本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 角色管理器常見問題
如需有關 Amazon SageMaker 角色管理器的常見問題解答,請參閱下列常見問題集專案。
## 問題:如何存取 Amazon SageMaker 角色管理器?
答:您可以透過 Amazon SageMaker AI 主控台中的多個位置存取 Amazon SageMaker 角色管理器。如需有關存取角色管理器及使用它來建立角色的資訊,請參閱[使用角色管理器 (主控台)](role-manager-tutorial.md)。
## 問題:什麼是人物角色?
答案:人物角色是基於一般機器學習 (ML) 責任的預先設定許可群組。例如,資料科學人物角色會建議在 SageMaker AI 環境中進行一般機器學習開發和實驗的許可,而 MLOps 人物角色則會建議進行與操作相關的 ML 活動的許可。
## 問題:什麼是機器學習 (ML) 活動?
答:ML 活動是與使用 SageMaker AI 進行機器學習相關的常見 AWS 任務,需要特定的 IAM 許可。使用 Amazon SageMaker 角色管理器建立角色時,每個人物角色都會建議相關的機器學習 (ML) 活動。機器學習 (ML) 活動包括 Amazon S3 完整存取權或搜尋和視覺化實驗等任務。如需詳細資訊,請參閱[機器學習 (ML) 活動參考](role-manager-ml-activities.md)。
## 問:我使用角色管理員 AWS Identity and Access Management (IAM) 角色建立的角色是?
答案:是。使用 Amazon SageMaker 角色管理器建立的角色具有自訂存取政策的 IAM 角色。您可以在 [IAM 主控台](https://console.aws.amazon.com/iamv2/)的**角色**區段中檢視建立的角色。
## 問題:如何檢視我使用 Amazon SageMaker 角色管理器建立的角色?
答案:您可以在 [IAM 主控台](https://console.aws.amazon.com/iamv2/)的**角色**區段中檢視建立的角色。預設情況下,首碼 `"sagemaker-"` 會新增至每個角色名稱,以便可以在 IAM 主控台中輕鬆搜尋。例如,如果您在建立角色期間命名角色為 `test-123`,您的角色會作為 `sagemaker-test-123` 顯示在 IAM 主控台中。
## 問題:是否可以對使用 Amazon SageMaker 角色管理器建立的角色進行修改?
答案:是。您可以透過 [IAM 主控台](https://console.aws.amazon.com/iamv2/)修改 Amazon SageMaker 角色管理器建立的角色和政策。如需更多資訊,請參閱 *AWS Identity and Access Management IAM 使用者指南*中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。
## 問題:是否可以將自己的政策附加到使用 Amazon SageMaker 角色管理器建立的角色?
答案:是。您可以將任何 AWS 或客戶管理的 IAM 政策從您的帳戶連接到您使用 Amazon SageMaker Role Manager 建立的角色。
## 問題:我可以在使用 Amazon SageMaker 角色管理器建立的角色中新增多少個政策?
答案:將受管政策附加到 IAM 角色或使用者的上限為 20。受管政策的最大字元大小限制為 6,144。如需更多資訊,請參閱 [IAM 物件配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)和 [IAM 和 AWS Security Token Service 配額名稱要求以及字元限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。
## 問題:是否可將條件新增至機器學習 (ML) 活動?
答案:您在 Amazon SageMaker 角色管理器的[步驟 1. 輸入角色資訊](role-manager-tutorial.md#role-manager-tutorial-enter-role-information)中提供的任何條件 (例如子網路、安全群組或 KMS 金鑰) 都會自動傳遞至[步驟 2. 設定機器學習 (ML) 活動](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities)中選取的任何機器學習 (ML) 活動。如有必要,您也可以將其他條件新增至機器學習 (ML) 活動。例如,您也可以在管理訓練工作活動中新增 `InstanceTypes` 或 `IntercontainerTrafficEncryption` 條件。
## 問:我可以使用標記來管理對任何 AWS 資源的存取嗎?
答案:****您可以將標籤新增至您在 Amazon SageMaker 角色管理器之 [步驟 3:新增其他政策和標籤](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) 中的角色。若要使用標籤成功管理 AWS 資源,您必須將相同的標籤新增至角色和任何相關聯的政策。例如,您可以將標籤新增至角色和 Amazon S3 儲存貯體。然後,由於角色將標籤傳遞至 SageMaker AI 工作階段,因此只有具有該角色的使用者才能存取該 S3 儲存貯體。您可以透過 [IAM 主控台](https://console.aws.amazon.com/iamv2/)將標籤新增至政策。如需更多資訊,請參閱 IAM 使用者指南*AWS Identity and Access Management *中的[標記 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html)。
## 問題:是否可以使用 Amazon SageMaker 角色管理器建立角色存取 AWS 管理主控台?
答案:不可以。不過,在角色管理器中建立服務角色之後,您可以移至 IAM 主控台編輯角色,並在 IAM 主控台中新增人類存取角色。
## 問:使用者聯合角色與 SageMaker AI 執行角色之間有何差異?
答案:使用者直接扮演使用者聯合角色來存取 AWS 資源,例如存取 AWS 管理主控台。SageMaker AI 執行角色是由 SageMaker AI 服務擔任,以代表使用者或自動化工具執行功能。例如,當使用者開啟 Studio Classic 執行個體時,Studio Classic 會擔任與使用者設定檔相關的執行角色,以代表使用者存取 AWS 資源。如果使用者設定檔未指定執行角色,則會在 Amazon SageMaker AI 網域層級指定執行角色。
## 問:如果我使用透過預先簽署的 URL 存取 Studio Classic 的自訂 Web 應用程式,會使用什麼角色?
答:如果您使用自訂 Web 應用程式來存取 Studio Classic,則您具有混合使用者聯合角色和 SageMaker AI 執行角色。確保此角色對於使用者可以執行的操作以及 Studio Classic 可以代表關聯使用者執行的操作都具有最低權限。
## 問:是否可以將 Amazon SageMaker Role Manager 與 Studio Classic 網域的 AWS IAM Identity Center 身分驗證搭配使用?
答: AWS IAM Identity Center Studio Classic Cloud 應用程式使用 Studio Classic 執行角色將許可授予聯合身分使用者。您可以在 Studio Classic IAM Identity Center 使用者設定檔層級或預設網域層級指定此執行角色。使用者身分識別和群組必須同步至 IAM Identity Center,而且您必須使用 [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) 搭配 IAM Identity Center 使用者指派,來建立 Studio Classic 使用者設定檔。如需詳細資訊,請參閱[使用 IAM Identity Center 來啟動 Studio Classic](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center)。