

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用角色管理器 (主控台)
<a name="role-manager-tutorial"></a>

您可以從 Amazon SageMaker AI 主控台左側導覽上的下列位置使用 Amazon SageMaker 角色管理器：
+ **入門** — 快速為您的使用者新增許可政策。
+ **網域** - 為 Amazon SageMaker AI 網域內的使用者新增許可政策。
+ **筆記本** — 為建立和執行筆記本的使用者新增最低許可。
+ **訓練** — 為建立和管理訓練工作的使用者新增最低許可。
+ **推論** — 為部署和管理推論模型的使用者新增最低許可。

您可以使用下列程序，從 SageMaker AI 主控台中的不同位置開始建立角色的程序。

## 開始使用
<a name="role-manager-tutorial-getting-started"></a>

如果您是第一次使用 SageMaker AI，我們建議您從**入門**一節建立角色。

若要使用 Amazon SageMaker 角色管理器建立角色，請執行下列動作。

1. 開啟 Amazon SageMaker AI 主控台。

1. 在左側導覽窗格中，選擇**管理員組態**。

1. 在**管理員組態**下，選擇**角色管理器**。

1. 選擇**建立角色**。

## domains
<a name="role-manager-tutorial-domain"></a>

當您開始建立 Amazon SageMaker AI 網域的程序時，您可以使用 Amazon SageMaker 角色管理器建立角色。

若要使用 Amazon SageMaker 角色管理器建立角色，請執行下列動作。

1. 開啟 Amazon SageMaker AI 主控台。

1. 在左側導覽窗格中，選擇**管理員組態**。

1. 在**管理員組態**下，選擇**網域**。

1. 選擇**建立網域**。

1. 選擇**使用角色建立精靈建立角色**。

## 筆記本
<a name="role-manager-tutorial-notebook"></a>

您可以在開始建立筆記本的程序時，使用 Amazon SageMaker 角色管理器建立角色。

若要使用 Amazon SageMaker 角色管理器建立角色，請執行下列動作。

1. 開啟 Amazon SageMaker AI 主控台。

1. 在左側導覽列中，選取**筆記本**。

1. 選擇**筆記本執行個體**。

1. 選擇**建立筆記本執行個體**。

1. 選擇**使用角色建立精靈建立角色**。

## 培訓
<a name="role-manager-tutorial-training"></a>

您可以在開始建立訓練任務的程序時，使用 Amazon SageMaker 角色管理器建立角色。

若要使用 Amazon SageMaker 角色管理器建立角色，請執行下列動作。

1. 開啟 Amazon SageMaker AI 主控台。

1. 在左側導覽列中，選擇**訓練**。

1. 選取**訓練工作**。

1. 選擇**建立訓練工作**。

1. 選擇**使用角色建立精靈建立角色**。

## Inference
<a name="role-manager-tutorial-inference"></a>

當您開始部署用於推論的模型的程序時，您可以使用 Amazon SageMaker 角色管理器建立角色。

若要使用 Amazon SageMaker 角色管理器建立角色，請執行下列動作。

1. 開啟 Amazon SageMaker AI 主控台。

1. 在左側導覽列中，選擇**推論**。

1. 選擇**模型**。

1. 選擇**建立模型**。

1. 選擇**使用角色建立精靈建立角色**。

完成上述程序之後，請使用下列各節中的資訊來協助您建立角色。

## 先決條件
<a name="role-manager-tutorial-prerequisites"></a>

若要使用 Amazon SageMaker 角色管理器，您必須擁有建立 IAM 角色的許可。此許可通常可用於機器學習 (ML) 系統管理員和 ML 從業人員具有最低權限許可的角色。

您可以切換角色，暫時在 中擔任 AWS 管理主控台 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。如需使用角色的方法詳細資訊，請參閱 *IAM 使用者指南*中的[使用 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html)。

## 步驟 1. 輸入角色資訊
<a name="role-manager-tutorial-enter-role-information"></a>

提供一個名稱用作新 SageMaker AI 角色的唯一尾碼。預設情況下，首碼 `"sagemaker-"` 會新增至每個角色名稱，以便可以在 IAM 主控台中輕鬆搜尋。例如，如果您在建立角色期間命名角色為 `test-123`，您的角色會在 IAM 主控台中顯示為 `sagemaker-test-123`。您可以選擇新增角色的描述，以提供其他詳細資訊。

