Uso del administrador de roles (consola) - Amazon SageMaker
Requisitos previosPaso 1. Ingresar la información del rol Paso 2. Configurar las actividades de MLPaso 3: Agregar políticas y etiquetas adicionalesRevisar el rol

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del administrador de roles (consola)

Puede utilizar el Amazon SageMaker Role Manager desde las siguientes ubicaciones de la barra de navegación de la izquierda de la SageMaker consola de Amazon:

  • Introducción: agregue rápidamente políticas de permisos para sus usuarios.

  • dominios: añade políticas de permisos para los usuarios de un SageMaker dominio de Amazon.

  • Cuadernos: agregue un mínimo de permisos a los usuarios que creen y ejecuten cuadernos.

  • Entrenamiento: agregue un mínimo de permisos a los usuarios que creen y administren trabajos de entrenamiento.

  • Inferencia: agregue un mínimo de permisos para los usuarios que implementen y administren modelos para realizar inferencias.

Puede utilizar los siguientes procedimientos para iniciar el proceso de creación de un rol desde diferentes ubicaciones de la SageMaker consola.

Si es la primera vez que lo utiliza SageMaker , le recomendamos que cree un rol en la sección Primeros pasos.

Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.

  1. Abre la SageMaker consola de Amazon.

  2. En el panel de navegación izquierdo, seleccione Configuraciones de administración.

  3. En Configuraciones de administración, elija Administrador de roles.

  4. Elija Crear rol.

Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de creación de un SageMaker dominio de Amazon.

Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.

  1. Abre la SageMaker consola de Amazon.

  2. En el panel de navegación izquierdo, seleccione Configuraciones de administración.

  3. En Configuraciones de administración, selecciona dominios.

  4. Seleccione Create domain (Crear un dominio).

  5. Elija Crear un rol de con el asistente de creación de roles.

Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de creación de un bloc de notas.

Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.

  1. Abre la SageMaker consola de Amazon.

  2. En el panel de navegación izquierdo, seleccione Cuaderno.

  3. Seleccione Instancias de bloc de notas.

  4. Elija Crear instancia de bloc de notas.

  5. Elija Crear un rol de con el asistente de creación de roles.

Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de creación de un trabajo de formación.

Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.

  1. Abre la SageMaker consola de Amazon.

  2. En el panel de navegación izquierdo, elija Entrenamiento.

  3. Seleccione Trabajos de entrenamiento.

  4. Elija Crear trabajo de entrenamiento.

  5. Elija Crear un rol de con el asistente de creación de roles.

Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de implementación de un modelo de inferencia.

Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.

  1. Abre la SageMaker consola de Amazon.

  2. En el panel de navegación izquierdo, elija Inferencia.

  3. Seleccione Modelos.

  4. Seleccione Crear modelo.

  5. Elija Crear un rol de con el asistente de creación de roles.

Una vez que haya completado uno de los procedimientos anteriores, utilice la información de las siguientes secciones para ayudarle a crear el rol.

Requisitos previos

Para utilizar Amazon SageMaker Role Manager, debe tener permiso para crear un rol de IAM. Este permiso suele estar disponible para los administradores de ML y los roles con permisos de privilegios mínimos para los profesionales de ML.

Puede asumir temporalmente un rol de IAM en el AWS Management Console cambiando de rol. Para más información sobre los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía del usuario de IAM.

Paso 1. Ingresar la información del rol

Proporcione un nombre para usarlo como sufijo exclusivo de su nueva SageMaker función. De forma predeterminada, se agrega el prefijo "sagemaker-" al nombre de cada rol para facilitar la búsqueda en la consola de IAM. Por ejemplo, si llama a su rol test-123 durante la creación del rol, este aparecerá como sagemaker-test-123 en la consola de IAM. También puede optar por agregar una descripción de su rol para proporcionar detalles adicionales.

