Kontoübergreifende Auffindbarkeit - Amazon SageMaker
ZugriffsmöglichkeitenAuffindbarkeitGemeinsam genutzte Modellpaketgruppen anzeigenTrennen Sie Prinzipale von einer Ressourcenfreigabe und entfernen Sie eine RessourcenfreigabeWerben Sie für die Berechtigung und die gemeinsame Nutzung der Ressource

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifende Auffindbarkeit

Durch die Erkundung und den Zugriff auf Modellpaketgruppen, die in anderen Konten registriert sind, können Datenwissenschaftler und Dateningenieure die Datenkonsistenz fördern, die Zusammenarbeit optimieren und Doppelarbeit reduzieren. Mit Amazon SageMaker Model Registry können Sie Modellpaketgruppen für mehrere Konten gemeinsam nutzen. Es gibt zwei Kategorien von Berechtigungen im Zusammenhang mit der gemeinsamen Nutzung von Ressourcen:

  • Auffindbarkeit: Auffindbarkeit ist die Fähigkeit des Ressourcennutzerkontos, die Modellpaketgruppen zu sehen, die von einem oder mehreren Ressourcenbesitzerkonten gemeinsam genutzt werden. Auffindbarkeit ist nur möglich, wenn der Besitzer der Ressource die erforderlichen Ressourcenrichtlinien an die gemeinsam genutzten Modellpaketgruppen anhängt. Der Ressourcennutzer kann alle gemeinsam genutzten Modellpaketgruppen in der AWS RAM Benutzeroberfläche und AWS CLI.

  • Barrierefreiheit: Barrierefreiheit ist die Fähigkeit des Ressourcennutzerkontos, die gemeinsam genutzten Modellpaketgruppen zu verwenden. Beispielsweise kann der Ressourcennutzer ein Modellpaket von einem anderen Konto aus registrieren oder bereitstellen, wenn er über die erforderlichen Berechtigungen verfügt.

Zugriffsmöglichkeiten

Wenn der Ressourcennutzer über Zugriffsberechtigungen für die Verwendung einer gemeinsam genutzten Modellpaketgruppe verfügt, kann er eine Version der Modellpaketgruppe registrieren oder bereitstellen. Einzelheiten dazu, wie der Ressourcennutzer eine gemeinsam genutzte Modellpaketgruppe registrieren kann, finden Sie unterRegistrieren Sie eine Modellversion von einem anderen Konto aus. Einzelheiten dazu, wie der Ressourcennutzer eine gemeinsam genutzte Modellpaketgruppe bereitstellen kann, finden Sie unterStellen Sie eine Modellversion von einem anderen Konto aus bereit.

Auffindbarkeit

Der Ressourcenbesitzer kann die Auffindbarkeit von Modellpaketgruppen einrichten, indem er Ressourcenfreigaben erstellt und den Entitäten Ressourcenrichtlinien anhängt. Ausführliche Schritte zum Erstellen einer allgemeinen Ressourcenfreigabe finden Sie in AWS RAM, siehe Eine Ressourcenfreigabe erstellen im AWS RAM-Dokumentation.

Gehen Sie wie folgt vor, um die Auffindbarkeit von Modellpaketgruppen mithilfe des AWS RAM Ressourcenrichtlinie APIs für die Konsole oder die Modellregistrierung.

AWS CLI

  1. Erstellen Sie eine Ressourcenfreigabe im Modellbesitzerkonto.

    1. Der Modellbesitzer fügt der Modellpaketgruppe mithilfe der SageMaker Ressourcenrichtlinie API put-model-package-group-policy eine Ressourcenrichtlinie hinzu, wie im folgenden Befehl gezeigt.

      aws sagemaker put-model-package-group-policy
--model-package-group-name <model-package-group-name>
--resource-policy "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":
\"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":<principal>,
\"Action\":[\"sagemaker:DescribeModelPackage\",
\"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
\"Resource\":[\"<model-package-group-arn>,\"
\"arn:aws:sagemaker:<region>:<owner-account-id>:model-package/
<model-package-group-name>/*\"]}]}"
      Anmerkung

      Verschiedene Kombinationen von Aktionen können an die Ressourcenrichtlinie angehängt werden. Bei benutzerdefinierten Richtlinien sollte die erstellte Berechtigung vom Eigentümer der Modellpaketgruppe heraufgestuft werden, sodass nur Entitäten mit angehängten hochgestuften Berechtigungen auffindbar sind. Ressourcenfreigaben, die nicht heraufgestuft werden können, können nicht auffindbar gemacht oder verwaltet werden AWS RAM.

