenticado — O nome de usuário do usuário é propagado automaticamente como usuário do Partner AI App.
-
AWS STS nome da sessão — Se nenhuma tag de
SageMakerPartnerAppUsersessão for configurada durante o uso AWS STS, o SageMaker AI retornará um erro quando os usuários iniciarem um aplicativo Partner AI. Para evitar esse erro, os administradores devem definir o sinalizador deEnableIamSessionBasedIdentityaceitação para cada aplicativo Partner AI. Para obter mais informações, consulte EnableIamSessionBasedIdentity.Quando a sinalização de
EnableIamSessionBasedIdentityaceitação estiver ativada, use a política de confiança da função do IAM para garantir que o nome da sessão do IAM seja ou contenha o nome de usuário do IAM. Isso garante que os usuários não obtenham acesso se passando por outros usuários. A política de confiança a seguir verifica se o nome da sessão corresponde exatamente ao usuário do IAM associado. Os administradores podem usar qualquer tag principal para essa finalidade. Ele deve ser configurado na função que está iniciando o Studio ou o aplicativo Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:username}" } } } ] }Os administradores também devem adicionar a política de
sts:TagSessionconfiança à função que está lançando o Studio ou o aplicativo Partner AI. Isso garante que a identidade possa ser propagada adequadamente.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] }
Depois de definir as credenciais, os administradores podem conceder aos usuários acesso ao Studio ou ao Partner AI App AWS CLI usando as chamadas de CreatePartnerAppPresignedUrl API CreatePresignedDomainUrl ou as chamadas de API, respectivamente.
Em seguida, os usuários também podem iniciar o Studio a partir do console de SageMaker IA e iniciar os aplicativos de IA do Partner a partir do Studio.
EnableIamSessionBasedIdentity
EnableIamSessionBasedIdentityé um sinalizador opcional. Quando a EnableIamSessionBasedIdentity sinalização é definida, a SageMaker IA passa as informações da sessão do IAM como a identidade do usuário do Partner AI App. Para obter mais informações sobre AWS STS sessões, consulte Usar credenciais temporárias com AWS recursos.
Controle de acesso
Para controlar o acesso aos aplicativos de IA do Partner, use uma política do IAM anexada à função de execução do perfil do usuário. Para iniciar um aplicativo Partner AI diretamente do Studio ou usando o AWS CLI, a função de execução do perfil do usuário deve ter uma política que dê permissões para a CreatePartnerAppPresignedUrl API. Remova essa permissão da função de execução do perfil de usuário para garantir que ele não possa iniciar aplicativos de IA do Partner.
Usuários administradores raiz
Os aplicativos de IA Comet e Fiddler Partner exigem pelo menos um usuário administrador raiz. Os usuários administradores root têm permissões para adicionar usuários normais e administradores e gerenciar recursos. Os nomes de usuário fornecidos como usuários administradores raiz devem ser consistentes com os nomes de usuário da fonte de identidade.
Embora os usuários administradores raiz persistam na SageMaker IA, os usuários administradores normais não existem e existem somente no Partner AI App até que o Partner AI App seja encerrado.
Os administradores podem atualizar os usuários administradores raiz usando a chamada de UpdatePartnerApp API. Quando os usuários administradores raiz são atualizados, a lista atualizada de usuários administradores raiz é passada para o aplicativo Partner AI. O aplicativo Partner AI garante que todos os nomes de usuário na lista tenham privilégios de administrador raiz. Se um usuário administrador raiz for removido da lista, o usuário ainda manterá as permissões normais de administrador até:
-
O usuário é removido do aplicativo.
-
Outro usuário administrador revoga as permissões administrativas do usuário.
nota
Fiddlernão suporta a atualização de usuários administradores. Só Comet oferece suporte a atualizações para usuários administradores root.
Para excluir um usuário administrador raiz, você deve primeiro atualizar a lista de usuários administradores raiz usando a UpdatePartnerApp API. Em seguida, remova ou revogue as permissões de administrador por meio da interface do usuário do aplicativo Partner AI.
Se você remover um usuário administrador raiz da interface do usuário do aplicativo Partner AI sem atualizar a lista de usuários administradores raiz com a UpdatePartnerApp API, a alteração será temporária. Quando a SageMaker IA envia a próxima solicitação de atualização do Partner SageMaker AI App, ela envia a lista de administradores raiz que ainda inclui o usuário para o Partner AI App. Isso substitui a exclusão concluída na interface do usuário do aplicativo Partner AI.
