Kontenübergreifende Nachverfolgung der Abstammung - Amazon SageMaker
Einrichten der kontoübergreifenden AbstammungsverfolgungKontoübergreifende Nachverfolgung von Lineage

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontenübergreifende Nachverfolgung der Abstammung

Amazon SageMaker unterstützt die Nachverfolgung von Herkunftsentitäten aus einem anderen AWS Konto. Andere AWS Konten können ihre Herkunftsentitäten mit Ihnen teilen und Sie können über direkte API-Aufrufe oder SageMaker Herkunftsabfragen auf diese Herkunftsentitäten zugreifen.

SageMaker verwendet AWS Resource Access Manager, um Ihnen zu helfen, Ihre Herkunftsressourcen sicher gemeinsam zu nutzen. Sie können Ihre Ressourcen über die AWS RAM Konsole teilen.

Einrichten der kontoübergreifenden Abstammungsverfolgung

Sie können Ihre Entitäten zur Abstammungsverfolgung über eine Herkunftsgruppe in Amazon gruppieren und freigeben SageMaker. SageMaker unterstützt nur eine Standardherkunftsgruppe pro Konto. SageMaker erstellt die Standardherkunftsgruppe, wenn eine Herkunftsentität in Ihrem Konto erstellt wird. Jede Lineage-Entität, die Ihrem Konto gehört, ist dieser Standard-Abstammungsgruppe zugewiesen. Um Abstammungsentitäten mit einem anderen Konto zu teilen, teilen Sie diese Standard-Herkunftsgruppe mit diesem Konto.

Anmerkung

Sie können alle Entitäten zur Abstammungsverfolgung in einer Abstammungsgruppe gemeinsam nutzen oder keine.

Erstellen Sie mithilfe der AWS Resource Access Manager Konsole eine gemeinsame Nutzung von Ressourcen für Ihre Lineage-Entitäten. Weitere Informationen finden Sie unter Freigeben Ihrer AWS-Ressourcen im AWS Resource Access Manager-Benutzerhandbuch.

Anmerkung

Nachdem die Ressourcenfreigabe erstellt wurde, kann es einige Minuten dauern, bis die Zuordnung von Ressource und Prinzipal abgeschlossen ist. Sobald die Zuordnung eingerichtet ist, erhält das gemeinsam genutzte Konto eine Einladung, um dem Ressourcenfreigabe beizutreten. Das gemeinsame Konto muss die Einladung annehmen, um Zugriff auf gemeinsam genutzte Ressourcen zu erhalten. Weitere Informationen zum Annehmen einer Einladung zur gemeinsamen Nutzung von Ressourcen in AWS RAM finden Sie unter Verwenden von gemeinser Nutzung von AWS Ressourcen im AWS Resource Access Manager-Benutzerhandbuch.

Ihre kontoübergreifende Ressourcenrichtlinie zur Nachverfolgung der Herkunft

Amazon SageMaker unterstützt nur eine Art von Ressourcenrichtlinie. Die SageMaker Ressourcenrichtlinie muss alle der folgenden Operationen zulassen:

"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
Beispiel Im Folgenden finden Sie eine SageMaker Ressourcenrichtlinie, die mit AWS Resource Access Manager zum Erstellen einer Ressourcenfreigabe für eine Kontenherkunftsgruppe erstellt wurde.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

Einrichten von kontoübergreifenden Lineage-Entitäten

Mit der kontoübergreifenden Abstammungsverfolgung können Sie mithilfe derselben AddAssociation API-Aktion Abstammungseinheiten in verschiedenen Konten verknüpfen. Wenn Sie zwei Lineage-Entitäten zuordnen, SageMaker validiert , wenn Sie über die Berechtigung zum Ausführen der AddAssociation API-Aktion für beide Lineage-Entitäten verfügen. SageMaker Dann richtet die Zuordnung ein. Wenn Sie nicht über die Berechtigungen verfügen, erstellt die Zuordnung SageMaker nicht. Sobald die kontenübergreifende Verknüpfung eingerichtet ist, können Sie über die QueryLineage API-Aktion von der anderen aus auf eine der beiden Lineage-Entitäten zugreifen. Weitere Informationen finden Sie unter Abfragen von Lineage-Entitäten.

Wenn Sie kontoübergreifenden Zugriff haben, SageMaker verbindet nicht nur SageMaker automatisch Lineage-Entitäten, sondern auch Artefakte, die auf dasselbe Objekt oder dieselben Daten verweisen. Wenn die Daten eines Kontos von verschiedenen Konten in der Herkunftsnachverfolgung verwendet werden, SageMaker erstellt in jedem Konto ein Artefakt, um diese Daten zu verfolgen. Bei kontoübergreifender Herkunft SageMaker prüft jedes Mal, wenn neue Artefakte SageMaker erstellt, ob andere Artefakte für dieselben Daten erstellt wurden, die auch für Sie freigegeben sind. SageMaker Dann richtet Zuordnungen zwischen dem neu erstellten Artefakt und jedem der Artefakte ein, die für Sie freigegeben wurden, mit dem AssociationType Satz auf SameAs. Sie können dann die QueryLineage API-Aktion verwenden, um die Lineage-Entitäten in Ihrem eigenen Konto zu Lineage-Entitäten zu durchsuchen, die mit Ihnen geteilt werden, aber einem anderen AWS Konto gehören. Weitere Informationen finden Sie unter Abfragen von Lineage-Entitäten.

Von einem anderen Konto aus auf Lineage-Ressourcen zugreifen

Sobald der kontoübergreifende Zugriff für die Freigabe der Herkunft eingerichtet wurde, können Sie die folgenden SageMaker API-Aktionen direkt mit dem ARN aufrufen, um die freigegebenen Abstammungsentitäten von einem anderen Konto zu beschreiben:

Mit den folgenden SageMaker API-Aktionen können Sie auch Zuordnungen für Abstammungs-Entitäten verwalten, die verschiedenen Konten gehören, die für Sie freigegeben werden:

Ein Notebook, das zeigt, wie SageMaker Lineage-APIs verwendet werden, um Lineage über -Konten hinweg abzufragen, finden Sie unter sagemaker-lineage-cross-account-with-ram.ipynb.

Autorisierung für die Abfrage von kontenübergreifenden Lineage-Entitäten

Amazon SageMaker muss überprüfen, ob Sie über Berechtigungen zum Ausführen der QueryLineage -API-Aktion für die verfügenStartArns. Dies wird durch die Ressourcenrichtlinie durchgesetzt, die LineageGroup beigefügt ist. Das Ergebnis dieser Aktion umfasst alle Lineage-Entitäten, auf die Sie Zugriff haben, unabhängig davon, ob sie Ihrem Konto gehören oder von einem anderen Konto gemeinsam genutzt werden. Weitere Informationen finden Sie unter Abfragen von Lineage-Entitäten.