Posibilidad de detección entre cuentas - Amazon SageMaker
AccesibilidadCapacidad de descubrimientoVer grupos de paquetes de modelos compartidosDisocie los principales de un recurso compartido y elimine un recurso compartidoPromocione el permiso y el recurso compartido

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Posibilidad de detección entre cuentas

Al explorar los grupos de paquetes de modelos registrados en otras cuentas y acceder a ellos, los científicos e ingenieros de datos pueden promover la coherencia de los datos, agilizar la colaboración y reducir la duplicación de esfuerzos. Con Amazon SageMaker Model Registry, puede compartir grupos de paquetes de modelos entre cuentas. Existen dos categorías de permisos asociados al uso compartido de recursos:

  • Visibilidad: la visibilidad es la capacidad de la cuenta consumidora de recursos para ver los grupos de paquetes modelo compartidos por una o más cuentas de propietarios de recursos. La visibilidad solo es posible si el propietario del recurso adjunta las políticas de recursos necesarias a los grupos de paquetes de modelos compartidos. El consumidor de recursos puede ver todos los grupos de paquetes de modelos compartidos en AWS RAM Interfaz de usuario y AWS CLI.

  • Accesibilidad: la accesibilidad es la capacidad de la cuenta de consumidor de recursos para utilizar los grupos de paquetes de modelos compartidos. Por ejemplo, el consumidor de recursos puede registrar o implementar un paquete modelo desde una cuenta diferente si tiene los permisos necesarios.

Accesibilidad

Si el consumidor de recursos tiene permisos de acceso para usar un grupo de paquetes modelo compartido, puede registrar o implementar una versión del grupo de paquetes modelo. Para obtener más información sobre cómo el consumidor de recursos puede registrar un grupo de paquetes de modelos compartidos, consulteRegistrar una versión del modelo desde una cuenta diferente. Para obtener más información sobre cómo el consumidor de recursos puede implementar un grupo de paquetes de modelos compartidos, consulteImplementar una versión del modelo desde una cuenta diferente.

Capacidad de descubrimiento

El propietario del recurso puede configurar la capacidad de detección de grupos de paquetes modelo creando recursos compartidos y adjuntando políticas de recursos a las entidades. Para ver los pasos detallados sobre cómo crear un recurso compartido general en AWS RAM, consulte Crear un recurso compartido en AWS RAM.

Complete las siguientes instrucciones para configurar la capacidad de detección de grupos de paquetes modelo mediante AWS RAM Política APIs de recursos de registro de modelos o consolas.

AWS CLI

  1. Cree un recurso compartido en la cuenta del propietario del modelo.

    1. El propietario del modelo adjunta una política de recursos al grupo de paquetes del modelo mediante la política de recursos ( SageMaker Resource Policy API put-model-package-group-policy), como se muestra en el siguiente comando.

      aws sagemaker put-model-package-group-policy
--model-package-group-name <model-package-group-name>
--resource-policy "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":
\"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":<principal>,
\"Action\":[\"sagemaker:DescribeModelPackage\",
\"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
\"Resource\":[\"<model-package-group-arn>,\"
\"arn:aws:sagemaker:<region>:<owner-account-id>:model-package/
<model-package-group-name>/*\"]}]}"
      nota

      Se pueden adjuntar diferentes combinaciones de acciones a la política de recursos. En el caso de las políticas personalizadas, el propietario del grupo de paquetes modelo debe promover el permiso creado y solo se pueden detectar las entidades que tengan los permisos promocionados adjuntos. Los recursos compartidos no promovibles no se pueden descubrir ni administrar mediante AWS RAM.

    2. Para comprobarlo AWS RAM creó el recurso compartidoARN, utilice el siguiente comando:

      aws ram get-resource-share-associations --association-type resource --resource-arn <model-package-group-arn>

      La respuesta contiene el resource-share-arn para la entidad.

    3. Para comprobar si el permiso de política adjunto es una política gestionada o personalizada, utilice el siguiente comando:

      aws ram list-resource-share-permissions --resource-share-arn <resource-share-arn>

      El featureSet campo puede tomar valores CREATED_FROM_POLICY oSTANDARD, que se definen de la siguiente manera:

  2. Acepte la invitación a compartir recursos en la cuenta de consumidor modelo.

    1. El consumidor del grupo de paquetes modelo acepta la invitación a compartir recursos. Para ver todas las invitaciones de recursos, ejecute el siguiente comando:

      aws ram get-resource-share-invitations

      Identifique las solicitudes que tienen estado PENDING e incluya el ID de cuenta de la cuenta del propietario.

    2. Acepte la invitación para compartir recursos del propietario del modelo mediante el siguiente comando:

      aws ram accept-resource-share-invitation --resource-share-invitation-arn <resource-share-invitation-arn>
AWS RAM console

  1. Inicie sesión en AWS RAM consola.

  2. Complete los siguientes pasos para crear un recurso compartido a partir de la cuenta del propietario del grupo de paquetes modelo.

    1. Complete los siguientes pasos para especificar los detalles del recurso compartido.

      1. En el campo Nombre, añada un nombre exclusivo para el recurso.

      2. En la tarjeta Resources, elija el menú desplegable y seleccione SageMaker Model Package Groups.

      3. Seleccione la casilla de verificación del recurso compartido ARN del grupo de paquetes modelo.

      4. En la tarjeta Seleccionar recursos, active la casilla de verificación del recurso compartido de recursos del grupo de paquetes modelo.

