Verwenden Sie den Rollenmanager (Konsole) - Amazon SageMaker
VoraussetzungenSchritt 1. Geben Sie Rolleninformationen einSchritt 2. Konfigurieren von ML-AktivitätenSchritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzuRolle überprüfen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie den Rollenmanager (Konsole)

Sie können den Amazon SageMaker Role Manager von den folgenden Speicherorten aus in der linken Navigation der Amazon- SageMaker Konsole verwenden:

  • Erste Schritte — Fügen Sie schnell Berechtigungsrichtlinien für Ihre Benutzer hinzu.

  • Domänen – Fügen Sie Berechtigungsrichtlinien für Benutzer innerhalb einer Amazon SageMaker -Domäne hinzu.

  • Notebooks — Fügen Sie Benutzern, die Notebooks erstellen und ausführen, die geringsten Berechtigungen hinzu.

  • Schulung — Fügen Sie Benutzern, die Schulungsaufträge erstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

  • Inferenz — Fügen Sie Benutzern, die Inferenzmodelle bereitstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

Sie können die folgenden Verfahren verwenden, um das Erstellen einer Rolle von verschiedenen Speicherorten in der SageMaker Konsole aus zu starten.

Wenn Sie SageMaker zum ersten Mal verwenden, empfehlen wir, eine Rolle im Abschnitt Erste Schritte zu erstellen.

Gehen Sie wie folgt vor, um eine Rolle mit Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Amazon- SageMaker Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Admin Konfigurationen aus.

  3. Wählen Sie unter Admin Konfigurationen die Option Rollenmanager aus.

  4. Wählen Sie Rolle erstellen aus.

Sie können eine Rolle mit Amazon SageMaker Role Manager erstellen, wenn Sie mit dem Erstellen einer Amazon- SageMaker Domäne beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Amazon- SageMaker Konsole.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen.

  3. Wählen Sie unter Admin Konfigurationen die Option Domains aus.

  4. Wählen Sie Domain erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können eine Rolle mit Amazon SageMaker Role Manager erstellen, wenn Sie mit der Erstellung eines Notebooks beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Amazon- SageMaker Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Notebook aus.

  3. Wählen Sie Notebook instances (Notebook-Instances) aus.

  4. Wählen Sie Create notebook instance (Notebook-Instance erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können eine Rolle mit Amazon SageMaker Role Manager erstellen, wenn Sie mit der Erstellung eines Schulungsauftrags beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Amazon- SageMaker Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Schulung aus.

  3. Wählen Sie Schulungsaufträge aus.

  4. Wählen Sie Schulungsauftrag erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können eine Rolle mit Amazon SageMaker Role Manager erstellen, wenn Sie mit der Bereitstellung eines Modells für Inferenzen beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Amazon- SageMaker Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Inferenz aus.

  3. Wählen Sie Modelle aus.

  4. Wählen Sie Modell erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Nachdem Sie eines der vorherigen Verfahren abgeschlossen haben, können Sie die Informationen in den folgenden Abschnitten verwenden, um die Rolle zu erstellen.

Voraussetzungen

Um Amazon SageMaker Role Manager verwenden zu können, müssen Sie über die Berechtigung zum Erstellen einer IAM-Rolle verfügen. Diese Berechtigung steht in der Regel ML-Administratoren und Rollen mit den geringsten Rechten für ML-Praktiker zur Verfügung.

Sie können vorübergehend eine IAM-Rolle in der AWS Management Console übernehmen, indem Sie Rollen wechseln. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen im IAM-Benutzerhandbuch.

Schritt 1. Geben Sie Rolleninformationen ein

Geben Sie einen Namen an, der als eindeutiges Suffix Ihrer neuen SageMaker Rolle verwendet werden soll. Standardmäßig wird das Präfix "sagemaker-" jedem Rollennamen hinzugefügt, um die Suche in der IAM-Konsole zu vereinfachen. Wenn Sie Ihre Rolle beispielsweise test-123 bei der Rollenerstellung benennen, wird Ihre Rolle wie sagemaker-test-123 in der IAM-Konsole angezeigt. Optional können Sie auch eine Beschreibung Ihrer Rolle hinzufügen, um zusätzliche Informationen bereitzustellen.

Wählen Sie dann eine der verfügbaren Personas aus, um vorgeschlagene Berechtigungen für Personas wie Datenwissenschaftler, Dateningenieure oder Techniker für Machine Learning-Operationen (MLOps) zu erhalten. Informationen zu verfügbaren Personas und ihren empfohlenen Berechtigungen finden Sie unter Persönliche Referenz. Wählen Sie Benutzerdefinierte Rolleneinstellungen, um eine Rolle zu erstellen, ohne dass Ihnen vorgeschlagene Berechtigungen als Leitfaden dienen.

