Support multicompte pour les pipelines SageMaker - Amazon SageMaker
Configuration du partage de pipelines entre comptesPolitiques d'autorisation pour les ressources SageMaker PipelinesAccès aux entités de pipeline partagées via des appels d'API directs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support multicompte pour les pipelines SageMaker

Vous pouvez utiliser le support multi-comptes pour Amazon SageMaker Model Building Pipelines afin de partager des entités de pipeline entre AWS comptes et d'accéder à des pipelines partagés via des appels d'API directs.

Configuration du partage de pipelines entre comptes

SageMaker utilise AWS Resource Access Manager (AWS RAM) pour vous aider à partager en toute sécurité les entités de votre pipeline entre les comptes.

Création d'un partage de ressources

  1. Sélectionnez Create a resource share (Créer un partage de ressources) via la console AWS RAM.

  2. Lorsque vous spécifiez les détails du partage des ressources, choisissez le SageMaker type de ressource Pipelines et sélectionnez un ou plusieurs pipelines que vous souhaitez partager. Lorsque vous partagez un pipeline avec un autre compte, toutes ses exécutions sont également partagées implicitement.

  3. Associez des autorisations à votre partage de ressources. Choisissez la politique d'autorisation en lecture seule par défaut ou la politique d'autorisation d'exécution de pipeline étendue. Pour en savoir plus, consultez Politiques d'autorisation pour les ressources SageMaker Pipelines.

    Note

    Si vous sélectionnez la politique d'exécution étendue du pipeline, notez que toutes les commandes de démarrage, d'arrêt et de nouvelle tentative appelées par des comptes partagés utilisent les ressources du AWS compte qui a partagé le pipeline.

  4. Utilisez les identifiants de AWS compte pour spécifier les comptes auxquels vous souhaitez accorder l'accès à vos ressources partagées.

  5. Vérifiez la configuration de votre partage de ressources et sélectionnez Create resource share (Créer un partage de ressources). Les associations entre le partage de ressources et le principal peuvent prendre quelques minutes.

Pour plus d'informations, consultez la section Partage de vos AWS ressources dans le guide de l'utilisateur de AWS Resource Access Manager.

Obtention de réponses à votre invitation de partage de ressources

Une fois le partage des ressources et les principales associations définis, les AWS comptes spécifiés reçoivent une invitation à rejoindre le partage des ressources. Les AWS comptes doivent accepter l'invitation pour accéder à toutes les ressources partagées.

Pour plus d'informations sur l'acceptation d'une invitation au partage de ressources AWS RAM, consultez la section Utilisation AWS des ressources partagées dans le guide de l'utilisateur de AWS Resource Access Manager.

Politiques d'autorisation pour les ressources SageMaker Pipelines

Lorsque vous créez votre partage de ressources, choisissez l'une des deux politiques d'autorisation prises en charge à associer au type de ressource du SageMaker pipeline. Les deux politiques donnent accès à n'importe quel pipeline sélectionné et à toutes ses exécutions.

Autorisations en lecture seule par défaut

La politique AWSRAMDefaultPermissionSageMakerPipeline autorise les actions en lecture seule suivantes :

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

Autorisations d'exécution de pipeline étendues

La politique AWSRAMPermissionSageMakerPipelineAllowExecution inclut toutes les autorisations en lecture seule de la politique par défaut et permet également aux comptes partagés de démarrer, d'arrêter et de réessayer les exécutions de pipeline.

Note

Soyez attentif à l'utilisation des AWS ressources lorsque vous utilisez la politique d'autorisation d'exécution étendue du pipeline. Avec cette politique, les comptes partagés sont autorisés à démarrer, arrêter et réessayer les exécutions de pipeline. Toutes les ressources utilisées pour des exécutions de pipeline partagées sont consommées par le compte propriétaire.

La politique d'autorisation d'exécution de pipeline étendue autorise les actions suivantes :

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

Accès aux entités de pipeline partagées via des appels d'API directs

Une fois le partage de pipeline entre comptes configuré, vous pouvez appeler les actions d' SageMaker API suivantes à l'aide d'un ARN de pipeline :

Note

Vous ne pouvez appeler des commandes d'API que si elles sont incluses dans les autorisations associées à votre partage de ressources. Si vous sélectionnez la AWSRAMPermissionSageMakerPipelineAllowExecution politique, les commandes start, stop et retry utilisent les ressources du AWS compte qui a partagé le pipeline.