Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
I seguenti argomenti descrivono le autorizzazioni necessarie per iniziare a utilizzare Amazon SageMaker Partner AI Apps. Le autorizzazioni richieste sono suddivise in due parti, a seconda del livello di autorizzazione dell'utente:
-
Autorizzazioni amministrative: autorizzazioni per gli amministratori che configurano ambienti di sviluppo di data scientist e machine learning (ML).
-
Marketplace AWS
-
Gestione delle app AI per i partner
-
AWS License Manager
-
-
Autorizzazioni utente: autorizzazioni per data scientist e sviluppatori di machine learning.
-
Autorizzazione dell'utente
-
Propagazione dell'identità
-
Accesso tramite SDK
-
Gli amministratori possono completare i seguenti prerequisiti per configurare le app Partner AI.
-
(Facoltativo) Effettua l'accesso a un dominio AI. SageMaker È possibile accedere alle app AI partner direttamente da un dominio SageMaker AI. Per ulteriori informazioni, consulta Panoramica del dominio Amazon SageMaker AI.
-
Se utilizzano Partner AI Apps in un dominio SageMaker AI in modalità solo VPC, gli amministratori devono creare un endpoint con il seguente formato per connettersi alle Partner AI Apps. Per ulteriori informazioni sull'utilizzo di Studio in modalità solo VPC, vedere. Connect Amazon SageMaker Studio in un VPC a risorse esterne
aws.sagemaker.region.partner-app
-
-
(Facoltativo) Se gli amministratori interagiscono con il dominio utilizzando il AWS CLI, devono inoltre completare i seguenti prerequisiti.
-
AWS CLI Aggiornate il file seguendo la procedura descritta in Installazione della versione corrente. AWS CLI
-
Dal computer locale, esegui
aws configuree fornisci AWS le credenziali. Per informazioni sulle AWS credenziali, consulta Comprendere e ottenere le AWS credenziali.
-
L'amministratore deve aggiungere le seguenti autorizzazioni per abilitare le app Partner AI nell' SageMaker IA.
-
Autorizzazione a completare Marketplace AWS l'abbonamento per Partner AI Apps
-
Imposta il ruolo di esecuzione dell'app Partner AI
Marketplace AWS abbonamento per Partner AI Apps
Gli amministratori devono completare i seguenti passaggi per aggiungere le autorizzazioni per. Marketplace AWS Per informazioni sull'utilizzo Marketplace AWS, consulta Guida introduttiva come acquirente utilizzando. Marketplace AWS
-
Concedi le autorizzazioni per Marketplace AWS. Gli amministratori di Partner AI Apps richiedono queste autorizzazioni per acquistare abbonamenti a Partner AI Apps da. Marketplace AWS Per ottenere l'accesso Marketplace AWS, gli amministratori devono collegare la policy
AWSMarketplaceManageSubscriptionsgestita al ruolo IAM che utilizzano per accedere alla console SageMaker AI e acquistare l'app. Per i dettagli sulla policyAWSMarketplaceManageSubscriptionsgestita, consulta Politiche AWS gestite per gli Marketplace AWS acquirenti. Per informazioni su come allegare politiche gestite, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM. -
Concedi le autorizzazioni all' SageMaker IA per eseguire operazioni per conto degli amministratori utilizzando altri. Servizi AWS Gli amministratori devono concedere all' SageMaker IA le autorizzazioni per utilizzare questi servizi e le risorse su cui agiscono. La seguente definizione della politica mostra come concedere le autorizzazioni necessarie per Partner AI Apps. Queste autorizzazioni sono necessarie in aggiunta alle autorizzazioni esistenti per il ruolo di amministratore. Per ulteriori informazioni, consulta Come utilizzare i ruoli di esecuzione dell' SageMaker IA.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreatePartnerApp", "sagemaker:DeletePartnerApp", "sagemaker:UpdatePartnerApp", "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl", "sagemaker:CreatePartnerApp", "sagemaker:AddTags", "sagemaker:ListTags", "sagemaker:DeleteTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Configura il ruolo di esecuzione dell'app Partner AI
-
Le app Partner AI richiedono un ruolo di esecuzione per interagire con le risorse di Account AWS. Gli amministratori possono creare questo ruolo di esecuzione utilizzando. AWS CLI L'app Partner AI utilizza questo ruolo per completare le azioni relative alla funzionalità dell'app Partner AI.
aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }' -
Crea il ruolo AWS License Manager collegato al servizio seguendo i passaggi descritti in Creare un ruolo collegato al servizio per License Manager.
