Configurar aplicativos de IA para parceiros - SageMaker Inteligência Artificial da Amazon
Pré-requisitosPermissões administrativasPermissões de usuário

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar aplicativos de IA para parceiros

Os tópicos a seguir descrevem as permissões necessárias para começar a usar os Amazon SageMaker Partner AI Apps. As permissões necessárias estão divididas em duas partes, dependendo do nível de permissão do usuário:

  • Permissões administrativas: permissões para administradores que configuram ambientes para cientistas de dados e desenvolvedores de machine learning (ML).

    • AWS Marketplace

    • Gerenciamento de aplicativos de IA para parceiros

    • AWS License Manager

  • Permissões de usuário: permissões para cientistas de dados e desenvolvedores de machine learning.

    • Autorização de usuários

    • Propagação de identidade

    • Acesso ao SDK

Pré-requisitos

Os administradores podem atender aos pré-requisitos a seguir para configurar aplicativos de IA para parceiros.

  • (Opcional) Integração a um domínio de SageMaker IA. Os aplicativos de IA de parceiros podem ser acessados diretamente de um domínio de SageMaker IA. Para obter mais informações, consulte Visão geral do domínio Amazon SageMaker AI.

    • Se estiver usando Partner AI Apps em um domínio de SageMaker IA no modo somente VPC, os administradores devem criar um endpoint com o seguinte formato para se conectar aos Partner AI Apps. Para ter mais informações sobre como usar o Studio no modo somente VPC, consulte Conecte o Amazon SageMaker Studio em uma VPC a recursos externos. 

      aws.sagemaker.region.partner-app

  • (Opcional) Se os administradores estiverem interagindo com o domínio usando o AWS CLI, eles também deverão preencher os seguintes pré-requisitos.

    1. Atualize o AWS CLI seguindo as etapas em Instalando a AWS CLI versão atual

    2. Na máquina local, execute aws configure e forneça as credenciais da AWS . Para obter informações sobre AWS credenciais, consulte Entendendo e obtendo suas AWS credenciais.

Permissões administrativas

O administrador deve adicionar as seguintes permissões para habilitar os aplicativos de IA do parceiro na SageMaker IA.

  • Permissão para concluir a AWS Marketplace assinatura do Partner AI Apps

  • Permissão para configurar o perfil de execução do aplicativo de IA para parceiros.

AWS Marketplace assinatura do Partner AI Apps

Os administradores devem concluir as etapas a seguir para adicionar permissões para. AWS Marketplace Para obter informações sobre o uso AWS Marketplace, consulte Como começar como comprador usando AWS Marketplace.

  1. Conceda permissões para AWS Marketplace. Os administradores do Partner AI Apps precisam dessas permissões para comprar assinaturas do Partner AI Apps em. AWS Marketplace Para ter acesso AWS Marketplace, os administradores devem anexar a política AWSMarketplaceManageSubscriptions gerenciada à função do IAM que estão usando para acessar o console de SageMaker IA e comprar o aplicativo. Para obter detalhes sobre a política AWSMarketplaceManageSubscriptions gerenciada, consulte políticas AWS gerenciadas para AWS Marketplace compradores. Para ter informações sobre como anexar políticas gerenciadas, Adicionar e remover permissões de identidade do IAM.

  2. Conceda permissões para que a SageMaker IA execute operações em nome dos administradores usando outros. Serviços da AWS Os administradores devem conceder permissões de SageMaker IA para usar esses serviços e os recursos com os quais eles atuam. A definição de política a seguir demonstra como conceder as permissões necessárias para os aplicativos de IA para parceiros. Além das permissões existentes para o perfil de administrador, essas permissões também são necessárias. Para obter mais informações, consulte Como usar funções de execução de SageMaker IA.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Permissão para configurar o perfil de execução do aplicativo de IA para parceiros.

  1. O recurso Aplicativos de IA para Parceiros exige um perfil de execução para interagir com os recursos na Conta da AWS. Os administradores podem criar esse perfil de execução usando a AWS CLI. O aplicativo de IA para parceiros usa esse perfil para executar ações relacionadas à funcionalidade Aplicativos de IA para Parceiros. 

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. Crie a função AWS License Manager vinculada ao serviço seguindo as etapas em Criar uma função vinculada ao serviço para o License Manager

  3. Conceda permissões para que o aplicativo de IA para parceiros acesse o License Manager usando a AWS CLI. Essas permissões são necessárias para acessar as licenças do aplicativo de IA para parceiros. Isso permite que o aplicativo de IA para parceiros verifique o acesso à licença do aplicativo.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Se o aplicativo de IA para parceiros exigir acesso a um bucket do Amazon S3, adicione as permissões do Amazon S3 ao perfil de execução. Para ter mais informações, consulte Permissões obrigatórias para operações de API do Amazon S3.