然後，從其中一個可用的人物角色中選擇取得資料科學家、資料工程師或機器學習作業 (MLOps) 工程師等角色的建議許可。如需有關可用人物角色及其建議許可的資訊，請參閱[人物角色參考](role-manager-personas.md)。若要在沒有任何建議許可來引導您的情況下建立角色，請選擇**自訂角色設定**。

**注意**  
我們建議您先使用角色管理器建立 SageMaker AI 運算角色，以便 SageMaker AI 運算資源能夠執行訓練和推論等任務。使用 SageMaker AI 運算角色人物角色與角色管理器一起建立此角色。建立 SageMaker AI 運算角色後，請記下其 ARN 以備未來使用。

### 網路和加密條件
<a name="role-manager-tutorial-enter-role-information-network-and-encryption"></a>

建議您啟用 VPC 自訂，以使用 VPC 組態、子網路和安全群組，以及與新角色相關聯的 IAM 政策。啟用 VPC 自訂項目後，與 VPC 資源互動的機器學習 (ML) 活動之 IAM 政策會縮減範圍，以獲得最低權限存取。VPC 自訂項目不會預設為啟用。如需有關建議之網路架構的詳細資訊，請參閱*AWS 技術指南*中的[網路架構](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html)。

您也可以使用 KMS 金鑰來加密、解密和重新加密包含高敏感資料的受管制工作負載資料。啟用 AWS KMS 自訂時，支援自訂加密金鑰之 ML 活動的 IAM 政策會縮小範圍，以取得最低權限的存取。如需更多資訊，請參閱*AWS 技術指南*中的[使用 AWS KMS加密](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html)。

## 步驟 2. 設定機器學習 (ML) 活動
<a name="role-manager-tutorial-configure-ml-activities"></a>

每個 Amazon SageMaker Role Manager ML 活動都包含建議的 IAM 許可，以提供對相關 AWS 資源的存取。某些機器學習 (ML) 活動需要您新增服務角色 ARN 才能完成設定。如需有關預先定義機器學習 (ML) 活動及其許可的資訊，請參閱[機器學習 (ML) 活動參考](role-manager-ml-activities.md)。如需新增服務角色的資訊，請參閱[服務角色](#role-manager-tutorial-configure-ml-activities-service-roles)。

根據選擇的人物角色，已選取某些機器學習 (ML) 活動。您可以取消選取任何建議的機器學習 (ML) 活動，或選取其他活動來建立您自己的角色。如果您選取自訂角色設定的人物角色，則不會在此步驟中預先選取機器學習 (ML) 活動。

您可以在 中將任何其他 AWS 或客戶管理的 IAM 政策新增至您的角色[步驟 3：新增其他政策和標籤](#role-manager-tutorial-add-policies-and-tags)。

### 服務角色
<a name="role-manager-tutorial-configure-ml-activities-service-roles"></a>

有些 AWS 服務需要服務角色，才能代表您執行動作。如果您選取的機器學習 (ML) 活動要求您傳遞服務角色，則必須提供該服務角色的 ARN。

您可以建立新的服務角色或使用現有的服務角色，例如使用 SageMaker AI 運算角色人物角色建立的服務角色。您可以在 [IAM 主控台](https://console.aws.amazon.com/iamv2/)的角色區段中選取角色名稱以找到現有角色的 ARN。若要進一步了解 服務角色，請參閱[為 AWS 服務建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

## 步驟 3：新增其他政策和標籤
<a name="role-manager-tutorial-add-policies-and-tags"></a>

您可以將任何現有 AWS 或客戶管理的 IAM 政策新增至新角色。如需現有 SageMaker AI 政策的相關資訊，請參閱 [Amazon SageMaker AI 的AWS 受管政策](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html)。您也可以在 [IAM 主控台](https://console.aws.amazon.com/iamv2/)的**角色**區段中檢查現有政策。

或者，使用標籤型政策條件來指派中繼資料資訊，以分類和管理 AWS 資源。每個標籤都由鍵值組表示。如需詳細資訊，請參閱[使用標籤控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 檢閱角色
<a name="role-manager-tutorial-review-role"></a>

請花點時間檢閱與新角色關聯的所有資訊。選擇**上一步**返回並編輯任何資訊。當您準備好建立角色，請選擇**建立**。這會產生具有所選機器學習 (ML) 活動許可的角色。您可以在 [IAM 主控台](https://console.aws.amazon.com/iamv2/)的**角色**區段中檢視新角色。