Utilisation du gestionnaire de rôles (console) - Amazon SageMaker
PrérequisÉtape 1. Saisir les informations relatives au rôleÉtape 2. Configurer les activités de MLÉtape 3 : Ajouter des politiques et des balises supplémentairesPasser en revue la fonction

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du gestionnaire de rôles (console)

Vous pouvez utiliser Amazon SageMaker Role Manager depuis les emplacements suivants dans le menu de navigation de gauche de la SageMaker console Amazon :

  • Mise en route : ajoutez rapidement des politiques d'autorisation pour vos utilisateurs.

  • domaines — Ajoutez des politiques d'autorisation pour les utilisateurs d'un SageMaker domaine Amazon.

  • Blocs-notes : ajoutez les autorisations minimales pour les utilisateurs qui créent et exécutent des blocs-notes.

  • Entraînement : ajoutez les autorisations minimales aux utilisateurs qui créent et gèrent des tâches d'entraînement.

  • Inférence : ajoutez les autorisations minimales aux utilisateurs qui déploient et gèrent des modèles pour l'inférence.

Vous pouvez utiliser les procédures suivantes pour démarrer le processus de création d'un rôle à partir de différents emplacements de la SageMaker console.

Si vous l'utilisez SageMaker pour la première fois, nous vous recommandons de créer un rôle dans la section Getting started.

Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.

  1. Ouvrez la SageMaker console Amazon.

  2. Dans le panneau de navigation de gauche, choisissez Configurations d'administrateur.

  3. Sous Configurations d'administrateur, choisissez Gestionnaire de rôles.

  4. Choisissez Créer un rôle.

Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous lancez le processus de création d'un SageMaker domaine Amazon.

Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.

  1. Ouvrez la SageMaker console Amazon.

  2. Dans le panneau de navigation de gauche, choisissez Configurations d'administrateur.

  3. Sous Configurations d'administration, sélectionnez les domaines.

  4. Choisissez Create domain (Créer un domaine).

  5. Choisissez Créer un rôle à l'aide de l'assistant de création de rôle.

Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous démarrez le processus de création d'un bloc-notes.

Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.

  1. Ouvrez la SageMaker console Amazon.

  2. Dans le panneau de navigation de gauche, sélectionnez Bloc-notes.

  3. Choisissez Notebook instances (Instances de blocs-notes).

  4. Choisissez Create notebook instance (Créer une instance de bloc-notes).

  5. Choisissez Créer un rôle à l'aide de l'assistant de création de rôle.

Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous lancez le processus de création d'un poste de formation.

Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.

  1. Ouvrez la SageMaker console Amazon.

  2. Dans le panneau de navigation de gauche, choisissez Entraînement.

  3. Sélectionnez Tâches d'entraînement.

  4. Choisissez Create training job (Créer une tâche d'entraînement).

  5. Choisissez Créer un rôle à l'aide de l'assistant de création de rôle.

Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous lancez le processus de déploiement d'un modèle à des fins d'inférence.

Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.

  1. Ouvrez la SageMaker console Amazon.

  2. Dans le menu de navigation de gauche, choisissez Inférence.

  3. Sélectionnez Modèles.

  4. Sélectionnez Create model.

  5. Choisissez Créer un rôle à l'aide de l'assistant de création de rôle.

Une fois que vous avez effectué l'une des procédures précédentes, utilisez les informations des sections suivantes, qui vous aideront à créer le rôle.

Prérequis

Pour utiliser Amazon SageMaker Role Manager, vous devez être autorisé à créer un rôle IAM. Cette autorisation est généralement disponible pour les administrateurs de machine learning et les rôles dotés d'autorisations de moindre privilège pour les praticiens du machine learning.

Vous pouvez assumer temporairement un rôle IAM dans le en AWS Management Console changeant de rôle. Pour plus d’informations sur les méthodes d’utilisation des rôles, consultez Utilisation de rôles IAM dans le Guide de l’utilisateur IAM.

Étape 1. Saisir les informations relatives au rôle

Entrez un nom à utiliser comme suffixe unique pour votre nouveau SageMaker rôle. Par défaut, le préfixe "sagemaker-" est ajouté à chaque nom de rôle pour faciliter la recherche dans la console IAM. Par exemple, si vous nommez votre rôle test-123 lors de la création du rôle, celui-ci s'affiche comme sagemaker-test-123 dans la console IAM. Vous pouvez également ajouter une description de votre rôle pour fournir des détails supplémentaires.

Choisissez ensuite l'une des personas disponibles pour obtenir des autorisations suggérées pour des personas telles que des data scientists, des ingénieurs de données ou des ingénieurs des opérations de machine learning (MLOps). Pour plus d'informations sur les personas disponibles et leurs autorisations suggérées, consultez Référence de persona. Pour créer un rôle sans aucune autorisation suggérée pour vous guider, choisissez Custom Role Settings (Paramètres de rôle personnalisés).