Configurar a integração com o Amazon Bedrock

Aplicativos de IA de parceiros, como o Deepchecks, oferecem suporte à integração com o Amazon Bedrock para habilitar recursos de avaliação baseados em LLM. Ao configurar um aplicativo Partner AI com o suporte do Amazon Bedrock, os administradores podem especificar quais modelos básicos e perfis de inferência estão disponíveis para uso no aplicativo. Se você precisar aumentar o limite de cota para seus modelos do Amazon Bedrock, consulte Solicitar um aumento para as cotas do Amazon Bedrock.

  1. Certifique-se de que a função de execução do Partner AI App tenha as permissões necessárias do Amazon Bedrock. Adicione as seguintes permissões para permitir o acesso ao modelo Amazon Bedrock:

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{
	   "Version": "2012-10-17",
	   "Statement": {
	     "Effect": "Allow",
	     "Action": [
	       "bedrock:InvokeModel",
	       "bedrock:GetFoundationModel",
	       "bedrock:GetInferenceProfile"
	     ],
	     "Resource": "*"
	   }
	 }'

  2. Identifique os modelos do Amazon Bedrock que sua organização deseja disponibilizar para o aplicativo Partner AI. Você pode ver os modelos disponíveis na sua região usando o console Amazon Bedrock. Para obter informações sobre a disponibilidade do modelo em todas as regiões, consulte Suporte de modelos por Região da AWS.

  3. (Opcional) Crie perfis de inferência gerenciados pelo cliente para controle de custos e gerenciamento de modelos. Os perfis de inferência permitem que você acompanhe o uso do Amazon Bedrock especificamente para o aplicativo Partner AI e podem permitir a inferência entre regiões quando os modelos não estão disponíveis na sua região atual. Para obter mais informações, consulte Uso de perfis de inferência no Amazon Bedrock.

  4. Ao criar ou atualizar o aplicativo Partner AI, especifique os modelos e perfis de inferência permitidos usando a UpdatePartnerApp API CreatePartnerApp ou. O aplicativo Partner AI só poderá acessar os modelos e perfis de inferência que você configura explicitamente.

Importante

O uso do Amazon Bedrock por meio do Partner AI Apps é cobrado diretamente de você Conta da AWS usando seus preços existentes do Amazon Bedrock. Os custos de infraestrutura do Partner AI App são separados dos custos de inferência do modelo Amazon Bedrock.

Deepcheck a integração com o Amazon Bedrock

O Deepchecks oferece suporte à integração do Amazon Bedrock para recursos de avaliação baseados em LLM, incluindo:

  • LLM como avaliação de juízes - Use modelos básicos para avaliar automaticamente os resultados do modelo quanto à qualidade, relevância e outros critérios

  • Anotação automatizada - Gere rótulos e anotações para conjuntos de dados usando modelos básicos

  • Análise de conteúdo - Analise dados de texto em busca de viés, toxicidade e outras métricas de qualidade usando os recursos do LLM

Para obter informações detalhadas sobre os recursos e a configuração do Amazon Bedrock do Deepcheck, consulte a documentação do Deepchecks no aplicativo.

Permissões de usuário

Depois que os administradores concluírem as configurações de permissões administrativas, eles devem garantir que os usuários tenham as permissões necessárias para acessar os aplicativos de IA para parceiros.

  1. Conceda permissões para que a SageMaker IA execute operações em seu nome usando outros Serviços da AWS. Os administradores devem conceder permissões de SageMaker IA para usar esses serviços e os recursos com os quais eles atuam. Os administradores concedem essas permissões à SageMaker AI usando uma função de execução do IAM. Para ter mais informações sobre perfis do IAM, consulte Perfis do IAM. A definição de política a seguir demonstra como conceder as permissões necessárias para os aplicativos de IA para parceiros. Essa política pode ser adicionada ao perfil de execução do perfil de usuário.  Para obter mais informações, consulte Como usar funções de execução de SageMaker IA.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (Opcional) Ao iniciar o recurso Aplicativos de IA para Parceiros no Studio, adicione a política de confiança sts:TagSession ao perfil usado para iniciar o Studio ou iniciar diretamente o recurso Aplicativos de IA para Parceiros da forma a seguir. Isso garante que a identidade possa ser propagada adequadamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (Opcional) Se estiver usando o SDK de um aplicativo Partner AI para acessar a funcionalidade na SageMaker IA, adicione a seguinte CallPartnerAppApi permissão à função usada para executar o código do SDK. Se estiver executando o código do SDK no Studio, adicione a permissão ao perfil de execução do Studio. Se estiver executando o código de qualquer lugar que não seja o Studio, adicione a permissão ao perfil do IAM usado com o caderno. Isso dá ao usuário acesso à funcionalidade Aplicativos de IA para Parceiros por meio do SDK do aplicativo de IA para parceiros.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:partner-app/app"
            ]
        }
    ]
}

