Cluster dan konfigurasikan pengaturan untuk administrasi Amazon Redshift ML. - Amazon Redshift
Penyiapan klaster untuk menggunakan Amazon Redshift MLMengelola izin dan kepemilikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cluster dan konfigurasikan pengaturan untuk administrasi Amazon Redshift ML.

Sebelum Anda bekerja dengan Amazon Redshift, selesaikan penyiapan klaster dan konfigurasikan izin untuk menggunakan Amazon Redshift ML.

Penyiapan klaster untuk menggunakan Amazon Redshift ML

Sebelum Anda bekerja dengan Amazon Redshift ML, lengkapi prasyarat berikut.

Sebagai administrator Amazon Redshift, lakukan pengaturan satu kali berikut.

Untuk melakukan penyiapan cluster satu kali untuk Amazon Redshift ML.

  1. Buat cluster Redshift menggunakan AWS Management Console atau AWS Command Line Interface ()AWS CLI. Pastikan untuk melampirkan kebijakan AWS Identity and Access Management (IAM) saat membuat cluster. Untuk informasi selengkapnya tentang izin yang diperlukan untuk menggunakan Amazon Redshift MLdengan SageMaker Amazon, lihat Izin yang diperlukan untuk menggunakan pembelajaran mesin Amazon Redshift (ML) dengan Amazon. SageMaker

  2. Buat IAM peran yang diperlukan untuk menggunakan Amazon Redshift MLdengan salah satu cara berikut:

    • Operasi sederhana adalah membuat IAM peran dengan AmazonS3FullAccess dan AmazonSageMakerFullAccess kebijakan untuk digunakan dengan Amazon Redshift ML. Jika Anda berencana juga membuat model Forecast, lampirkan AmazonForecastFullAccess kebijakan tersebut ke peran Anda juga.

    • Sebaiknya Anda membuat IAM peran melalui konsol Amazon Redshift yang memiliki AmazonRedshiftAllCommandsFullAccess kebijakan dengan izin untuk menjalankan SQL perintah, seperti. CREATE MODEL Amazon Redshift menggunakan mekanisme API berbasis mulus untuk membuat IAM peran secara terprogram atas nama Anda. Akun AWS Amazon Redshift secara otomatis melampirkan kebijakan AWS terkelola yang ada ke peran tersebut. IAM Pendekatan ini berarti Anda dapat tetap berada di dalam konsol Amazon Redshift dan tidak perlu beralih ke IAM konsol untuk pembuatan peran. Untuk informasi selengkapnya, lihat Membuat IAM peran sebagai default untuk Amazon Redshift.

      Saat IAM peran dibuat sebagai default untuk klaster Anda, sertakan redshift sebagai bagian dari nama sumber daya atau gunakan tag khusus RedShift untuk menandai sumber daya tersebut.

      Jika klaster Anda telah meningkatkan VPC perutean Amazon diaktifkan, Anda dapat menggunakan IAM peran yang dibuat melalui konsol Amazon Redshift. IAMPeran ini memiliki AmazonRedshiftAllCommandsFullAccess kebijakan yang dilampirkan dan menambahkan izin berikut ke kebijakan. Izin tambahan ini memungkinkan Amazon Redshift untuk membuat dan menghapus elastic network interface ENI () di akun Anda dan melampirkannya ke tugas kompilasi yang berjalan di Amazon EC2 atau Amazon. ECS Melakukan hal ini memungkinkan objek di bucket Amazon S3 Anda diakses hanya dari dalam cloud pribadi virtual (VPC) dengan akses internet diblokir.

      {
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DeleteNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute"
    ],
    "Resource": "*"
}

    • Jika Anda ingin membuat IAM peran dengan kebijakan yang lebih ketat, Anda dapat menggunakan kebijakan berikut ini. Anda juga dapat mengubah kebijakan ini untuk memenuhi kebutuhan Anda.

      Bucket Amazon S3 redshift-downloads/redshift-ml/ adalah lokasi di mana data sampel yang digunakan untuk langkah dan contoh lain disimpan. Anda dapat menghapusnya jika Anda tidak perlu memuat data dari Amazon S3. Atau, ganti dengan bucket Amazon S3 lain yang Anda gunakan untuk memuat data ke Amazon Redshift.

      Bagian your-account-id, peran Anda, dan amzn-s3-demo-bucket nilai adalah yang Anda tentukan sebagai bagian dari CREATE MODEL perintah Anda.

