本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AMS SSP 在你的 AMS 账户中配置 SageMaker Amazon AI
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 SageMaker Amazon AI 功能。 SageMaker AI 为每位开发人员和数据科学家提供了快速构建、训练和部署机器学习模型的能力。Amazon SageMaker AI 是一项完全托管的服务,涵盖了整个机器学习工作流程,包括标记和准备数据、选择算法、训练模型、调整和优化模型以进行部署、做出预测和采取行动。您的模型能够以更少的工作量和更低的成本更快地投入生产。要了解更多信息,请参阅 Amazon SageMaker AI
SageMaker AWS Managed Services 中的人工智能常见问题
常见问题和答案:
问:如何使用我的 AMS 账户申请访问 SageMaker AI?
通过提交管理 | AWS 服务 | 自配置服务 | 添加 (ct-1w8z66n899dct) 更改类型来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:customer_sagemaker_admin_role和服务角色AmazonSageMaker-ExecutionRole-Admin。在您的账户中配置 SageMaker AI 后,您必须在联合解决方案中加入该customer_sagemaker_admin_role角色。您无法直接访问服务角色; SageMaker AI 服务在执行各种操作时使用该角色,如下所述:传递角色。
问:在我的 AMS 账户中使用 SageMaker AI 有哪些限制?
AMS Amazon A SageMaker I IAM 角色不支持以下用例:
SageMaker 目前不支持 AI Studio。
SageMaker 不支持 AI Ground Truth 来管理私人员工,因为此功能需要过于宽松地访问 Amazon Cognito 资源。如果需要管理私人员工,则可以申请一个具有 A SageMaker I 和 Amazon Cognito 权限相结合的自定义 IAM 角色。否则,我们建议使用公共劳动力(由 Amazon Mechanical Turk 提供支持)或 AWS Marketplace 服务提供商进行数据标记。
创建 VPC 终端节点以支持对 SageMaker AI 服务的 API 调用(aws.sagemaker。 {区域} .notebook,com.amazonaws。 {region} .sagemaker.api & com.amazonaws。 不支持 {region} .sagemaker.runtime),因为权限不能仅限于人工智能相关的服务。 SageMaker 要支持此用例,请提交管理 | 其他 | 其他 RFC 以创建相关的 VPC 终端节点。
SageMaker 不支持 AI 端点自动缩放,因为 SageMaker AI 需要任何 (“*”) 资源的
DeleteAlarm权限。要支持端点自动缩放,请提交 “管理 | 其他 | 其他 | 其他 RFC” 来为 SageMaker AI 终端节点设置自动缩放。
问:在我的 AMS 账户中使用 SageMaker AI 的先决条件或依赖条件是什么?
以下用例需要在使用前进行特殊配置:
如果要使用 S3 存储桶来存储模型工件和数据,则必须使用部署 | 高级堆栈组件 | S3 存储 | 创建 RFC 请求一个以所需关键字(”、SageMaker “Sagemaker”、“sagemaker” 或 “aws-glue”)命名的 S3 存储桶。
如果要使用弹性文件存储 (EFS),则必须在同一个子网中配置 EFS 存储,并且必须得到安全组的允许。
如果其他资源需要直接访问 SageMaker AI 服务(笔记本、API、运行时等),则必须通过以下方式请求配置:
提交 RFC 以为终端节点创建安全组(部署 | 高级堆栈组件 | 安全组 | 创建 (auto))。
提交管理 | 其他 | 其他 | 创建 RFC 以设置相关的 VPC 终端节点。
问:对于customer_sagemaker_admin_role可以直接访问的资源,支持的命名约定有哪些? (以下内容适用于更新和删除权限;如果您需要其他支持的资源命名约定,请联系 AMS Cloud Architect 进行咨询。)
资源:传递
AmazonSageMaker-ExecutionRole-*角色权限: SageMaker AI 自行配置的服务角色支持您使用 SageMaker AI 服务角色 (
AmazonSageMaker-ExecutionRole-*) 和 AWS Glue AWS RoboMaker、和。 AWS Step Functions
资源:Secrets Manager 上的 AWS 秘密
权限:使用
AmazonSageMaker-*前缀描述、创建、获取、更新密钥。权限:当
SageMaker资源标签设置为时,描述、获取机密true。
资源:存储库开启 AWS CodeCommit
权限:创建/删除带
AmazonSageMaker-*前缀的仓库。权限:在带有以下前缀的存储库 Pull/Push 上使用 Git
*sagemaker*、*SageMaker*、和。*Sagemaker*
资源:Amazon ECR(亚马逊弹性容器注册表)存储库
权限:权限:使用以下资源命名约定时,设置、删除存储库策略和上传容器镜像
*sagemaker*。
资源:亚马逊 S3 存储桶
权限:当资源具有以下前缀时,获取、放置、删除对象、中止分段上传 S3 对象:
*SageMaker*、*Sagemaker*和。*sagemaker*aws-glue权限:当
SageMaker标签设置为时获取 S3 对象true。
资源:Amazon CloudWatch 日志组
权限:创建日志组或流、放置日志事件、列出、更新、创建、删除带以下前缀的日志传送:
/aws/sagemaker/*。
资源:Amazon CloudWatch 指标
权限:使用以下前缀时放入指标数据:
AWS/SageMaker、AWS/SageMaker/、aws/SageMaker、aws/SageMaker/、aws/sagemakeraws/sagemaker/、和/aws/sagemaker/.。
资源:Amazon CloudWatch 控制面板
权限:使用以下前缀时的 Create/Delete 仪表板:
customer_*.
资源:Amazon SNS(简单通知服务)主题
权限:使用以下前缀时 Subscribe/Create 的主题:
*sagemaker**SageMaker*、和。*Sagemaker*
问:AmazonSageMakerFullAccess和有什么区别customer_sagemaker_admin_role?
customer_sagemaker_admin_role与customer_sagemaker_admin_policy提供的权限几乎相同,唯一的 AmazonSageMakerFullAccess 不同是:
连接 Amazon Cognito 和 AWS Glue 资源的权限。 AWS RoboMaker
SageMaker AI 端点自动缩放。您必须通过管理 | 高级堆栈组件 | 身份和访问管理 (IAM) Management | 更新实体或策略(需要审查)更改类型 (ct-27tuth19k52b4) 提交 RFC 才能临时或永久提升自动扩展权限,因为自动扩展需要对服务的许可访问权限。 CloudWatch
问:如何在静态数据加密中采用 AWS KMS 客户托管密钥?
您必须确保已在客户托管密钥上正确设置密钥策略,以便相关的 IAM 用户或角色可以使用这些密钥。有关更多信息,请参阅AWS KMS 密钥策略文档。
