Support multicompte pour les pipelines SageMaker - Amazon SageMaker
Configuration du partage de pipelines entre comptesPolitiques d'autorisation pour les ressources SageMaker PipelinesAccès aux entités de pipeline partagées via des appels d'API directs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support multicompte pour les pipelines SageMaker

Vous pouvez utiliser le support multi-comptes pour Amazon SageMaker Model Building Pipelines afin de partager des entités de pipeline entre AWS comptes et d'accéder à des pipelines partagés via des appels d'API directs.

Configuration du partage de pipelines entre comptes

SageMaker utilise AWSResource Access Manager (AWSRAM) pour vous aider à partager en toute sécurité les entités de votre pipeline entre les comptes.

Création d'un partage de ressources

  1. Sélectionnez Create a resource share (Créer un partage de ressources) via la console AWS RAM.

  2. Lorsque vous spécifiez les détails du partage des ressources, choisissez le SageMaker type de ressource Pipelines et sélectionnez un ou plusieurs pipelines que vous souhaitez partager. Lorsque vous partagez un pipeline avec un autre compte, toutes ses exécutions sont également partagées implicitement.

  3. Associez des autorisations à votre partage de ressources. Choisissez la politique d'autorisation en lecture seule par défaut ou la politique d'autorisation d'exécution de pipeline étendue. Pour en savoir plus, consultez Politiques d'autorisation pour les ressources SageMaker Pipelines.

    Note

    Si vous sélectionnez la politique d'exécution de pipeline étendue, notez que toutes les commandes de démarrage, d'arrêt et de nouvelle tentative appelées par les comptes partagés utilisent les ressources figurant dans le compte AWS qui a partagé le pipeline.

  4. Utilisez les ID de compte AWS pour spécifier les comptes auxquels vous souhaitez accorder l'accès à vos ressources partagées.

  5. Vérifiez la configuration de votre partage de ressources et sélectionnez Create resource share (Créer un partage de ressources). Les associations entre le partage de ressources et le principal peuvent prendre quelques minutes.

Pour plus d'informations, consultez Partage de vos ressources AWS dans le Guide de l'utilisateur AWS Ressource Access Manager.

Obtention de réponses à votre invitation de partage de ressources

Une fois que les associations entre le partage de ressources et le principal ont été définies, les comptes AWS spécifiés reçoivent une invitation à rejoindre le partage de ressources. Les comptes AWS doivent accepter l'invitation pour pouvoir accéder aux ressources partagées.

Pour plus d'informations sur l'acceptation d'une invitation de partage de ressources via AWS RAM, consultez Utilisation de ressources AWS partagées dans le Guide de l'utilisateur AWS Resource Access Manager.

Politiques d'autorisation pour les ressources SageMaker Pipelines

Lorsque vous créez votre partage de ressources, choisissez l'une des deux politiques d'autorisation prises en charge à associer au type de ressource du SageMaker pipeline. Les deux politiques donnent accès à n'importe quel pipeline sélectionné et à toutes ses exécutions.

Autorisations en lecture seule par défaut

La politique AWSRAMDefaultPermissionSageMakerPipeline autorise les actions en lecture seule suivantes :

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

Autorisations d'exécution de pipeline étendues

La politique AWSRAMPermissionSageMakerPipelineAllowExecution inclut toutes les autorisations en lecture seule de la politique par défaut et permet également aux comptes partagés de démarrer, d'arrêter et de réessayer les exécutions de pipeline.

Note

Soyez conscient de l'utilisation des ressources AWS lors de l'utilisation de la politique d'autorisation d'exécution de pipeline étendue. Avec cette politique, les comptes partagés sont autorisés à démarrer, arrêter et réessayer les exécutions de pipeline. Toutes les ressources utilisées pour des exécutions de pipeline partagées sont consommées par le compte propriétaire.

La politique d'autorisation d'exécution de pipeline étendue autorise les actions suivantes :

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

Accès aux entités de pipeline partagées via des appels d'API directs

Une fois le partage de pipeline entre comptes configuré, vous pouvez appeler les actions d' SageMaker API suivantes à l'aide d'un ARN de pipeline :

Note

Vous ne pouvez appeler des commandes d'API que si elles sont incluses dans les autorisations associées à votre partage de ressources. Si vous sélectionnez la politique AWSRAMPermissionSageMakerPipelineAllowExecution, les commandes de démarrage, d'arrêt et de nouvelle tentative utilisent les ressources figurant dans le compte AWS qui a partagé le pipeline.