-
Concedi le autorizzazioni all'app Partner AI per accedere a License Manager utilizzando. AWS CLI Queste autorizzazioni sono necessarie per accedere alle licenze per Partner AI App. Ciò consente all'app Partner AI di verificare l'accesso alla licenza dell'app Partner AI.
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "license-manager:ExtendLicenseConsumption", "license-manager:GetLicense", "license-manager:GetLicenseUsage" ], "Resource": "*" } }' -
Se l'app Partner AI richiede l'accesso a un bucket Amazon S3, aggiungi le autorizzazioni Amazon S3 al ruolo di esecuzione. Per ulteriori informazioni, consulta Autorizzazioni richieste per le operazioni dell'API Amazon S3.
Dopo aver completato le impostazioni delle autorizzazioni amministrative, gli amministratori devono assicurarsi che gli utenti dispongano delle autorizzazioni necessarie per accedere alle app Partner AI.
-
Concedi le autorizzazioni all' SageMaker IA per eseguire operazioni per tuo conto utilizzando altri. Servizi AWS Gli amministratori devono concedere all' SageMaker IA le autorizzazioni per utilizzare questi servizi e le risorse su cui agiscono. Gli amministratori concedono all' SageMaker IA queste autorizzazioni utilizzando un ruolo di esecuzione IAM. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM. La seguente definizione di policy dimostra come concedere le autorizzazioni necessarie per Partner AI Apps. Questa policy può essere aggiunta al ruolo di esecuzione del profilo utente. Per ulteriori informazioni, consulta Come utilizzare i ruoli di esecuzione dell' SageMaker IA.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl" ], "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*" } ] } -
(Facoltativo) Se avvii Partner AI Apps da Studio, aggiungi la policy di
sts:TagSessionfiducia al ruolo utilizzato per avviare Studio o Partner AI Apps direttamente come segue. Ciò garantisce che l'identità possa essere propagata correttamente.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } -
(Facoltativo) Se utilizzi l'SDK di un'app Partner AI per accedere alle funzionalità dell' SageMaker IA, aggiungi la seguente
CallPartnerAppApiautorizzazione al ruolo utilizzato per eseguire il codice SDK. Se esegui il codice SDK da Studio, aggiungi l'autorizzazione al ruolo di esecuzione di Studio. Se esegui il codice da un luogo diverso da Studio, aggiungi l'autorizzazione al ruolo IAM utilizzato con il notebook. Ciò consente all'utente di accedere alla funzionalità dell'app Partner AI dall'SDK dell'app Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "sagemaker:CallPartnerAppApi" ], "Resource": [ "arn:aws:sagemaker:region:account:partner-app/app" ] } ] }
Gestisci l'autorizzazione e l'autenticazione degli utenti
Per fornire l'accesso alle app Partner AI ai membri del proprio team, gli amministratori devono assicurarsi che l'identità dei propri utenti venga diffusa alle Partner AI Apps. Questa propagazione garantisce che gli utenti possano accedere correttamente all'interfaccia utente delle app Partner AI ed eseguire azioni autorizzate dell'app Partner AI.
Le app Partner AI supportano le seguenti fonti di identità:
-
AWS IAM Identity Center
-
Provider di identità esterni (IdPs)
-
Identità basata sulla sessione IAM
Le sezioni seguenti forniscono informazioni sulle fonti di identità supportate da Partner AI Apps, oltre a dettagli importanti relativi a tale fonte di identità.