    2. Um das zu überprüfen AWS RAM hat die Ressourcenfreigabe erstelltARN, verwenden Sie den folgenden Befehl:

      aws ram get-resource-share-associations --association-type resource --resource-arn <model-package-group-arn>

      Die Antwort enthält die resource-share-arn für die Entität.

    3. Verwenden Sie den folgenden Befehl, um zu überprüfen, ob es sich bei der angehängten Richtlinienberechtigung um eine verwaltete oder benutzerdefinierte Richtlinie handelt:

      aws ram list-resource-share-permissions --resource-share-arn <resource-share-arn>

      Das featureSet Feld kann Werte CREATED_FROM_POLICY oder annehmenSTANDARD, die wie folgt definiert sind:

  2. Nehmen Sie die Einladung zur gemeinsamen Nutzung von Ressourcen im Modell-Kundenkonto an.

    1. Der Nutzer der Modellpaketgruppe akzeptiert die Einladung zur gemeinsamen Nutzung von Ressourcen. Führen Sie den folgenden Befehl aus, um alle Ressourceneinladungen zu sehen:

      aws ram get-resource-share-invitations

      Identifizieren Sie die Anfragen, die den Status haben PENDING und die Konto-ID des Besitzerkontos enthalten.

    2. Nehmen Sie die Einladung des Modellbesitzers zur gemeinsamen Nutzung von Ressourcen mit dem folgenden Befehl an:

      aws ram accept-resource-share-invitation --resource-share-invitation-arn <resource-share-invitation-arn>
AWS RAM console

  1. Loggen Sie sich ein in AWS RAM Konsole.

  2. Gehen Sie wie folgt vor, um über das Eigentümerkonto der Modellpaketgruppe eine Ressourcenfreigabe zu erstellen.

    1. Gehen Sie wie folgt vor, um Details zur Ressourcenfreigabe anzugeben.

      1. Fügen Sie im Feld Name einen eindeutigen Namen für Ihre Ressource hinzu.

      2. Wählen Sie auf der Karte Ressourcen das Dropdownmenü und wählen Sie SageMaker Modellpaketgruppen aus.

      3. Aktivieren Sie das Kontrollkästchen für die Ressourcenfreigabe ARN der Modellpaketgruppe.

      4. Aktivieren Sie auf der Karte Ressourcen auswählen das Kontrollkästchen für die Ressourcenfreigabe Ihrer Modellpaketgruppe.

      5. Fügen Sie auf der Karte „Tags“ Schlüssel-Wert-Paare für Tags hinzu, die Sie Ihrer Ressourcenfreigabe hinzufügen möchten.

      6. Wählen Sie Weiter.

    2. Gehen Sie wie folgt vor, um der Ressourcenfreigabe verwaltete Berechtigungen zuzuordnen.

      1. Wenn Sie eine verwaltete Berechtigung verwenden, wählen Sie im Dropdownmenü Verwaltete Berechtigungen eine verwaltete Berechtigung aus.

      2. Wenn Sie eine benutzerdefinierte Berechtigung verwenden, wählen Sie vom Kunden verwaltete Berechtigung aus. In diesem Fall ist die Modellpaketgruppe nicht sofort auffindbar. Nachdem Sie die Ressourcenfreigabe erstellt haben, müssen Sie die Berechtigung und die Ressourcenrichtlinie heraufstufen. Informationen zum Heraufstufen von Berechtigungen und gemeinsam genutzten Ressourcen finden Sie unterWerben Sie für die Berechtigung und die gemeinsame Nutzung der Ressource. Weitere Informationen zum Anhängen benutzerdefinierter Berechtigungen finden Sie unter Vom Kunden verwaltete Berechtigungen erstellen und verwenden in AWS RAM.

      3. Wählen Sie Weiter.

    3. Gehen Sie wie folgt vor, um Prinzipalen Zugriff zu gewähren.

      1. Wählen Sie Teilen mit anderen zulassen, um das Teilen mit Konten außerhalb Ihrer Organisation zuzulassen, oder wählen Sie Teilen nur innerhalb Ihrer Organisation zulassen aus.

      2. Fügen Sie im Dropdownmenü Prinzipaltyp auswählen die Prinzipaltypen und die ID für die Principals hinzu, die Sie hinzufügen möchten.

      3. Fügen Sie die ausgewählten Principals für die Aktie hinzu und wählen Sie sie aus.

      4. Wählen Sie Weiter.

    4. Überprüfen Sie die angezeigte Freigabekonfiguration und wählen Sie dann Create resource share aus.