Anmerkung

Wir empfehlen Ihnen, zunächst den Rollenmanager zu verwenden, um eine SageMaker Datenverarbeitungsrolle zu erstellen, damit SageMaker Rechenressourcen Aufgaben wie Training und Inferenz ausführen können. Verwenden Sie die SageMaker Compute Role Persona, um diese Rolle mit dem Rollenmanager zu erstellen. Nachdem Sie eine SageMaker Datenverarbeitungsrolle erstellt haben, notieren Sie sich ihren ARN für die zukünftige Verwendung.

Netzwerk- und Verschlüsselungsbedingungen

Wir empfehlen Ihnen, die VPC-Anpassung zu aktivieren, um VPC-Konfigurationen, Subnetze und Sicherheitsgruppen mit IAM-Richtlinien zu verwenden, die Ihrer neuen Rolle zugeordnet sind. Wenn die VPC-Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die mit VPC-Ressourcen interagieren, auf den Zugriff mit den geringsten Rechten beschränkt. Die VPC-Anpassung ist standardmäßig nicht aktiviert. Weitere Informationen zur empfohlenen Netzwerkarchitektur finden Sie im AWS technischen Leitfaden unter Netzwerkarchitektur.

Sie können einen KMS-Schlüssel auch zum Verschlüsseln, Entschlüsseln und erneuten Verschlüsseln von Daten für regulierte Workloads mit hochsensiblen Daten verwenden. Wenn die AWS KMS Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die benutzerdefinierte Verschlüsselungsschlüssel unterstützen, auf den Zugriff mit den geringsten Rechten beschränkt. Weitere Informationen finden Sie unter Verschlüsselung mit AWS KMS im AWS technischen Leitfaden.

Schritt 2. Konfigurieren von ML-Aktivitäten

Jede ML-Aktivität von Amazon SageMaker Role Manager enthält vorgeschlagene IAM-Berechtigungen, um Zugriff auf relevante AWS Ressourcen zu gewähren. Bei einigen ML-Aktivitäten müssen Sie ARNs für Servicerollen hinzufügen, um die Einrichtung abzuschließen. Informationen zu vordefinierten ML-Aktivitäten und ihren Berechtigungen finden Sie unter Referenz zur ML-Aktivität. Weitere Informationen zum Hinzufügen von Servicerollen finden Sie unter Servicerollen.

Basierend auf der ausgewählten Persona sind bestimmte ML-Aktivitäten bereits ausgewählt. Sie können alle vorgeschlagenen ML-Aktivitäten abwählen oder zusätzliche Aktivitäten auswählen, um Ihre eigene Rolle zu erstellen. Wenn Sie die Persona Benutzerdefinierte Rolleneinstellungen ausgewählt haben, sind in diesem Schritt keine ML-Aktivitäten vorausgewählt.

Sie können zusätzliche AWS oder vom Kunden verwaltete IAM-Richtlinien zu Ihrer Rolle in Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu hinzufügen.

Servicerollen

Für einige AWS Services ist eine Servicerolle erforderlich, um Aktionen in Ihrem Namen auszuführen. Wenn die von Ihnen ausgewählte ML-Aktivität erfordert, dass Sie eine Servicerolle übergeben, müssen Sie den ARN für diese Servicerolle angeben.

Sie können entweder eine neue Servicerolle erstellen oder eine vorhandene verwenden, z. B. eine Servicerolle, die mit der SageMaker Compute Role erstellt wurde. Sie finden den ARN einer vorhandenen Rolle, indem Sie den Rollennamen im Abschnitt Rollen der IAM-Konsole auswählen. Weitere Informationen zu Servicerolles finden Sie unter Erstellen einer Rolle für ein AWS Service.

Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu

Sie können alle vorhandenen AWS oder vom Kunden verwalteten IAM-Richtlinien zu Ihrer neuen Rolle hinzufügen. Informationen zu vorhandenen SageMaker Richtlinien finden Sie unter AWS Verwaltete Richtlinien für Amazon SageMaker. Sie können Ihre bestehenden Richtlinien auch im Bereich Rollen der IAM-Konsole überprüfen.

Verwenden Sie optional Tag-basierte Richtlinienbedingungen, um Metadateninformationen zuzuweisen, um AWS Ressourcen zu kategorisieren und zu verwalten. Jedes Tag wird durch ein Schlüssel-Wert-Paar repräsentiert. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Rolle überprüfen

Nehmen Sie sich Zeit, um alle Informationen zu Ihrer neuen Rolle zu überprüfen. Wählen Sie Zurück, um zurückzugehen und die Informationen zu bearbeiten. Wenn Sie bereit sind, Ihre Rolle zu erstellen, wählen Sie Rolle erstellen. Dadurch wird eine Rolle mit Berechtigungen für Ihre ausgewählten ML-Aktivitäten generiert. Sie können Ihre neue Rolle im Bereich Rollen der IAM-Konsole einsehen.