Se un utente viene autenticato in Studio utilizzando IAM Identity Center e avvia un'applicazione da Studio, IAM Identity Center UserName viene automaticamente propagato come identità utente per un'app Partner AI. Questo non è il caso se l'utente avvia l'app Partner AI direttamente utilizzando l'API. CreatePartnerAppPresignedUrl
Se utilizzano SAML per la Account AWS federazione, gli amministratori hanno due opzioni per trasferire l'identità IdP come identità utente per un'app Partner AI. Per informazioni sulla configurazione Account AWS della federazione, consulta Come configurare SAML 2.0 per la
-
Tag principale: gli amministratori possono configurare l'applicazione IAM Identity Center specifica per IdP per passare le informazioni sull'identità dalla sessione di destinazione utilizzando la AWS sessione
PrincipalTagcon il seguente attributo.NameQuando si utilizza SAML, la sessione del ruolo di destinazione utilizza un ruolo IAM. Per utilizzarePrincipalTag, gli amministratori devono aggiungere l'sts:TagSessionautorizzazione a questo ruolo di destinazione, oltre al ruolo di esecuzione di Studio. Per maggiori informazioni suPrincipalTag, consulta Configurare le asserzioni SAML per la risposta di autenticazione.https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser -
Nome della sessione di destinazione: gli amministratori possono propagare il nome della sessione di destinazione come identità per l'app Partner AI. A tale scopo, devono impostare il flag di
EnableIamSessionBasedIdentityattivazione per ciascuna app Partner AI. Per ulteriori informazioni, consulta EnableIamSessionBasedIdentity.
Importante
Non è consigliabile utilizzare questo metodo per gli account di produzione. Per gli account di produzione, utilizza un provider di identità per una maggiore sicurezza.
SageMaker L'intelligenza artificiale supporta le seguenti opzioni per la propagazione dell'identità quando si utilizza un'identità basata su sessioni IAM. Tutte le opzioni, tranne l'utilizzo di un tag di sessione con AWS STS, richiedono l'impostazione del flag di EnableIamSessionBasedIdentity attivazione per ciascuna applicazione. Per ulteriori informazioni, consulta EnableIamSessionBasedIdentity.
Durante la propagazione delle identità, l' SageMaker IA verifica se viene utilizzato un tag di AWS STS sessione. Se non ne viene utilizzato uno, l' SageMaker IA propaga il nome utente o il nome di sessione IAM. AWS STS
-
AWS STS Tag di sessione: gli amministratori possono impostare un tag di sessione per la
SageMakerPartnerAppUsersessione IAM di avvio. Quando gli amministratori avviano un'app Partner AI utilizzando la console SageMaker AI o il AWS CLI, il tag diSageMakerPartnerAppUsersessione viene automaticamente passato come identità utente per l'app Partner AI. L'esempio seguente mostra come impostare il tag diSageMakerPartnerAppUsersessione utilizzando il. AWS CLI Il valore della chiave viene aggiunto come tag principale.aws sts assume-role \ --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app\ --role-session-name session_name \ --tags Key=SageMakerPartnerAppUser,Value=user-nameQuando concedi agli utenti l'accesso a un'app Partner AI utilizzando
CreatePartnerAppPresignedUrl, consigliamo di verificare il valore dellaSageMakerPartnerAppUserchiave. Questo aiuta a prevenire l'accesso involontario alle risorse dell'app Partner AI. La seguente politica di fiducia verifica che il tag di sessione corrisponda esattamente all'utente IAM associato. Gli amministratori possono utilizzare qualsiasi tag principale per questo scopo. Deve essere configurato sul ruolo che sta avviando Studio o l'app Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringLike": { "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}" } } } ] } -
Utente IAM autenticato: il nome utente dell'utente viene propagato automaticamente come utente dell'app Partner AI.
