使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon SageMaker AI - AMS 進階使用者指南
AWS Managed Services 常見問答集中的 SageMaker AI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon SageMaker AI

使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon SageMaker AI 功能。SageMaker AI 可讓每位開發人員和資料科學家快速建置、訓練和部署機器學習模型。Amazon SageMaker AI 是一項全受管服務,涵蓋整個機器學習工作流程,以標記和準備您的資料、選擇演算法、訓練模型、調校和最佳化部署、進行預測,以及採取動作。您的模型可以更快地進入生產環境,減少許多工作量並降低成本。若要進一步了解,請參閱 Amazon SageMaker AI

AWS Managed Services 常見問答集中的 SageMaker AI

常見問題和解答:

問:如何請求存取 AMS 帳戶中的 SageMaker AI?

透過提交管理 | AWS 服務 | 自助佈建服務 | 新增 (ct-1w8z66n899dct) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶: customer_sagemaker_admin_role 和服務角色 AmazonSageMaker-ExecutionRole-Admin。在您的帳戶中佈建 SageMaker AI 之後,您必須在聯合解決方案中加入該customer_sagemaker_admin_role角色。您無法直接存取服務角色;SageMaker AI 服務會在執行各種動作時使用它,如下所述:傳遞角色

問:在我的 AMS 帳戶中使用 SageMaker AI 有哪些限制?

  • AMS Amazon SageMaker AI IAM 角色不支援下列使用案例:

    • 目前不支援 SageMaker AI Studio。

    • 不支援 SageMaker AI Ground Truth 來管理私有人力資源,因為此功能需要對 Amazon Cognito 資源的過度允許存取。如果需要管理私有人力資源,您可以請求具有合併 SageMaker AI 和 Amazon Cognito 許可的自訂 IAM 角色。否則,我們建議您使用公有人力資源 (由 Amazon Mechanical Turk 提供支援) 或 AWS Marketplace 服務供應商進行資料標記。

  • 建立 VPC 端點以支援對 SageMaker AI 服務的 API 呼叫 (aws.sagemaker.{region}.notebook、com.amazonaws.{region}.sagemaker.api & com.amazonaws.{region}.sagemaker.runtime),因為許可範圍不能縮小為僅限 SageMaker AI 相關服務。若要支援此使用案例,請提交管理 | 其他 | 其他 RFC 以建立相關的 VPC 端點。

  • 不支援 SageMaker AI 端點自動擴展,因為 SageMaker AI 需要任何 ("*") 資源的DeleteAlarm許可。若要支援端點自動擴展,請提交管理 | 其他 | 其他 RFC 來設定 SageMaker AI 端點的自動擴展。

問:在我的 AMS 帳戶中使用 SageMaker AI 的先決條件或相依性是什麼?

  • 下列使用案例在使用前需要特殊組態:

    • 如果 S3 儲存貯體將用於存放模型成品和資料,則必須使用部署 | 進階堆疊元件 | S3 儲存 | 建立 RFC,請求名為 且具有必要關鍵字 ("SageMaker"、"Sagemaker"、"sagemaker" 或 "aws-glue") 的 S3 儲存貯體。

    • 如果將使用彈性檔案存放區 (EFS),則必須在相同的子網路中設定 EFS 儲存,並由安全群組允許。

    • 如果其他資源需要直接存取 SageMaker AI 服務 (筆記本、API、執行時間等),則必須由下列人員請求組態:

      • 提交 RFC 以建立端點的安全群組 (部署 | 進階堆疊元件 | 安全群組 | 建立 (自動))。

      • 提交管理 | 其他 | 其他 | 建立 RFC 以設定相關的 VPC 端點。

問: customer_sagemaker_admin_role可以直接存取的資源支援哪些命名慣例? (以下用於更新和刪除許可;如果您需要資源的其他支援命名慣例,請聯絡 AMS 雲端架構師進行諮詢。)

  • 資源:傳遞AmazonSageMaker-ExecutionRole-*角色

    • 許可:SageMaker AI 自助佈建服務角色支援您使用 SageMaker AI 服務角色 (AmazonSageMaker-ExecutionRole-*) 搭配 AWS Glue AWS RoboMaker和 AWS Step Functions。

  • 資源:Secrets Manager 上的 AWS 秘密

    • 許可:使用AmazonSageMaker-*字首描述、建立、取得、更新秘密。

    • 許可:描述,當SageMaker資源標籤設定為 時取得秘密true

  • 資源: 上的儲存庫 AWS CodeCommit

    • 許可:使用AmazonSageMaker-*字首建立/刪除儲存庫。

    • 許可:在具有下列字首 、 *sagemaker**SageMaker*和 的儲存庫上提取/推送 Git*Sagemaker*

  • 資源:Amazon ECR (Amazon Elastic Container Registry) 儲存庫

    • 許可:許可:使用下列資源命名慣例 時,設定、刪除儲存庫政策並上傳容器映像*sagemaker*

  • 資源:Amazon S3 儲存貯體

    • 許可:當資源具有下列字首時,取得、放置*Sagemaker*、刪除物件、中止分段上傳 S3 物件:*SageMaker**sagemaker*aws-glue

    • 許可:當SageMaker標籤設定為 時取得 S3 物件true

  • 資源:Amazon CloudWatch Log Group

    • 許可:建立日誌群組或串流、放置日誌事件、列出、更新、建立、刪除具有下列字首的日誌交付:/aws/sagemaker/*

  • 資源:Amazon CloudWatch 指標

    • 許可:使用下列字首時放置指標資料:AWS/SageMakerAWS/SageMaker/aws/SageMakeraws/SageMaker/aws/sagemakeraws/sagemaker//aws/sagemaker/.

  • 資源:Amazon CloudWatch Dashboard

    • 許可:使用下列字首時建立/刪除儀表板:customer_*

  • 資源:Amazon SNS (簡易通知服務) 主題

    • 許可:使用下列字首時訂閱/建立主題:*SageMaker**sagemaker**Sagemaker*

問: AmazonSageMakerFullAccess和 之間的差異是什麼customer_sagemaker_admin_role

customer_sagemaker_admin_role 搭配 的 customer_sagemaker_admin_policy提供與 AmazonSageMakerFullAccess 幾乎相同的許可,除了:

  • 與 AWS RoboMaker、Amazon Cognito 和資源連線的許可 AWS Glue 。

  • SageMaker AI 端點自動擴展。您必須提交 RFC 與管理 | 進階堆疊元件 | Identity and Access Management (IAM) | 更新實體或政策 (需要檢閱) 變更類型 (ct-27tuth19k52b4),以暫時或永久提升自動擴展許可,因為自動擴展需要在 CloudWatch 服務上進行寬鬆存取。

問:如何在靜態資料加密中採用 AWS KMS 客戶受管金鑰?

您必須確保金鑰政策已在客戶受管金鑰上正確設定,以便相關的 IAM 使用者或角色可以使用金鑰。如需詳細資訊,請參閱AWS KMS 金鑰政策文件