本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 角色管理器 FAQs
有关亚马逊 SageMaker 角色管理器的常见问题解答,请参阅以下常见问题解答。
## 问:如何访问 Amazon SageMaker 角色管理器?
答:您可以通过亚马逊 A SageMaker I 控制台中的多个位置访问亚马逊 SageMaker 角色管理器。有关访问角色管理器并使用它来创建角色的信息,请参阅[使用角色管理器(控制台)](role-manager-tutorial.md)。
## 问:什么是角色?
答:角色是基于常见机器学习 (ML) 责任的预配置权限组。例如,数据科学角色建议在 SageMaker AI 环境中进行一般机器学习开发和实验的权限,而 MLOps 角色则建议拥有与操作相关的机器学习活动的权限。
## 问:什么是机器学习活动?
答:机器学习活动是与使用 A SageMaker I 进行机器学习相关的常见 AWS 任务,需要特定的 IAM 权限。使用 Amazon SageMaker 角色管理器创建角色时,每个角色都会建议相关的机器学习活动。机器学习活动包括 Amazon S3 完全访问权限或搜索和可视化实验等任务。有关更多信息,请参阅 [机器学习活动参考](role-manager-ml-activities.md)。
## 问:我创建的角色是使用角色经理 AWS Identity and Access Management (IAM) 角色吗?
答:能。使用 Amazon SageMaker 角色管理器创建的角色是具有自定义访问策略的 IAM 角色。您可以在 [IAM 控制台](https://console.aws.amazon.com/iamv2/)的**角色**部分查看已创建的角色。
## 问:如何查看我使用 Amazon 角色管理器创建的 SageMaker 角色?
答:您可以在 [IAM 控制台](https://console.aws.amazon.com/iamv2/)的**角色**部分查看已创建的角色。默认情况下,每个角色名称都会添加前缀 `"sagemaker-"`,以便于在 IAM 控制台中搜索。例如,如果您在创建角色时将角色命名为 `test-123`,则您的角色将在 IAM 控制台中显示为 `sagemaker-test-123`。
## 问:使用 Amazon Role Manager 创建的 SageMaker 角色创建后,我能否对其进行修改?
答:能。您可以通过 IA [M 控制台修改由 Amazon SageMaker 角色管理器创建的角色](https://console.aws.amazon.com/iamv2/)和策略。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
## 问:我能否将自己的策略附加到使用 Amazon SageMaker Role Manager 创建的角色?
答:能。您可以将账户中的任何 AWS 或客户管理的 IAM 策略附加到您使用 Amazon Role Manager 创建的 SageMaker 角色中。
## 问:我可以为使用 Amazon Role Manager 创建的 SageMaker 角色添加多少策略?
答:最多可向 IAM 角色或用户附加 20 个托管策略。托管策略的最大字符数限制为 6144。有关更多信息,请参阅 [IAM 对象配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)和 [IAM 与 AWS Security Token Service 配额、名称要求和字符限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。
## 问:我能否为机器学习活动添加条件?
答:您在 Amazon SageMaker 角色管理器中[步骤 1:输入角色信息](role-manager-tutorial.md#role-manager-tutorial-enter-role-information)提供的任何条件(例如子网、安全组或 KMS 密钥)都会自动传递给中[步骤 2:配置机器学习活动](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities)选定的任何机器学习活动。如有必要,您还可以将其他条件添加到机器学习活动。例如,您也可以向“管理训练作业”活动添加 `InstanceTypes` 或 `IntercontainerTrafficEncryption` 条件。
## 问:我能否使用标记来管理对任何 AWS 资源的访问权限?
答:****您可以在 Amazon 角色管理器[步骤 3:添加其他策略和标签](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags)中为自己的 SageMaker 角色添加标签。要使用标签成功管理 AWS 资源,必须为角色和所有关联策略添加相同的标签。例如,可以将标签添加到角色和 Amazon S3 存储桶。然后,由于该角色将标签传递给 SageMaker AI 会话,因此只有具有该角色的用户才能访问该 S3 存储桶。您可以通过 [IAM 控制台](https://console.aws.amazon.com/iamv2/)向策略添加标签。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[标记 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html)。
## 问:我能否使用 Amazon SageMaker 角色管理器创建角色来访问? AWS 管理控制台
答:不能。但是,在角色管理器中创建服务角色后,您可以前往 IAM 控制台编辑该角色并在 IAM 控制台中添加人工访问角色。
## 问:用户联合角色和 A SageMaker I 执行角色有什么区别?
答:用户直接代入用户联合身份验证角色来访问 AWS 资源,例如访问 AWS 管理控制台。A SageMaker I 服务担任 A SageMaker I 执行角色代表用户或自动化工具执行某项功能。例如,当用户打开 Studio Classic 实例时,Studio Classic 会承担与用户配置文件相关联的执行角色,以便代表用户访问 AWS 资源。如果用户配置文件未指定执行角色,则执行角色将在 Amazon A SageMaker I 域级别指定。
## 问:如果我使用的自定义网络应用程序通过预先指定的 URL 访问 Studio Classic,那么使用的是什么角色?
答:如果您使用自定义 Web 应用程序访问 Studio Classic,则您具有混合用户联合角色和 SageMaker AI 执行角色。确保该角色对用户可以做的事情和 Studio Classic 代表相关用户可以做的事情都具有最低权限。
## 问:我能否使用带有 AWS IAM 身份中心身份验证的 Amazon SageMaker 角色管理器来管理我的 Studio Classic 域名?
答: AWS IAM Identity Center Studio Classic 云应用程序使用 Studio Classic 执行角色向联合用户授予权限。该执行角色可在 Studio Classic IAM Identity Center 用户配置文件级别或默认域级别指定。用户身份和群组必须同步到 IAM Identity Center,并且必须使用使用 IAM Identity Center 用户分配创建 Studio Classic 用户资料[CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html)。有关更多信息,请参阅 [利用 IAM 身份识别中心启动 Studio Classic](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center)。