      5. En la tarjeta Etiquetas, añada pares clave-valor para las etiquetas que desee añadir a su recurso compartido.

      6. Elija Next (Siguiente).

    2. Complete los siguientes pasos para asociar los permisos administrados al recurso compartido.

      1. Si usa un permiso administrado, elija un permiso administrado en el menú desplegable Permisos administrados.

      2. Si utilizas un permiso personalizado, selecciona Permiso gestionado por el cliente. En este caso, el grupo de paquetes modelo no se puede detectar inmediatamente. Debe promover el permiso y la política de recursos después de crear el recurso compartido. Para obtener información sobre cómo promover los permisos y los recursos compartidos, consultePromocione el permiso y el recurso compartido. Para obtener más información sobre cómo adjuntar permisos personalizados, consulte Crear y usar permisos administrados por el cliente en AWS RAM.

      3. Elija Next (Siguiente).

    3. Complete los siguientes pasos para conceder acceso a los directores.

      1. Selecciona Permitir compartir con cualquier persona para permitir compartir con cuentas ajenas a tu organización o selecciona Permitir compartir solo dentro de tu organización.

      2. En el menú desplegable Seleccione el tipo principal, añada los tipos principales y el identificador de los principales que desee añadir.

      3. Añada y seleccione los principales elegidos para el recurso compartido.

      4. Elija Next (Siguiente).

    4. Revise la configuración del recurso compartido que se muestra y, a continuación, seleccione Crear recurso compartido.

  3. Acepte la invitación a compartir recursos de la cuenta del consumidor. Una vez que el propietario del modelo crea el recurso compartido y las asociaciones principales, las cuentas consumidoras de recursos especificadas reciben una invitación para unirse al recurso compartido. Las cuentas de consumidores de recursos pueden ver y aceptar las invitaciones en la página Compartidas conmigo: recursos compartidos del AWS RAM console. Para obtener más información sobre cómo aceptar y ver los recursos en AWS RAM, consulte Acceso AWS recursos compartidos contigo.

Ver grupos de paquetes de modelos compartidos

Una vez que el propietario del recurso complete los pasos anteriores para crear un recurso compartido y el consumidor acepte la invitación para compartirlo, el consumidor podrá ver los grupos de paquetes de modelos compartidos mediante el AWS CLI o en el AWS RAM console.

AWS CLI

Para ver los grupos de paquetes de modelos compartidos, utilice el siguiente comando en la cuenta del consumidor del modelo:

aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount

AWS RAM consola

En el navegador AWS RAM consola, el propietario del recurso y el consumidor pueden ver los grupos de paquetes de modelos compartidos. El propietario del recurso puede ver los grupos de paquetes modelo compartidos con el consumidor siguiendo los pasos que se indican en Visualización de los recursos compartidos que creó en AWS RAM. El consumidor de recursos puede ver los grupos de paquetes modelo compartidos por el propietario siguiendo los pasos que se indican en Visualización de los recursos compartidos con usted.

Disocie los principales de un recurso compartido y elimine un recurso compartido

El propietario del recurso puede disociar los principales del recurso compartido para obtener un conjunto de permisos o eliminar todo el recurso compartido mediante el AWS CLI o el AWS RAM console. Para obtener más información sobre cómo disociar los principales de un recurso compartido, consulte Actualizar un recurso compartido en AWS RAM. Para obtener más información sobre cómo eliminar un recurso compartido, consulte Eliminar un recurso compartido en AWS RAM.

AWS CLI

Para disociar los principios de un recurso compartido, utilice el comando dissociate-resource-sharede la siguiente manera:

aws ram disassociate-resource-share --resource-share-arn <resource-share-arn> --principals <principal>

Para eliminar un recurso compartido, utilice el comando delete-resource-sharede la siguiente manera:

aws ram delete-resource-share --resource-share-arn <resource-share-arn>

AWS RAM consola

Para obtener más información sobre cómo disociar los principales de un recurso compartido, consulte Actualizar un recurso compartido en el AWS RAM. Para obtener más información sobre cómo eliminar un recurso compartido, consulte Eliminar un recurso compartido en AWS RAM.

Promocione el permiso y el recurso compartido

Si utiliza permisos personalizados (gestionados por el cliente), debe promover el permiso y el recurso compartido asociado para que el grupo de paquetes modelo sea reconocible. Complete los siguientes pasos para promover el uso compartido de permisos y recursos.

  1. Para promover su permiso personalizado para que pueda acceder a él: AWS RAM, utilice el siguiente comando:

    aws ram promote-permission-created-from-policy —permission-arn <permission-arn>

  2. Promocione el recurso compartido mediante el siguiente comando:

    aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

Si ve el OperationNotPermittedException error al realizar los pasos anteriores, la entidad no se puede detectar pero está accesible. Por ejemplo, si el propietario del recurso asocia una política de recursos a la que se asume el rol de principal“Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”}, o si la política de recursos lo permite“Action”: “*”, el grupo de paquetes modelo asociado no se puede promocionar ni descubrir.