Reperibilità tra più account - Amazon SageMaker
AccessibilitàReperibilitàVisualizza i gruppi di pacchetti di modelli condivisiDissocia i principali da una condivisione di risorse e rimuovi una condivisione di risorsePromuovi l'autorizzazione e la condivisione delle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Reperibilità tra più account

Esplorando e accedendo ai gruppi di pacchetti modello registrati in altri account, i data scientist e gli ingegneri dei dati possono promuovere la coerenza dei dati, semplificare la collaborazione e ridurre la duplicazione degli sforzi. Con Amazon SageMaker Model Registry, puoi condividere gruppi di pacchetti modello tra più account. Esistono due categorie di autorizzazioni associate alla condivisione di risorse:

  • Rilevabilità: la reperibilità è la capacità dell'account consumer delle risorse di visualizzare i gruppi di pacchetti modello condivisi da uno o più account proprietari di risorse. La reperibilità è possibile solo se il proprietario della risorsa attribuisce le politiche di risorse necessarie ai gruppi di pacchetti del modello condiviso. Il consumatore di risorse può visualizzare tutti i gruppi di pacchetti di modelli condivisi nell' AWS RAM interfaccia utente e. AWS CLI

  • Accessibilità: l'accessibilità è la capacità dell'account consumer di risorse di utilizzare i gruppi di pacchetti di modelli condivisi. Ad esempio, il consumatore di risorse può registrare o distribuire un pacchetto modello da un account diverso se dispone delle autorizzazioni necessarie.

Accessibilità

Se il consumatore di risorse dispone delle autorizzazioni di accesso per utilizzare un gruppo di pacchetti di modelli condiviso, può registrare o distribuire una versione del gruppo di pacchetti modello. Per i dettagli su come il consumatore di risorse può registrare un gruppo di pacchetti modello condiviso, consulta. Registrazione di una versione del modello da un account diverso Per i dettagli su come il consumatore di risorse può distribuire un gruppo di pacchetti di modelli condivisi, vedereImplementazione di una versione del modello da un account diverso.

Reperibilità

Il proprietario della risorsa può impostare la reperibilità dei gruppi di pacchetti modello creando condivisioni di risorse e allegando politiche di risorse alle entità. Per i passaggi dettagliati su come creare una condivisione generale delle risorse in AWS RAM, consulta Creare una condivisione di risorse nella AWS RAMdocumentazione.

Completa le seguenti istruzioni per configurare la reperibilità dei gruppi di pacchetti modello utilizzando la AWS RAM console o la Model Registry Resource PolicyAPIs.

AWS CLI

  1. Crea una condivisione di risorse nell'account del proprietario del modello.

    1. Il proprietario del modello allega una politica delle risorse al gruppo di pacchetti del modello utilizzando SageMaker Resource Policy API put-model-package-group-policy, come illustrato nel comando seguente.

      aws sagemaker put-model-package-group-policy
--model-package-group-name <model-package-group-name>
--resource-policy "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":
\"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":<principal>,
\"Action\":[\"sagemaker:DescribeModelPackage\",
\"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
\"Resource\":[\"<model-package-group-arn>,\"
\"arn:aws:sagemaker:<region>:<owner-account-id>:model-package/
<model-package-group-name>/*\"]}]}"
      Nota

      È possibile allegare diverse combinazioni di azioni alla politica delle risorse. Per le politiche personalizzate, l'autorizzazione creata deve essere promossa dal proprietario del gruppo del pacchetto modello e solo le entità a cui sono associate autorizzazioni promosse sono individuabili. Le condivisioni di risorse non promosse non possono essere rese individuabili o gestite tramite. AWS RAM

    2. Per verificare che la condivisione di risorse sia AWS RAM stata creataARN, utilizzate il seguente comando:

      aws ram get-resource-share-associations --association-type resource --resource-arn <model-package-group-arn>

      La risposta contiene resource-share-arn per l'entità.

    3. Per verificare se l'autorizzazione alla policy allegata è una politica gestita o personalizzata, usa il seguente comando:

      aws ram list-resource-share-permissions --resource-share-arn <resource-share-arn>

      Il featureSet campo può assumere valori CREATED_FROM_POLICY oSTANDARD, che sono definiti come segue:

  2. Accetta l'invito alla condivisione delle risorse nell'account consumatore modello.

    1. Il consumatore del gruppo di pacchetti modello accetta l'invito alla condivisione delle risorse. Per visualizzare tutti gli inviti alle risorse, esegui il comando seguente:

      aws ram get-resource-share-invitations

      Identifica le richieste con stato PENDING e includi l'ID dell'account del proprietario.

    2. Accettate l'invito alla condivisione delle risorse da parte del proprietario del modello utilizzando il seguente comando:

      aws ram accept-resource-share-invitation --resource-share-invitation-arn <resource-share-invitation-arn>
AWS RAM console

  1. Accedi alla console AWS RAM.

  2. Completate i seguenti passaggi per creare una condivisione di risorse dall'account del proprietario del gruppo del pacchetto modello.

    1. Completa i seguenti passaggi per specificare i dettagli della condivisione delle risorse.

      1. Nel campo Nome, aggiungi un nome univoco per la tua risorsa.

      2. Nella scheda Risorse, scegli il menu a discesa e seleziona SageMaker Model Package Groups.

      3. Seleziona la casella di controllo della condivisione ARN di risorse del gruppo del pacchetto modello.

      4. Nella scheda Seleziona risorse, seleziona la casella di controllo della condivisione di risorse del gruppo del pacchetto modello.

