

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用角色管理器（控制台）
<a name="role-manager-tutorial"></a>

您可以从 Amazon A SageMaker I 控制台左侧导航栏的以下位置使用亚马逊 SageMaker 角色管理器：
+ **入门** - 快速为您的用户添加权限策略。
+ **域** — 为 Amazon A SageMaker I 域中的用户添加权限策略。
+ **笔记本** - 为创建和运行笔记本的用户添加最低权限。
+ **训练** - 为创建和管理训练作业的用户添加最低权限。
+ **推理** - 为部署和管理推理模型的用户添加最低权限。

您可以使用以下步骤从 SageMaker AI 控制台中的不同位置开始创建角色的过程。

## 开始使用
<a name="role-manager-tutorial-getting-started"></a>

如果您是第一次使用 SageMaker AI，我们建议您从 “**入门**” 部分创建角色。

要使用 Amazon 角色管理器创建 SageMaker 角色，请执行以下操作。

1. 打开亚马逊 A SageMaker I 控制台。

1. 在左侧导航窗格中，选择**管理员配置**。

1. 在**管理员配置**下，选择**角色管理器**。

1. 选择**创建角色**。

## 域
<a name="role-manager-tutorial-domain"></a>

在开始创建 Amazon A SageMaker I 域名时，您可以使用亚马逊 SageMaker 角色管理器创建角色。

要使用 Amazon 角色管理器创建 SageMaker 角色，请执行以下操作。

1. 打开亚马逊 A SageMaker I 控制台。

1. 在左侧导航窗格中，选择**管理员配置**。

1. 在**管理员配置**下，选择**域**。

1. 选择**创建域**。

1. 选择**使用角色创建向导创建角色**。

## 笔记本
<a name="role-manager-tutorial-notebook"></a>

在开始创建笔记本的过程时，您可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon 角色管理器创建 SageMaker 角色，请执行以下操作。

1. 打开亚马逊 A SageMaker I 控制台。

1. 在左侧导航栏中，选择**笔记本**。

1. 选择**笔记本实例**。

1. 选择**创建笔记本实例**。

1. 选择**使用角色创建向导创建角色**。

## 训练
<a name="role-manager-tutorial-training"></a>

在开始创建训练作业的过程时，您可以使用 Amazon Role Manager 创建 SageMaker 角色。

要使用 Amazon 角色管理器创建 SageMaker 角色，请执行以下操作。

1. 打开亚马逊 A SageMaker I 控制台。

1. 在左侧导航栏中，选择**训练**。

1. 选择**训练作业**。

1. 选择 **Create training job (创建训练作业)**。

1. 选择**使用角色创建向导创建角色**。

## 推理
<a name="role-manager-tutorial-inference"></a>

在开始部署用于推理的模型时，您可以使用 Amazon Role Manager 创建 SageMaker 角色。

要使用 Amazon 角色管理器创建 SageMaker 角色，请执行以下操作。

1. 打开亚马逊 A SageMaker I 控制台。

1. 在左侧导航栏中，选择**推理**。

1. 选择**模型**。

1. 选择**创建模型**。

1. 选择**使用角色创建向导创建角色**。

完成上述过程之一后，使用以下部分中的信息来帮助创建角色。

## 先决条件
<a name="role-manager-tutorial-prerequisites"></a>

要使用 Amazon SageMaker 角色管理器，您必须拥有创建 IAM 角色的权限。该权限通常提供给机器学习管理员和拥有机器学习从业者最低权限的角色。

您可以 AWS 管理控制台 通过[切换角色在中临时担任 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。有关使用角色的方法的更多信息，请参阅《IAM 用户指南》中的[使用 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html)**。

## 步骤 1：输入角色信息
<a name="role-manager-tutorial-enter-role-information"></a>

提供一个名称以用作新 SageMaker AI 角色的唯一后缀。默认情况下，每个角色名称都会添加前缀 `"sagemaker-"`，以便于在 IAM 控制台中搜索。例如，如果您在创建角色时将角色命名为 `test-123`，则您的角色将在 IAM 控制台中显示为 `sagemaker-test-123`。您也可以添加对角色的描述，以提供更多详细信息。