Gerenciar a autorização e autenticação de usuário

Para oferecer acesso aos aplicativos de IA para parceiros aos membros de sua equipe, os administradores devem garantir que a identidade dos usuários seja propagada para os aplicativos de IA para parceiros. Essa propagação garante que os usuários possam acessar adequadamente a interface de usuário dos aplicativos de IA para parceiro e realizar ações autorizadas do respectivo aplicativo.

Os aplicativos de IA para parceiros permitem as seguintes fontes de identidade:

  • AWS IAM Identity Center

  • Provedores de identidade externos (IdPs) 

  • Identidade baseada em sessão do IAM

As seções a seguir fornecem informações sobre as fontes de identidade que o recurso Aplicativos de AI para Parceiros aceita, bem como detalhes importantes relacionados a essas fontes.

Se um usuário for autenticado no Studio usando o Centro de Identidade do IAM e iniciar um aplicativo por meio do Studio, o UserName do Centro de Identidade do IAM será propagado automaticamente como a identidade de usuário de um aplicativo de IA para parceiros. Isso não se aplicará se o usuário iniciar o aplicativo de IA para parceiros diretamente com a API CreatePartnerAppPresignedUrl.

Ao usar o SAML para Conta da AWS federação, os administradores têm duas opções para transferir a identidade do IdP como a identidade do usuário para um aplicativo Partner AI. Para obter informações sobre como configurar a Conta da AWS federação, consulte Como configurar o SAML 2.0 para Conta da AWS federação

  • Tag principal — Os administradores podem configurar o aplicativo IAM Identity Center específico do IDP para transmitir informações de identidade da sessão inicial usando a AWS sessão PrincipalTag com o atributo a seguir. Name Ao usar o SAML, a sessão de perfil inicial usa um perfil do IAM. Para usar PrincipalTag, os administradores devem adicionar a permissão sts:TagSession a esse perfil inicial, bem como o perfil de execução do Studio. Para ter mais informações sobre a PrincipalTag, consulte Configurar declarações SAML para a resposta de autenticação. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Nome da sessão inicial: os administradores podem propagar o nome da sessão inicial como a identidade do aplicativo de IA para parceiros. Para fazer isso, eles devem definir o sinalizador EnableIamSessionBasedIdentity de aceitação para cada aplicativo de IA para parceiros. Para obter mais informações, consulte EnableIamSessionBasedIdentity.

Importante

Não recomendamos usar esse método para contas de produção. Para contas de produção, use um provedor de identidade para aumentar a segurança.

SageMaker A IA oferece suporte às seguintes opções de propagação de identidade ao usar uma identidade baseada em sessão do IAM. Todas as opções, exceto o uso de uma tag de sessão com AWS STS, exigem a configuração do sinalizador de EnableIamSessionBasedIdentity aceitação para cada aplicativo. Para obter mais informações, consulte EnableIamSessionBasedIdentity.

Ao propagar identidades, a SageMaker IA verifica se uma tag de AWS STS sessão está sendo usada. Se um não for usado, a SageMaker IA propagará o nome de usuário ou o nome da AWS STS sessão do IAM.

  • AWS STS Tag de sessão — Os administradores podem definir uma tag de sessão para a SageMakerPartnerAppUser sessão do IAM do launcher. Quando os administradores iniciam um aplicativo Partner AI usando o console de SageMaker IA ou o AWS CLI, a tag da SageMakerPartnerAppUser sessão é automaticamente passada como a identidade do usuário para o aplicativo Partner AI. O exemplo a seguir mostra como definir a tag de sessão SageMakerPartnerAppUser usando a AWS CLI. O valor da chave é adicionado como tag de entidade principal.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Ao permitir que os usuários acessem um aplicativo de IA para parceiros usando CreatePartnerAppPresignedUrl, recomendamos verificar o valor da chave SageMakerPartnerAppUser. Isso ajuda a evitar o acesso indesejado aos recursos dos aplicativos de IA para parceiros. A política de confiança a seguir verifica se a tag de sessão corresponde exatamente ao usuário do IAM correspondente. Os administradores podem usar qualquer tag de entidade principal para essa finalidade. Ela deve ser configurada no perfil que está iniciando o Studio ou no aplicativo de IA para parceiros.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}"
                }
            }
        }
    ]
}

  • Usuário do IAM autenticado: o nome do usuário é propagado automaticamente como usuário do aplicativo de IA para parceiros.