      5. Nella scheda Tag, aggiungi coppie chiave-valore per i tag da aggiungere alla tua condivisione di risorse.

      6. Scegli Next (Successivo).

    2. Completa i seguenti passaggi per associare le autorizzazioni gestite alla condivisione di risorse.

      1. Se utilizzi un'autorizzazione gestita, scegli un'autorizzazione gestita nel menu a discesa Autorizzazioni gestite.

      2. Se utilizzi un'autorizzazione personalizzata, scegli Autorizzazione gestita dal cliente. In questo caso, il gruppo di pacchetti modello non è immediatamente individuabile. È necessario promuovere l'autorizzazione e la politica delle risorse dopo aver creato la condivisione di risorse. Per informazioni su come promuovere le autorizzazioni e le condivisioni di risorse, consultaPromuovi l'autorizzazione e la condivisione delle risorse. Per ulteriori informazioni su come associare autorizzazioni personalizzate, vedere Creazione e utilizzo di autorizzazioni gestite dai clienti in. AWS RAM

      3. Scegli Next (Successivo).

    3. Completa i seguenti passaggi per concedere l'accesso ai principali.

      1. Scegli Consenti la condivisione con chiunque per consentire la condivisione con account esterni all'organizzazione oppure scegli Consenti la condivisione solo all'interno dell'organizzazione.

      2. Nel menu a discesa Seleziona il tipo principale, aggiungi i tipi principali e l'ID dei principali destinatari che desideri aggiungere.

      3. Aggiungi e seleziona i principali scelti per la condivisione.

      4. Scegli Next (Successivo).

    4. Controlla la configurazione della condivisione visualizzata, quindi scegli Crea condivisione di risorse.

  3. Accetta l'invito alla condivisione delle risorse dall'account consumatore. Una volta che il proprietario del modello ha creato la condivisione di risorse e le principali associazioni, gli account consumer di risorse specificati ricevono un invito a partecipare alla condivisione delle risorse. Gli account consumer di risorse possono visualizzare e accettare gli inviti nella pagina Shared with me: Resource shared della AWS RAM console. Per ulteriori informazioni sull'accettazione e la visualizzazione delle risorse in AWS RAM, vedi Accedere alle AWS risorse condivise con te.

Visualizza i gruppi di pacchetti di modelli condivisi

Dopo che il proprietario della risorsa ha completato i passaggi precedenti per creare una condivisione di risorse e il consumatore ha accettato l'invito alla condivisione, il consumatore può visualizzare i gruppi di pacchetti di modelli condivisi utilizzando AWS CLI o nella AWS RAM console.

AWS CLI

Per visualizzare i gruppi di pacchetti modello condivisi, utilizzare il seguente comando nell'account consumer del modello:

aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount

AWS RAM console

Nella AWS RAM console, il proprietario della risorsa e il consumatore possono visualizzare i gruppi di pacchetti di modelli condivisi. Il proprietario della risorsa può visualizzare i gruppi di pacchetti modello condivisi con il consumatore seguendo la procedura descritta in Visualizzazione delle condivisioni di risorse create in AWS RAM. Il consumatore di risorse può visualizzare i gruppi di pacchetti modello condivisi dal proprietario seguendo la procedura descritta in Visualizzazione delle condivisioni di risorse condivise con l'utente.

Dissocia i principali da una condivisione di risorse e rimuovi una condivisione di risorse

Il proprietario della risorsa può separare i principali dalla condivisione delle risorse per ottenere una serie di autorizzazioni o eliminare l'intera condivisione di risorse utilizzando la console o la console. AWS CLI AWS RAM Per i dettagli su come dissociare i principali da una condivisione di risorse, consulta Aggiornare una condivisione di risorse nella documentazione. AWS RAM Per dettagli su come eliminare una condivisione di risorse, vedere Eliminazione di una condivisione di risorse nella documentazione. AWS RAM

AWS CLI

Per dissociare i principali da una condivisione di risorse, usa il comando dissociate-resource-sharecome segue:

aws ram disassociate-resource-share --resource-share-arn <resource-share-arn> --principals <principal>

Per eliminare una condivisione di risorse, utilizzate il comando seguente: delete-resource-share

aws ram delete-resource-share --resource-share-arn <resource-share-arn>

AWS RAM console

Per maggiori dettagli su come dissociare i principali da una condivisione di risorse, consulta Aggiornare una condivisione di risorse nella documentazione. AWS RAM Per maggiori dettagli su come eliminare una condivisione di risorse, vedi Eliminazione di una condivisione di risorse nella documentazione. AWS RAM

Promuovi l'autorizzazione e la condivisione delle risorse

Se utilizzi autorizzazioni personalizzate (gestite dal cliente), devi promuovere l'autorizzazione e la condivisione di risorse associata affinché il gruppo di pacchetti modello sia individuabile. Completa i seguenti passaggi per promuovere l'autorizzazione e la condivisione delle risorse.

  1. Per promuovere l'accessibilità della tua autorizzazione personalizzata da parte di AWS RAM, usa il seguente comando:

    aws ram promote-permission-created-from-policy —permission-arn <permission-arn>

  2. Promuovi la condivisione delle risorse usando il seguente comando:

    aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

Se visualizzi l'OperationNotPermittedExceptionerrore durante l'esecuzione dei passaggi precedenti, l'entità non è rilevabile ma è accessibile. Ad esempio, se il proprietario della risorsa associa una politica delle risorse a una politica di assunzione del ruolo principale, ad esempio“Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”}, o se la politica delle risorse lo consente“Action”: “*”, il gruppo di pacchetti modello associato non è promosso né individuabile.