Luego, debe elegir una de las personas disponibles para obtener sugerencias de permisos para personas como científicos de datos, ingenieros de datos o ingenieros de operaciones de machine learning (MLOps). Para obtener información sobre las personas disponibles y sus permisos sugeridos, consulte Referencia de persona. Para crear un rol sin ningún permiso sugerido que le sirva de guía, seleccione Configuración de rol personalizada.

nota

Le recomendamos que utilice primero el administrador de roles para crear un rol de SageMaker cómputo, de modo que los recursos de SageMaker cómputo puedan realizar tareas como la formación y la inferencia. Usa el personaje de rol de SageMaker cómputo para crear este rol con el administrador de roles. Después de crear un rol de SageMaker cómputo, anote su ARN para usarlo en el futuro.

Condiciones de red y cifrado

Se recomienda activar la personalización de la VPC para usar configuraciones de VPC, subredes y grupos de seguridad con políticas de IAM asociadas a su nuevo rol. Cuando se activa la personalización de la VPC, las políticas de IAM para las actividades de ML que interactúan con los recursos de la VPC se limitan al acceso con privilegios mínimos. La personalización de la VPC no está habilitada de forma predeterminada. Para obtener más información sobre la arquitectura de red recomendada, consulte Networking architecture en la Guía técnica de AWS .

También puede utilizar una clave de KMS para cifrar, descifrar y volver a cifrar datos para cargas de trabajo reguladas con datos altamente confidenciales. Cuando se activa la AWS KMS personalización, las políticas de IAM para las actividades de aprendizaje automático que admiten claves de cifrado personalizadas se limitan al acceso con menos privilegios. Para obtener más información, consulte Encryption with AWS KMS en la Guía técnica de AWS .

Paso 2. Configurar las actividades de ML

Cada actividad de Amazon SageMaker Role Manager ML incluye permisos de IAM sugeridos para proporcionar acceso a AWS los recursos pertinentes. Algunas actividades de ML requieren que agregue los ARN de los roles de servicio para completar la configuración. Para obtener información sobre las actividades de ML predefinidas y sus permisos, consulte Referencia de actividad de ML. Para obtener más información sobre cómo agregar roles de servicio, consulte Roles de servicio.

En función de la persona elegida, algunas actividades de ML ya están seleccionadas. Puede quitar la selección de cualquier actividad de ML sugerida o seleccionar actividades adicionales para crear su propio rol. Si selecciona la persona de configuración de rol personalizada, en este paso no se preseleccionará ninguna actividad de ML.

Puede añadir cualquier política de IAM adicional AWS o gestionada por el cliente a su puesto. Paso 3: Agregar políticas y etiquetas adicionales

Roles de servicio

Algunos AWS servicios requieren un rol de servicio para realizar acciones en su nombre. Si la actividad de ML que ha seleccionado requiere que pase un rol de servicio, debe proporcionar el ARN de ese rol de servicio.

Puedes crear un nuevo rol de servicio o usar uno existente, como un rol de servicio creado con el personaje SageMaker Compute Role. Para buscar el ARN de un rol existente, seleccione el nombre del rol en la sección Roles de la Consola de IAM. Para obtener más información sobre los roles de servicio, consulta Cómo crear un rol para un AWS servicio.

Paso 3: Agregar políticas y etiquetas adicionales

Puede añadir cualquier política de IAM existente AWS o gestionada por el cliente a su nueva función. Para obtener información sobre SageMaker las políticas existentes, consulta Políticas AWS gestionadas para Amazon SageMaker. También puede consultar sus políticas actuales en la sección Roles de la consola de IAM.

Si lo desea, utilice las condiciones de la política basadas en etiquetas para asignar la información de los metadatos a fin de clasificar y gestionar AWS los recursos. Cada etiqueta está representada por un par clave-valor. Para obtener más información, consulte Control de acceso a recursos de AWS mediante etiquetas.

Revisar el rol

Tómese su tiempo para revisar toda la información asociada a su nuevo rol. Seleccione Anterior para volver atrás y editar cualquier parte de la información. Cuando esté listo para crear el rol, seleccione Crear. Esto genera un rol con permisos para las actividades de ML seleccionadas. Puede ver su nuevo rol en la sección Roles de la Consola de IAM.