Suivi de la lignée entre comptes - Amazon SageMaker

Suivi de la lignée entre comptes

Amazon SageMaker prend en charge le suivi des entités de lignée provenant d'un autre compte AWS. Les autres comptes AWS peuvent partager leurs entités de lignée avec vous et vous pouvez accéder à ces entités de lignée via des appels d'API directs ou des requêtes de lignée SageMaker.

SageMaker utilise AWS Resource Access Manager pour vous aider à partager en toute sécurité vos ressources de lignée. Vous pouvez partager vos ressources via la console AWS RAM.

Configurer le suivi de la lignée entre comptes

Vous pouvez regrouper et partager vos via un groupe de lignées dans Amazon SageMaker. SageMaker ne prend en charge qu'un seul groupe de lignées par défaut par compte. SageMaker crée le groupe de lignées par défaut chaque fois qu'une entité de lignée est créée dans votre compte. Chaque entité de lignée détenue par votre compte est affectée à ce groupe de lignées par défaut. Pour partager des entités de lignée avec un autre compte, vous partagez ce groupe de lignées par défaut avec ce compte.

Note

Vous pouvez partager toutes les entités de suivi de lignée dans un groupe de lignées ou aucun.

Créez un partage de ressources pour vos entités de lignée à l'aide de la console AWS Resource Access Manager. Pour plus d'informations, veuillez consulter la section Sharing your AWS resources du Guide de l'utilisateur AWS Resource Access Manager.

Note

Une fois le partage de ressources créé, l'association entre la ressource et le mandataire peut prendre quelques minutes. Une fois l'association définie, le compte partagé reçoit une invitation à rejoindre le partage de ressources. Le compte partagé doit accepter l'invitation pour accéder aux ressources partagées. Pour plus d'informations sur l'acceptation d'une invitation de partage de ressources dans AWS RAM, veuillez consulter la section Using shared AWS resources du Guide de l'utilisateur AWS Resource Access Manager.

Votre politique de ressources de suivi de lignée entre comptes

Amazon SageMaker prend en charge un seul type de politique de ressources. La politique de ressources SageMaker doit autoriser toutes les opérations suivantes :

"sagemaker:DescribeAction" "sagemaker:DescribeArtifact" "sagemaker:DescribeContext" "sagemaker:DescribeTrialComponent" "sagemaker:AddAssociation" "sagemaker:DeleteAssociation" "sagemaker:QueryLineage"

Exemple Voici une politique de ressources SageMaker créée à l'aide d'AWS Resource Access Managerpour créer un partage de ressources pour un groupe de lignées de comptes.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullLineageAccess", "Effect": "Allow", "Principal": { "AWS": "123456789012" #account-id }, "Action": [ "sagemaker:DescribeAction", "sagemaker:DescribeArtifact", "sagemaker:DescribeContext", "sagemaker:DescribeTrialComponent", "sagemaker:AddAssociation", "sagemaker:DeleteAssociation", "sagemaker:QueryLineage" ], "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource } ] }

Suivi des entités de lignée entre comptes

Avec le suivi de lignée entre comptes, vous pouvez associer des entités de lignée à différents comptes à l'aide de la même action d'API AddAssociation. Lorsque vous associez deux entités de lignée, SageMaker vérifie que vous disposez des autorisations nécessaires pour effectuer l'action d'API AddAssociation sur les deux entités de lignée. SageMaker crée ensuite l'association. Si vous n'avez pas les autorisations requises, SageMaker ne crée pas l'association. Une fois l'association entre comptes établie, vous pouvez accéder à une entité de lignée à partir de l'autre réciproquement via l'action d'API QueryLineage. Pour de plus amples informations, veuillez consulter . Interrogation d'entités de lignée.

En plus de la création automatique par SageMaker d'entités de lignée, si vous disposez d'un accès entre comptes, SageMaker connecte des artefacts qui font référence au même objet ou aux mêmes données. Si les données d'un compte sont utilisées dans le suivi de lignée par différents comptes, SageMaker crée un artefact dans chaque compte pour suivre ces données. Avec la lignée entre comptes, chaque fois que SageMaker crée de nouveaux artefacts, SageMaker vérifie s'il existe d'autres artefacts créés pour les mêmes données qui sont également partagés avec vous. SageMaker établit ensuite des associations entre le nouvel artefact et chacun des artefacts partagés avec vous avec le paramètre AssociationType défini sur SameAs. Vous pouvez ensuite utiliser l'action d'API QueryLineage pour traverser les entités de lignée de votre propre compte vers des entités de lignage partagées avec vous mais détenues par un autre compte AWS. Pour de plus amples informations, veuillez consulter . Interrogation d'entités de lignée

Accès aux ressources de lignée à partir d'un autre compte

Une fois que l'accès entre comptes pour le partage de lignée a été configuré, vous pouvez appeler les actions d'API SageMaker suivantes directement avec l'ARN pour décrire les entités de lignée partagées à partir d'un autre compte :

Vous pouvez également gérer les associations pour les entités de lignée appartenant à différents comptes qui sont partagées avec vous, à l'aide des actions d'API SageMaker suivantes :

Pour voir un bloc-notes qui montre comment utiliser les API de lignée SageMaker pour interroger la lignée entre comptes, veuillez consulter sagemaker-lineage-cross-count-with-ram.ipynb.

Autorisation d'interrogation d'entités de lignée entre comptes

Amazon SageMaker doit vérifier que vous disposez des autorisations nécessaires pour effectuer l'action d'API QueryLineage sur les StartArns. Cela est appliqué via la politique de ressources attachée au LineageGroup. Le résultat de cette action inclut toutes les entités de lignée auxquelles vous avez accès, qu'elles soient détenues par votre compte ou partagées par un autre compte. Pour de plus amples informations, veuillez consulter . Interrogation d'entités de lignée.