  • AWS STS nome da sessão — Se nenhuma tag de SageMakerPartnerAppUser sessão for configurada durante o uso AWS STS, o SageMaker AI retornará um erro quando os usuários iniciarem um aplicativo Partner AI. Para fazer esse erro, os administradores devem definir o sinalizador de aceitação EnableIamSessionBasedIdentity para cada aplicativo de IA para parceiros. Para obter mais informações, consulte EnableIamSessionBasedIdentity.

    Quando o sinalizador de aceitação EnableIamSessionBasedIdentity estiver habilitado, use a política de confiança do perfil do IAM para garantir que o nome da sessão do IAM seja ou contenha o nome de usuário do IAM. Isso garante que os usuários não obtenham acesso fazendo-se passar por outros usuários. A política de confiança a seguir verifica se o nome da sessão corresponde exatamente ao usuário do IAM em questão. Os administradores podem usar qualquer tag de entidade principal para essa finalidade. Ela deve ser configurada no perfil que está iniciando o Studio ou no aplicativo de IA para parceiros.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Os administradores também devem adicionar a política de confiança sts:TagSession ao perfil que está iniciando o Studio ou o aplicativo de IA para parceiros. Isso garante que a identidade possa ser propagada adequadamente.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Depois de definir as credenciais, os administradores podem conceder aos usuários acesso ao Studio ou ao Partner AI App AWS CLI usando as chamadas de CreatePartnerAppPresignedUrl API CreatePresignedDomainUrl ou as chamadas de API, respectivamente.

Em seguida, os usuários também podem iniciar o Studio a partir do console de SageMaker IA e iniciar os aplicativos de IA do Partner a partir do Studio.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentity é um sinalizador de aceitação. Quando a EnableIamSessionBasedIdentity sinalização é definida, a SageMaker IA passa as informações da sessão do IAM como a identidade do usuário do Partner AI App. Para obter mais informações sobre AWS STS sessões, consulte Usar credenciais temporárias com AWS recursos.

Controle de acesso

Para controlar o acesso aos aplicativos de IA para parceiros, use uma política do IAM anexada ao perfil de execução do perfil do usuário. Para iniciar um aplicativo Partner AI diretamente do Studio ou usando o AWS CLI, a função de execução do perfil do usuário deve ter uma política que dê permissões para a CreatePartnerAppPresignedUrl API. Remova essa permissão do perfil de execução do perfil do usuário para garantir que ele não consiga iniciar aplicativos de IA para parceiros.

Usuário-raiz administrador

Os aplicativos de IA para parceiros Comet e Fiddler exigem pelo menos um usuário-raiz administrador. Um usuário-raiz administrador tem permissões para adicionar usuários normais e administradores e gerenciar recursos. Os nomes de usuário fornecidos como usuários-raiz administradores devem ser consistentes com os nomes de usuário da fonte de identidade.

Embora os usuários administradores raiz persistam na SageMaker IA, os usuários administradores normais não existem e existem somente no Partner AI App até que o Partner AI App seja encerrado.

Os administradores podem atualizar os usuários-raiz administradores usando a chamada de API UpdatePartnerApp. Quando os usuários-raiz administradores são atualizados, a lista atualizada desses usuários é transmitida ao aplicativo de IA para parceiros. O aplicativo de IA para parceiros garante que todos os nomes de usuário na lista tenham privilégios de administrador-raiz. Se um usuário-raiz administrador for removido da lista, ele ainda assim reterá as permissões normais de administrador até que:

  • O usuário seja removido do aplicativo.

  • Outro usuário administrador revoga as permissões administrativas do usuário.

nota

O Fiddler não permite a atualização de usuários administradores. Somente o Comet permite atualizações para usuários-raiz administradores. 

Para excluir um usuário-raiz administrador, primeiro atualize a lista de usuários-raiz administradores usando a API UpdatePartnerApp. Em seguida, remova ou revogue as permissões de administrador por meio da interface de usuário do aplicativo de IA para parceiros.

Se você remover um usuário-raiz administrador da interface de usuário do aplicativo de IA para parceiros sem atualizar a lista de usuários-raiz administradores com a API UpdatePartnerApp, a alteração será temporária. Quando a SageMaker IA envia a próxima solicitação de atualização do Partner SageMaker AI App, ela envia a lista de administradores raiz que ainda inclui o usuário para o Partner AI App. Isso substitui a exclusão feita na interface de usuário do aplicativo de IA para parceiros.