  3. Nehmen Sie die Einladung zur gemeinsamen Nutzung von Ressourcen vom Kundenkonto an. Sobald der Modellbesitzer die Ressourcenfreigabe und die Hauptzuordnungen erstellt hat, erhalten die angegebenen Ressourcennutzerkonten eine Einladung, der Ressourcenfreigabe beizutreten. Die Ressourcennutzerkonten können die Einladungen auf der Seite Für mich freigegeben: Gemeinsam genutzte Ressourcen in der AWS RAM console. Weitere Informationen zum Annehmen und Anzeigen von Ressourcen finden Sie unter AWS RAM, siehe Access AWS mit Ihnen geteilte Ressourcen.

Gemeinsam genutzte Modellpaketgruppen anzeigen

Nachdem der Eigentümer der Ressource die vorherigen Schritte zum Erstellen einer Ressourcenfreigabe abgeschlossen hat und der Verbraucher die Einladung zur gemeinsamen Nutzung angenommen hat, kann der Benutzer die gemeinsam genutzten Modellpaketgruppen mithilfe der AWS CLI oder in der AWS RAM console.

AWS CLI

Verwenden Sie den folgenden Befehl im Modellverbraucherkonto, um die gemeinsam genutzten Modellpaketgruppen anzuzeigen:

aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount

AWS RAM Konsole

Im AWS RAM In der Konsole können der Besitzer und der Nutzer der Ressource gemeinsam genutzte Modellpaketgruppen einsehen. Der Besitzer der Ressource kann die Modellpaketgruppen, die für den Benutzer freigegeben wurden, einsehen, indem er die Schritte unter Von Ihnen erstellte Ressourcenfreigaben anzeigen unter AWS RAM. Der Ressourcennutzer kann die vom Besitzer gemeinsam genutzten Modellpaketgruppen anzeigen, indem er die Schritte unter Für Sie freigegebene Ressourcenfreigaben anzeigen ausführt.

Trennen Sie Prinzipale von einer Ressourcenfreigabe und entfernen Sie eine Ressourcenfreigabe

Der Ressourcenbesitzer kann Prinzipale für eine Reihe von Berechtigungen von der Ressourcenfreigabe trennen oder die gesamte Ressourcenfreigabe löschen, indem er AWS CLI oder der AWS RAM console. Einzelheiten dazu, wie Sie Prinzipale von einer Ressourcenfreigabe trennen können, finden Sie unter Aktualisieren einer Ressourcenfreigabe in der AWS RAM-Dokumentation. Einzelheiten zum Löschen einer Ressourcenfreigabe finden Sie unter Löschen einer Ressourcenfreigabe in der AWS RAM-Dokumentation.

AWS CLI

Um Prinzipale von einer Ressourcenfreigabe zu trennen, verwenden Sie den Befehl dissociate-resource-sharewie folgt:

aws ram disassociate-resource-share --resource-share-arn <resource-share-arn> --principals <principal>

Verwenden Sie den Befehl delete-resource-sharewie folgt, um eine Ressourcenfreigabe zu löschen:

aws ram delete-resource-share --resource-share-arn <resource-share-arn>

AWS RAM Konsole

Weitere Informationen dazu, wie Sie Prinzipale von einer Ressourcenfreigabe trennen können, finden Sie unter Aktualisieren einer Ressourcenfreigabe im AWS RAM-Dokumentation. Weitere Informationen zum Löschen einer Ressourcenfreigabe finden Sie unter Löschen einer Ressourcenfreigabe in der AWS RAM-Dokumentation.

Werben Sie für die Berechtigung und die gemeinsame Nutzung der Ressource

Wenn Sie benutzerdefinierte (vom Kunden verwaltete) Berechtigungen verwenden, müssen Sie die Berechtigung und die zugehörige Ressourcenfreigabe heraufstufen, damit die Modellpaketgruppe auffindbar ist. Gehen Sie wie folgt vor, um die Berechtigung und die gemeinsame Nutzung der Ressource zu bewerben.

  1. Um deine individuelle Zugriffsberechtigung zu bewerben, kannst du wie folgt vorgehen AWS RAM, verwenden Sie den folgenden Befehl:

    aws ram promote-permission-created-from-policy —permission-arn <permission-arn>

  2. Werben Sie mit dem folgenden Befehl für die gemeinsame Nutzung der Ressource:

    aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

Wenn Ihnen der OperationNotPermittedException Fehler bei der Ausführung der vorherigen Schritte angezeigt wird, ist die Entität nicht auffindbar, aber sie ist zugänglich. Wenn der Besitzer der Ressource beispielsweise eine Ressourcenrichtlinie mit einer übernommenen Rolle als Principal anhängt“Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”}, oder wenn die Ressourcenrichtlinie dies zulässt“Action”: “*”, ist die zugehörige Modellpaketgruppe weder heraufstufbar noch auffindbar.