Note

Nous vous recommandons d'utiliser d'abord le gestionnaire de rôles pour créer un rôle de SageMaker calcul afin que les ressources de SageMaker calcul puissent effectuer des tâches telles que l'entraînement et l'inférence. Utilisez le personnage SageMaker Compute Role pour créer ce rôle avec le gestionnaire de rôles. Après avoir créé un rôle de SageMaker calcul, prenez note de son ARN pour une utilisation future.

Conditions de réseau et de chiffrement

Nous vous recommandons d'activer la personnalisation du VPC pour utiliser les configurations, les sous-réseaux et les groupes de sécurité avec des politiques IAM associées à votre nouveau rôle. Lorsque la personnalisation du VPC est activée, les politiques IAM relatives aux activités de machine learning qui interagissent avec les ressources du VPC sont limitées à l'accès au moindre privilège. La personnalisation VPC n'est pas activée par défaut. Pour plus de détails sur l'architecture réseau recommandée, consultez la section Architecture réseau dans le Guide technique AWS .

Vous pouvez également utiliser une clé KMS pour chiffrer, déchiffrer et rechiffrer des données pour des charges de travail réglementées contenant des données hautement sensibles. Lorsque la AWS KMS personnalisation est activée, les politiques IAM pour les activités de machine learning qui prennent en charge les clés de chiffrement personnalisées sont limitées pour l'accès avec le moindre privilège. Pour plus d'informations, consultez la section Chiffrement avec AWS KMS dans le Guide technique AWS .

Étape 2. Configurer les activités de ML

Chaque activité d'Amazon SageMaker Role Manager ML inclut des autorisations IAM suggérées pour fournir un accès aux AWS ressources pertinentes. Certaines activités de machine learning nécessitent que vous ajoutiez des ARN de fonction du service pour terminer la configuration. Pour plus d'informations sur les activités de machine learning prédéfinies et leurs autorisations, veuillez consulter Référence d'activité de ML. Pour plus d'informations sur l'ajout de fonctions du service, veuillez consulter Fonctions du service.

En fonction de la persona choisie, certaines activités de machine learning sont déjà sélectionnées. Vous pouvez désélectionner toutes les activités de machine learning suggérées ou sélectionner des activités supplémentaires pour créer votre propre rôle. Si vous avez sélectionné la persona Custom Role Settings (Paramètres de rôle personnalisés), aucune activité de machine learning n'est présélectionnée à cette étape.

Vous pouvez ajouter des politiques IAM supplémentaires AWS ou gérées par le client à votre rôle dans. Étape 3 : Ajouter des politiques et des balises supplémentaires

Fonctions du service

Certains AWS services nécessitent un rôle de service pour effectuer des actions en votre nom. Si l'activité de machine learning que vous avez sélectionnée nécessite que vous transmettiez une fonction du service, vous devez fournir l'ARN correspondant.

Vous pouvez créer un nouveau rôle de service ou utiliser un rôle existant, tel qu'un rôle de service créé avec le personnage SageMaker Compute Role. Vous pouvez trouver l'ARN d'une fonction existante en sélectionnant le nom de la fonction dans la section Roles (Rôles) de la console IAM. Pour en savoir plus sur les rôles de service, voir Création d'un rôle pour un AWS service.

Étape 3 : Ajouter des politiques et des balises supplémentaires

Vous pouvez ajouter des politiques IAM existantes AWS ou gérées par le client à votre nouveau rôle. Pour plus d'informations sur les SageMaker politiques existantes, consultez la section Politiques AWS gérées pour Amazon SageMaker. Vous pouvez également vérifier vos politiques existantes dans la section Roles (Rôles) de la console IAM.

Vous pouvez éventuellement utiliser des conditions de politique basées sur des balises pour attribuer des informations de métadonnées afin de classer et de gérer AWS les ressources. Chaque balise est représentée par une paire clé-valeur. Pour de plus amples informations, veuillez consulter Contrôle de l'accès aux ressources AWS avec des balises.

Passer en revue la fonction

Prenez le temps de passer en revue toutes les informations associées à votre nouveau rôle. Choisissez Previous (Précédent) pour revenir en arrière et modifier les informations. Lorsque vous êtes prêt à créer votre fonction, choisissez Create role (Créer la fonction). Cela génère une fonction avec des autorisations pour les activités de machine learning que vous avez sélectionnées. Vous pouvez consulter votre nouvelle fonction dans la section Roles (Rôles) de la console IAM.