Condividi il catalogo del tuo gruppo di funzionalità

Il catalogo dei gruppi di funzionalità, DefaultFeatureGroupCatalog, contiene tutte le entità dei gruppi di funzionalità di proprietà dell'account proprietario delle risorse. Il catalogo può essere condiviso dall'account del proprietario della risorsa per garantire la reperibilità a uno o più account utente di risorse. Questo viene fatto creando una condivisione di risorse in AWS Resource Access Manager (AWS RAM). Un gruppo di funzionalità è la risorsa principale di Amazon SageMaker Feature Store ed è composto da definizioni e record di funzionalità gestiti da Feature Store. Per ulteriori informazioni sui gruppo di funzionalità, consulta Concetti di base sul Feature Store.

Reperibilità significa che gli account dei consumatori delle risorse possono cercare le risorse individuabili. Le risorse individuabili vengono visualizzate come se si trovassero nel proprio account (tag esclusi). Quando si consente la reperibilità del catalogo dei gruppi di funzionalità, per impostazione predefinita agli account utilizzatori delle risorse non vengono concesse autorizzazioni di accesso (sola lettura, lettura-scrittura o admin). Le autorizzazioni di accesso vengono concesse a livello di risorsa e non a livello di account. Per informazioni sulla concessione di autorizzazioni di accesso, consulta Abilitazione dell'accesso multi-account.

Per consentire la reperibilità su più account, è necessario specificare il catalogo SageMaker delle risorse e il catalogo dei gruppi di funzionalità utilizzando le istruzioni per la AWS RAM creazione di una condivisione di risorse nella guida per gli AWS RAM sviluppatori. Di seguito forniamo le specifiche per l'uso della AWS RAM console.

1. Specifica i dettagli della condivisione delle risorse:

   • Tipo di risorsa: scegli Cataloghi di SageMaker risorse.

   • ARN: Scegliete il catalogo del gruppo di funzionalità ARN con il formato: arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog

     us-east-1 è la regione della risorsa e 111122223333 è l'ID dell'account del proprietario della risorsa.

   • ID risorsa: scegli DefaultFeatureGroupCatalog.

2. Associa autorizzazioni gestite:

   • Autorizzazione gestita: scegli AWSRAMPermissionSageMakerCatalogResourceSearch.

3. Concedi l'accesso ai principali:

   • Scegli i tipi principali (Account AWS, organizzazione o unità organizzativa) e inserisci l'ID appropriato.

     Se sei un'organizzazione, potresti volerne approfittare AWS Organizations. Con Organizations puoi condividere le risorse con singoli account Account AWS, con tutti gli account dell'organizzazione o con un'unità organizzativa (OU). Ciò semplifica l'applicazione delle autorizzazioni, senza dover applicare le autorizzazioni a ciascun account. Per ulteriori informazioni sulla condivisione delle risorse e sulla concessione delle autorizzazioni all'interno AWS, consulta Abilita la condivisione delle risorse all'interno della Guida per gli sviluppatori. AWS Organizations AWS Resource Access Manager

4. Revisione e creazione:

   • Revisiona, quindi seleziona Crea condivisione risorse.

Il completamento delle associazioni tra la condivisione di risorse e il principale o l'account utilizzatore delle risorse potrebbe richiedere alcuni minuti. Una volta impostate le associazioni tra la condivisione di risorse e il principale, gli account utilizzatori delle risorse specificati ricevono un invito a partecipare alla condivisione di risorse. Gli account consumer delle risorse possono visualizzare e accettare gli inviti aprendo la pagina Shared with me: Resource shared nella console. AWS RAM Per ulteriori informazioni sull'accettazione e la visualizzazione delle risorse in AWS RAM, vedi Accedere alle AWS risorse condivise con te. Gli inviti non vengono inviati nei seguenti casi:

• Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata. In questo caso, i dirigenti dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.

• Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account accedono automaticamente alle risorse condivise senza inviti.

Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse, consulta Cerca risorse reperibili.

Condividi il catalogo del gruppo di funzionalità utilizzando il AWS SDK for Python (Boto3)

È possibile utilizzare il AWS SDK for Python (Boto3) form per AWS RAM APIs creare una condivisione di risorse. Il codice seguente è un esempio di ID di account del proprietario della risorsa 111122223333 all'interno della regione us-east-1. Il proprietario della risorsa sta creando una condivisione di risorse denominata test-cross-account-catalog. Condividono il catalogo del gruppo di funzionalità con l'ID dell'account consumer della risorsa 444455556666. Per usare Python SDK for AWS RAM APIs, allega la AWSRAMPermissionSageMakerCatalogResourceSearch policy al ruolo di esecuzione. Per ulteriori dettagli, consulta AWS RAM APIs.

#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()

# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
    name='test-cross-account-catalog', # Change to your custom resource share name
    resourceArns=[
        'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
    ],
    principals=[
        '444455556666', # Change 444455556666 to the resource consumer account ID
    ],
    permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)

I principali sono attori di un sistema di sicurezza. In una politica basata sulle risorse, i principali consentiti sono IAM gli utenti, i IAM ruoli, l'account root o un altro servizio. AWS