Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En el caso de muchas aplicaciones de SageMaker IA, al iniciar una aplicación de SageMaker IA dentro de un dominio, se crea un espacio para la aplicación. Cuando un perfil de usuario crea un espacio, ese espacio asume una función AWS Identity and Access Management (IAM) que define los permisos otorgados a ese espacio. En la página siguiente, se proporciona información sobre los tipos de espacios y los roles de ejecución que definen los permisos para el espacio.
Un IAMrol es una IAM identidad que puedes crear en tu cuenta y que tiene permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en él AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.
nota
Cuando pones en marcha Amazon SageMaker Canvas oRStudio, no crea un espacio que asuma una IAM función. En su lugar, puede cambiar el rol asociado al perfil de usuario para administrar sus permisos en la aplicación. Para obtener información sobre cómo obtener el rol de un perfil de usuario de SageMaker IA, consulteObtención del rol de ejecución del usuario.
Para SageMaker Canvas, consulteAdministración de permisos y configuración de Amazon SageMaker Canvas (para administradores de TI).
Para RStudio, consulte Crea un dominio Amazon SageMaker AI con RStudio la aplicación.
Los usuarios pueden acceder a sus aplicaciones de SageMaker IA en un espacio compartido o privado.
Espacios compartidos
-
Solo puede haber un espacio asociado a una aplicación. Todos los perfiles de usuario del dominio pueden acceder a un espacio compartido. Esto otorga a todos los perfiles de usuario del dominio acceso al mismo sistema de almacenamiento de archivos subyacente para la aplicación.
-
Al espacio compartido se le concederán los permisos que define el rol de ejecución predeterminado del espacio. Si desea modificar el rol de ejecución del espacio compartido, debe modificar el rol de ejecución predeterminado del espacio.
Para obtener más información sobre cómo obtener el rol de ejecución predeterminado del espacio, consulte Obtención del rol de ejecución del espacio.
Para obtener más información sobre cómo modificar el rol de ejecución, consulte Modificación de los permisos del rol de ejecución.
-
Para obtener más información sobre los espacios compartidos, consulte Colaboración con espacios compartidos.
-
Para crear un espacio compartido, consulte Creación de un espacio compartido.
Espacios privados
-
Solo puede haber un espacio asociado a una aplicación. Solo el perfil de usuario que lo creó puede acceder a un espacio privado. Este espacio no se puede compartir con otros usuarios.
-
El espacio privado asumirá el rol de ejecución del perfil de usuario que lo creó. Si desea modificar el rol de ejecución del espacio privado, debe modificar el rol de ejecución del perfil de usuario.
Para obtener más información sobre cómo obtener el rol de ejecución del perfil de usuario, consulte Obtención del rol de ejecución del usuario.
Para obtener más información sobre cómo modificar el rol de ejecución, consulte Modificación de los permisos del rol de ejecución.
-
Todas las aplicaciones que admiten espacios también admiten espacios privados.
-
De forma predeterminada, ya se ha creado un espacio privado para Studio Classic para cada perfil de usuario.
SageMaker Funciones de ejecución de IA
Una función de ejecución de SageMaker IA es una función de AWS Identity and Access Management (IAM) que se asigna a una IAM identidad que realiza ejecuciones en SageMaker IA. Una IAMidentidad proporciona acceso a una AWS cuenta y representa un usuario humano o una carga de trabajo programática que se puede autenticar y, a continuación, autorizar a realizar acciones en ella AWS, lo que otorga permisos a la SageMaker IA para acceder a otros AWS recursos en tu nombre. Esta función permite a la SageMaker IA realizar acciones como lanzar instancias de cómputo, acceder a datos y artefactos de modelos almacenados en Amazon S3 o escribir registros en ellos CloudWatch. SageMaker La IA asume la función de ejecución en tiempo de ejecución y se le conceden temporalmente los permisos definidos en la política de la función. El rol debe contener los permisos necesarios que definan las acciones que la identidad puede realizar y los recursos a los que tiene acceso la identidad. Puede asignar roles a varias identidades para ofrecer un enfoque flexible y detallado a la hora de administrar los permisos y el acceso dentro de su dominio. Para obtener más información sobre los dominios, consulte Descripción general del dominio Amazon SageMaker AI. Por ejemplo, puede asignar IAM funciones a:
-
Rol de ejecución de dominio para conceder amplios permisos a todos los perfiles de usuario del dominio.
-
Rol de ejecución del espacio para conceder amplios permisos a un espacio compartido dentro del dominio. Todos los perfiles de usuario del dominio pueden acceder a los espacios compartidos y utilizarán el rol de ejecución del espacio mientras estén dentro del espacio compartido.
-
Rol de ejecución del perfil de usuario para conceder permisos detallados a perfiles de usuario específicos. Un espacio privado creado por un perfil de usuario asumirá el rol de ejecución de ese perfil de usuario.
Esto le permite conceder los permisos necesarios al dominio y, al mismo tiempo, mantener el principio de los permisos con privilegios mínimos para los perfiles de usuario, siguiendo las prácticas recomendadas de seguridad que se indican IAM en la Guía del AWS IAM Identity Center usuario.
Los cambios o modificaciones en los roles de ejecución pueden tardar unos minutos en propagarse. Para obtener más información, consulte Cambio del rol de ejecución o Modificación de los permisos del rol de ejecución, respectivamente.
Ejemplo de permisos flexibles con roles de ejecución
Con IAMlas funciones, puede administrar y conceder permisos de forma amplia y detallada. El siguiente ejemplo incluye la concesión de permisos para espacios y para usuarios.
Supongamos que es un administrador que está configurando un dominio para un equipo de científicos de datos. Puede permitir que los perfiles de usuario del dominio tengan acceso completo a los buckets de Amazon Simple Storage Service (Amazon S3), SageMaker realicen trabajos de formación e implementen modelos mediante una aplicación en un espacio compartido. En este ejemplo, puede crear un IAM rol denominado DataScienceTeamRole "» con amplios permisos. Luego, puedes asignar «DataScienceTeamRole» como el rol de ejecución predeterminado del espacio, lo que otorga amplios permisos a tu equipo. Cuando un perfil de usuario crea un espacio compartido, ese espacio asumirá el rol de ejecución predeterminado del espacio. Para obtener más información sobre la asignación de un rol de ejecución a un dominio existente, consulte Obtención del rol de ejecución del espacio.
En lugar de permitir que cualquier perfil de usuario individual que trabaje en su propio espacio privado tenga acceso completo a los buckets de Amazon S3, puede restringir los permisos de un perfil de usuario y no permitir que modifique los buckets de Amazon S3. En este ejemplo, puede darles acceso de lectura a los buckets de Amazon S3 para recuperar datos, ejecutar tareas de SageMaker formación e implementar modelos en su espacio privado. Puede crear un rol de ejecución a nivel de usuario denominado «DataScientistRole» con los permisos relativamente más limitados. A continuación, puede asignar «DataScientistRole» al rol de ejecución del perfil de usuario, otorgándole los permisos necesarios para realizar sus tareas específicas de ciencia de datos dentro del ámbito definido. Cuando un perfil de usuario crea un espacio privado, ese espacio asumirá el rol de ejecución del usuario. Para obtener más información sobre la asignación de un rol de ejecución a un perfil de usuario existente, consulte Obtención del rol de ejecución del usuario.
Para obtener información sobre las funciones de ejecución de la SageMaker IA y cómo añadirles permisos adicionales, consulteCómo utilizar las funciones de ejecución de la SageMaker IA.