      (Opsional) Gunakan bagian AWS KMS kunci dari kebijakan sampel jika Anda menentukan AWS KMS kunci saat menggunakan Amazon Redshift ML. Bagian your-kms-key nilai adalah kunci yang Anda gunakan sebagai bagian dari CREATE MODEL perintah Anda.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "ecr:BatchCheckLayerAvailability",
                "ecr:BatchGetImage",
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents",
                "sagemaker:*Job*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:iam::<your-account-id>:role/<your-role>",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::redshift-downloads/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket,
                "arn:aws:s3:::redshift-downloads"
            ]
        }
        // Optional section needed if you use AWS KMS keys.
        ,{
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:Encrypt",
                "kms:GenerateDataKey*"
             ],
             "Resource": [
                "arn:aws:kms:<your-region>:<your-account-id>:key/<your-kms-key>"
             ]
        }
    ]
}

  3. Untuk mengizinkan Amazon Redshift dan mengambil peran SageMaker untuk berinteraksi dengan layanan lain, tambahkan kebijakan kepercayaan berikut ke peran tersebutIAM.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "redshift.amazonaws.com",
          "sagemaker.amazonaws.com",
          "forecast.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. (Opsional) Buat bucket Amazon S3 dan sebuah AWS KMS kunci. Ini untuk Amazon Redshift untuk digunakan untuk menyimpan data pelatihan yang dikirim ke Amazon SageMaker dan menerima model terlatih dari Amazon. SageMaker

  5. (Opsional) Buat kombinasi IAM peran dan bucket Amazon S3 yang berbeda untuk mengontrol akses ke grup pengguna yang berbeda.

  6. (Opsional) Saat Anda mengaktifkan VPC perutean untuk klaster Redshift, buat endpoint Amazon S3 dan SageMaker titik akhir untuk VPC klaster Redshift Anda. Melakukan hal ini memungkinkan lalu lintas berjalan melalui VPC antar layanan Anda selama CREATEMODEL. Untuk informasi selengkapnya tentang VPC perutean, lihat VPCPerutean yang ditingkatkan di Amazon Redshift.

    Untuk informasi selengkapnya tentang izin yang diperlukan untuk menentukan privat VPC untuk pekerjaan penyetelan hyperparameter Anda, lihat Izin yang diperlukan untuk menggunakan Amazon Redshift MLdengan Amazon. SageMaker

Untuk informasi tentang cara menggunakan CREATE MODEL pernyataan untuk mulai membuat model untuk kasus penggunaan yang berbeda, lihatCREATE MODEL.

Mengelola izin dan kepemilikan

Sama seperti objek database lainnya, seperti tabel atau fungsi, Amazon Redshift mengikat pembuatan dan menggunakan model ML untuk mengakses mekanisme kontrol. Ada izin terpisah untuk membuat model yang menjalankan fungsi prediksi.

Contoh berikut menggunakan dua grup pengguna, retention_analyst_grp (pembuat model) dan marketing_analyst_grp (pengguna model) untuk menggambarkan bagaimana Amazon Redshift mengelola kontrol akses. Analis retensi membuat model pembelajaran mesin yang dapat digunakan oleh pengguna lain melalui izin yang diperoleh.

Superuser dapat GRANT USER atau GROUP mengizinkan untuk membuat model pembelajaran mesin menggunakan pernyataan berikut.

GRANT CREATE MODEL TO GROUP retention_analyst_grp;

Pengguna atau grup dengan izin ini dapat membuat model dalam skema apa pun di cluster jika pengguna memiliki CREATE izin yang biasa diSCHEMA. Model pembelajaran mesin adalah bagian dari hierarki skema dengan cara yang mirip dengan tabel, tampilan, prosedur, dan fungsi yang ditentukan pengguna.

Dengan asumsi skema demo_ml sudah ada, berikan dua grup pengguna izin pada skema sebagai berikut.

GRANT CREATE, USAGE ON SCHEMA demo_ml TO GROUP retention_analyst_grp;
GRANT USAGE ON SCHEMA demo_ml TO GROUP marketing_analyst_grp;

Untuk memungkinkan pengguna lain menggunakan fungsi inferensi pembelajaran mesin Anda, berikan EXECUTE izin. Contoh berikut menggunakan EXECUTE izin untuk memberikan marketing_analyst_grp GROUP izin untuk menggunakan model.

GRANT EXECUTE ON MODEL demo_ml.customer_churn_auto_model TO GROUP marketing_analyst_grp;

Gunakan REVOKE pernyataan dengan CREATE MODEL dan EXECUTE untuk mencabut izin tersebut dari pengguna atau grup. Untuk informasi selengkapnya tentang perintah kontrol izin, lihat GRANT danREVOKE.