-
AWS STS nome della sessione: se non è configurato alcun tag di
SageMakerPartnerAppUsersessione durante l'utilizzo AWS STS, SageMaker AI restituisce un errore quando gli utenti avviano un'app Partner AI. Per evitare questo errore, gli amministratori devono impostare il flag diEnableIamSessionBasedIdentityattivazione per ogni app Partner AI. Per ulteriori informazioni, consulta EnableIamSessionBasedIdentity.Quando il flag di
EnableIamSessionBasedIdentityattivazione è abilitato, utilizza la policy di fiducia dei ruoli IAM per assicurarti che il nome della sessione IAM sia o contenga il nome utente IAM. Questo assicura che gli utenti non ottengano l'accesso spacciandosi per altri utenti. La seguente politica di fiducia verifica che il nome della sessione corrisponda esattamente all'utente IAM associato. Gli amministratori possono utilizzare qualsiasi tag principale per questo scopo. Deve essere configurato sul ruolo che sta avviando Studio o l'app Partner AI.{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:username}" } } } ] }Gli amministratori devono inoltre aggiungere la politica di
sts:TagSessionfiducia al ruolo che sta lanciando Studio o l'app Partner AI. Ciò garantisce che l'identità possa essere propagata correttamente.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] }
Dopo aver impostato le credenziali, gli amministratori possono consentire ai propri utenti di accedere a Studio o all'app Partner AI AWS CLI utilizzando rispettivamente le chiamate CreatePresignedDomainUrl o le chiamate CreatePartnerAppPresignedUrl API.
Gli utenti possono inoltre avviare Studio dalla console SageMaker AI e avviare Partner AI Apps da Studio.
EnableIamSessionBasedIdentity
EnableIamSessionBasedIdentityè una bandiera di attivazione. Quando il EnableIamSessionBasedIdentity flag è impostato, l' SageMaker IA trasmette le informazioni sulla sessione IAM come identità utente dell'app Partner AI. Per ulteriori informazioni sulle AWS STS sessioni, consulta Utilizzare credenziali temporanee con AWS le risorse.
Controllo accessi
Per controllare l'accesso alle app Partner AI, utilizza una policy IAM allegata al ruolo di esecuzione del profilo utente. Per avviare un'app Partner AI direttamente da Studio o utilizzando il AWS CLI, il ruolo di esecuzione del profilo utente deve avere una policy che fornisca le autorizzazioni per l'CreatePartnerAppPresignedUrlAPI. Rimuovi questa autorizzazione dal ruolo di esecuzione del profilo utente per assicurarti che non possa avviare Partner AI Apps.
Utenti amministratori root
Il Comet e Fiddler Le app AI partner richiedono almeno un utente amministratore root. Gli utenti amministratore root dispongono delle autorizzazioni per aggiungere utenti normali e amministratori e gestire le risorse. I nomi utente forniti come utenti amministratori root devono essere coerenti con i nomi utente dell'origine dell'identità.
Sebbene gli utenti amministratore root siano permanenti nell' SageMaker AI, gli utenti amministratori normali non lo sono ed esistono solo all'interno dell'app Partner AI fino alla chiusura dell'app Partner AI.
Gli amministratori possono aggiornare gli utenti amministratore root utilizzando la chiamata API. UpdatePartnerApp Quando gli utenti amministratore root vengono aggiornati, l'elenco aggiornato degli utenti amministratore root viene passato all'app Partner AI. L'app Partner AI assicura che a tutti i nomi utente nell'elenco vengano concessi i privilegi di amministratore root. Se un utente amministratore root viene rimosso dall'elenco, l'utente conserva comunque le normali autorizzazioni di amministratore fino a quando:
-
L'utente viene rimosso dall'applicazione.
-
Un altro utente amministratore revoca le autorizzazioni di amministratore per l'utente.
Nota
Fiddler non supporta l'aggiornamento degli utenti amministratori. Solo Comet supporta gli aggiornamenti per gli utenti root admin.
Per eliminare un utente amministratore root, devi prima aggiornare l'elenco degli utenti amministratore root che utilizzano l'UpdatePartnerAppAPI. Quindi, rimuovi o revoca le autorizzazioni di amministratore tramite l'interfaccia utente dell'app Partner AI.
Se rimuovi un utente amministratore root dall'interfaccia utente dell'app Partner AI senza aggiornare l'elenco degli utenti amministratore root con l'UpdatePartnerAppAPI, la modifica è temporanea. Quando SageMaker AI invia la successiva richiesta di aggiornamento dell'app Partner SageMaker AI, l'IA invia l'elenco degli amministratori root che include ancora l'utente all'app Partner AI. Ciò sostituisce l'eliminazione completata dall'interfaccia utente dell'app Partner AI.