然后，从一个可用角色中进行选择，以获取数据科学家、数据工程师或机器学习运营 (MLOps) 工程师等角色的建议权限。有关可用角色及其建议权限的信息，请参阅[角色参考](role-manager-personas.md)。要在没有任何建议权限的情况下创建角色，请选择**自定义角色设置**。

**注意**  
我们建议您首先使用角色管理器创建 A SageMaker I 计算角色，以便 SageMaker AI 计算资源能够执行训练和推理等任务。使用 SageMaker AI Compute 角色角色与角色经理一起创建此角色。创建 A SageMaker I 计算角色后，记下其 ARN 以备将来使用。

### 网络和加密条件
<a name="role-manager-tutorial-enter-role-information-network-and-encryption"></a>

我们建议您激活 VPC 自定义以使用 VPC 配置、子网和安全组，以及与您的新角色关联的 IAM 策略。激活 VPC 自定义后，与 VPC 资源交互的机器学习活动的 IAM 策略的范围将缩小为最低权限访问权限。默认情况下不激活 VPC 自定义。有关推荐的网络架构的更多详细信息，请参阅《AWS 技术指南》**中的[网络架构](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html)。

对于包含高度敏感数据的受监管工作负载，您还可以使用 KMS 密钥对数据进行加密、解密和重新加密。激活 AWS KMS 自定义后，支持自定义加密密钥的机器学习活动的 IAM 策略的范围将缩小为最低权限访问权限。有关更多信息，请参阅《AWS 技术指南》**中的[使用 AWS KMS进行加密](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html)。

## 步骤 2：配置机器学习活动
<a name="role-manager-tutorial-configure-ml-activities"></a>

每个 Amazon SageMaker Role Manager 机器学习活动都包含建议的 IAM 权限，用于提供对相关 AWS 资源的访问权限。某些 ML 活动需要您添加服务角色 ARNs 才能完成设置。有关预定义的机器学习活动及其权限的信息，请参阅 [机器学习活动参考](role-manager-ml-activities.md)。有关添加服务角色的信息，请参阅[服务角色](#role-manager-tutorial-configure-ml-activities-service-roles)。

根据所选角色，已经选择了某些机器学习活动。您可以取消选择任何建议的机器学习活动，也可以选择其他活动来创建自己的角色。如果您选择了“自定义角色设置”角色，则在此步骤中不会预先选择任何机器学习活动。

您可以在中的角色中添加任何其他 AWS 或由客户管理的 IAM 策略。[步骤 3：添加其他策略和标签](#role-manager-tutorial-add-policies-and-tags)

### 服务角色
<a name="role-manager-tutorial-configure-ml-activities-service-roles"></a>

某些 AWS 服务需要服务角色才能代表您执行操作。如果所选的机器学习活动要求您传递服务角色，则必须提供该服务角色的 ARN。

您可以创建新的服务角色或使用现有的服务角色，例如使用 SageMaker AI Compute Role 角色角色创建的服务角色。您可以通过在 [IAM 控制台](https://console.aws.amazon.com/iamv2/)的“角色”部分选择角色名称来找到现有角色的 ARN。要了解有关服务角色的更多信息，请参阅[为 AWS 服务创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

## 步骤 3：添加其他策略和标签
<a name="role-manager-tutorial-add-policies-and-tags"></a>

您可以将任何现有 AWS 或客户托管的 IAM 策略添加到您的新角色中。有关现有 SageMaker AI 策略的信息，请参阅适用于 A [mazon A SageMaker I 的AWS 托管策略](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html)。您也可以在 [IAM 控制台](https://console.aws.amazon.com/iamv2/)的**角色**部分查看现有策略。

（可选）使用基于标签的策略条件来分配元数据信息，以便对资源进行分类和管理 AWS 。每个标签都由一个键值对表示。有关更多信息，请参阅[使用标签控制对 AWS 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 审核角色
<a name="role-manager-tutorial-review-role"></a>

花点时间查看与您的新角色相关的所有信息。选择**上一步**可返回并编辑任何信息。当您准备好创建角色时，选择**创建角色**。这将生成一个角色，该角色具有您选择的机器学习活动的权限。您可以在 [IAM 控制台](https://console.aws.amazon.com/iamv2/)的**角色**部分查看新角色。