Teilen Sie Ihren Featuregruppenkatalog

Der Featuregruppenkatalog, DefaultFeatureGroupCatalog, enthält alle Featuregruppen-Entitäten, die dem Konto des Ressourcenbesitzers gehören. Der Katalog kann vom Konto des Ressourcenbesitzers gemeinsam genutzt werden, um einem oder mehreren Ressourcennutzerkonten die Auffindbarkeit zu ermöglichen. Dies erfolgt durch die Erstellung eines Ressourcen-Shares in AWS Resource Access Manager (AWS RAM). Eine Feature-Gruppe ist die Hauptressource im Amazon SageMaker Feature Store und besteht aus Feature-Definitionen und Datensätzen, die von Feature Store verwaltet werden. Weitere Informationen über dieses Feature finden Sie unter Feature Store-Konzepte.

Auffindbarkeit bedeutet, dass die Konten der Ressourcennutzer nach den auffindbaren Ressourcen suchen können. Die auffindbaren Ressourcen werden so angezeigt, als befänden sie sich in ihrem eigenen Konto (ohne Tags). Wenn der Featuregruppenkatalog auffindbar sein soll, erhalten die Ressourcennutzerkonten standardmäßig keine Zugriffsberechtigungen (schreibgeschützt, lesen/schreiben oder admin). Zugriffsberechtigungen werden auf Ressourcenebene und nicht auf Kontoebene gewährt. Informationen zum erteilen dieser Berechtigungen finden Sie unter Aktivierung des kontoübergreifenden Zugriffs.

Um die kontenübergreifende Auffindbarkeit zu ermöglichen, müssen Sie den SageMaker Ressourcenkatalog und den Feature-Gruppenkatalog angeben, während Sie die AWS RAMAnweisungen zur gemeinsamen Nutzung einer Ressource finden Sie im AWS RAM Leitfaden für Entwickler. Im Folgenden geben wir die Spezifikationen für die Verwendung des AWS RAM Anweisungen für die Konsole.

1. Geben Sie Details zur gemeinsamen Nutzung der Ressource:

   • Ressourcentyp: Wählen Sie SageMaker Ressourcenkataloge.

   • ARN: Wählen Sie den Feature-Gruppenkatalog ARN mit dem folgenden Format: arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog

     us-east-1 ist die Region der Ressource und 111122223333 ist die Konto-ID des Ressourcenbesitzers.

   • Ressourcen-ID: Wählen Sie DefaultFeatureGroupCatalog.

2. Verwaltete Berechtigungen ordnen:

   • Verwaltete Berechtigung: Wählen Sie AWSRAMPermissionSageMakerCatalogResourceSearch.

3. Hauptbenutzern Zugriff gewähren:

   • Wählen Sie die Haupttypen (AWS-Konto, Organisation oder Organisationseinheit) und geben Sie die entsprechende ID ein.

     Wenn Sie eine Organisation sind, möchten Sie vielleicht folgende Vorteile nutzen AWS Organizations. Mit Organizations können Sie Ressourcen mit Einzelpersonen teilen AWS-Konten, alle Konten in Ihrer Organisation oder mit einer Organisationseinheit (OU). Dies vereinfacht das Anwenden von Berechtigungen, ohne dass für jedes Konto Berechtigungen zugewiesen werden müssen. Weitere Informationen zur gemeinsamen Nutzung Ihrer Ressourcen und zur Erteilung von Berechtigungen finden Sie in AWS, siehe Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb AWS Organizationsin der AWS Resource Access Manager Entwicklerhandbuch.

4. Überprüfen und erstellen

   • Wählen Sie Ressourcenfreigabe erstellen aus.

Es kann einige Minuten dauern, bis die Ressourcen- und Prinzipal-Zuordnungen abgeschlossen ist. Sobald die Ressourcenfreigabe und die Hauptzuordnungen festgelegt sind, erhalten die angegebenen Ressourcennutzerkonten eine Einladung, um der Ressourcenfreigabe beizutreten. Die Ressourcennutzerkonten können die Einladungen ansehen und annehmen, indem sie die Seite Für mich freigegeben: Gemeinsam genutzte Ressourcen öffnen im AWS RAM console. Weitere Informationen zum Annehmen und Anzeigen von Ressourcen finden Sie unter AWS RAM, siehe Access AWS mit Ihnen geteilte Ressourcen. In diesen Fällen werden keine Einladungen gesendet:

• Wenn Sie Teil einer Organisation sind in AWS Organizations und das Teilen in Ihrer Organisation ist aktiviert. In diesem Fall erhalten Principals in der Organisation automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.

• Wenn Sie mit dem teilen AWS-Konto dem die Ressource gehört, erhalten die Principals in diesem Konto automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.

Weitere Informationen zum Akzeptieren und Verwenden einer gemeinsamen Nutzung von Ressourcen finden Sie unter Suchen Sie nach auffindbaren Ressourcen.

Teilen Sie den Feature-Gruppenkatalog mithilfe der AWS SDK for Python (Boto3)

Sie können das AWS SDK for Python (Boto3) for AWS RAM APIsum eine gemeinsame Nutzung von Ressourcen zu erstellen. Der folgende Code ist ein Beispiel für eine Konto-ID des Ressourcenbesitzers 111122223333 innerhalb der Region us-east-1. Der Besitzer der Ressource erstellt eine Ressourcenfreigabe mit dem Namen test-cross-account-catalog. Sie teilen sich den Featuregruppenkatalog mit der Konto-ID des Ressourcennutzers 444455556666. Um Python zu verwenden SDK für AWS RAM APIs, fügen Sie die AWSRAMPermissionSageMakerCatalogResourceSearch Richtlinie der Ausführungsrolle hinzu. Siehe AWS RAM APIsfür weitere Informationen.

#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()

# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
    name='test-cross-account-catalog', # Change to your custom resource share name
    resourceArns=[
        'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
    ],
    principals=[
        '444455556666', # Change 444455556666 to the resource consumer account ID
    ],
    permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)

Principals sind Akteure in einem Sicherheitssystem. In einer ressourcenbasierten Richtlinie sind die erlaubten Prinzipale IAM Benutzer, IAM Rollen, das Root-Konto oder ein anderes AWS Dienst.