계정 간 검색 가능성

데이터 사이언티스트와 데이터 엔지니어는 다른 계정에 등록된 모델 패키지 그룹을 탐색하고 액세스함으로써 데이터 일관성을 높이고 협업을 간소화하며 중복 작업을 줄일 수 있습니다. Amazon SageMaker 모델 레지스트리를 사용하면 계정 간에 모델 패키지 그룹을 공유할 수 있습니다. 리소스 공유와 관련된 권한에는 두 가지 범주가 있습니다.

• 검색 가능성: 검색 가능성이란 리소스 소비자 계정이 하나 이상의 리소스 소유자 계정에서 공유하는 모델 패키지 그룹을 볼 수 있는 기능입니다. 리소스 소유자가 공유 모델 패키지 그룹에 필요한 리소스 정책을 첨부한 경우에만 검색이 가능합니다. 리소스 소비자는 UI 및 에서 모든 공유 모델 패키지 그룹을 볼 수 있습니다. AWS RAM AWS CLI

• 접근성: 접근성은 공유 모델 패키지 그룹을 사용할 수 있는 리소스 소비자 계정의 기능입니다. 예를 들어 리소스 소비자는 필요한 권한이 있는 경우 다른 계정에서 모델 패키지를 등록하거나 배포할 수 있습니다.

접근성

리소스 소비자에게 공유 모델 패키지 그룹을 사용할 수 있는 액세스 권한이 있는 경우, 리소스 소비자는 모델 패키지 그룹의 버전을 등록하거나 배포할 수 있습니다. 리소스 소비자가 공유 모델 패키지 그룹을 등록하는 방법에 대한 자세한 내용은 을 참조하십시오다른 계정에서 모델 버전 등록. 리소스 소비자가 공유 모델 패키지 그룹을 배포할 수 있는 방법에 대한 자세한 내용은 을 참조하십시오다른 계정에서 모델 버전 배포.

검색 가능성

리소스 소유자는 리소스 공유를 생성하고 엔티티에 리소스 정책을 연결하여 모델 패키지 그룹 검색 가능성을 설정할 수 있습니다. 에서 일반 리소스 공유를 생성하는 방법에 대한 자세한 단계는 AWS RAM설명서의 리소스 공유 만들기를 참조하십시오. AWS RAM

AWS RAM 콘솔 또는 모델 레지스트리 리소스 정책을 사용하여 모델 패키지 그룹 검색 가능성을 설정하려면 다음 지침을 완료하십시오. APIs

AWS CLI

1. 모델 소유자 계정에서 리소스 공유를 생성합니다.

   1. 모델 소유자는 다음 명령에 설명된 대로 Resource Policy API put-model-package-group-policy를 사용하여 모델 패키지 그룹에 SageMaker 리소스 정책을 연결합니다.

      aws sagemaker put-model-package-group-policy
      --model-package-group-name <model-package-group-name>
      --resource-policy "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":
      \"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":<principal>,
      \"Action\":[\"sagemaker:DescribeModelPackage\",
      \"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
      \"Resource\":[\"<model-package-group-arn>,\"
      \"arn:aws:sagemaker:<region>:<owner-account-id>:model-package/
      <model-package-group-name>/*\"]}]}"

      참고

      다양한 작업 조합을 리소스 정책에 연결할 수 있습니다. 사용자 지정 정책의 경우 모델 패키지 그룹 소유자가 만든 권한을 승격해야 하며 승격 권한이 연결된 엔티티만 검색할 수 있습니다. 승격할 수 없는 리소스 공유를 통해 검색하거나 관리할 수 없습니다. AWS RAM

   2. 리소스 ARN 공유가 AWS RAM 생성되었는지 확인하려면 다음 명령을 사용하십시오.

      aws ram get-resource-share-associations --association-type resource --resource-arn <model-package-group-arn>

      응답에는 다음이 포함됩니다.resource-share-arn 엔티티용.

   3. 연결된 정책 권한이 관리형 정책인지 사용자 지정 정책인지 확인하려면 다음 명령을 사용하십시오.

      aws ram list-resource-share-permissions --resource-share-arn <resource-share-arn>

      이 featureSet 필드는 다음과 같이 정의된 CREATED_FROM_POLICY 또는 STANDARD 값을 사용할 수 있습니다.

      • STANDARD: 권한이 이미 있습니다.

      • CREATED_FROM_POLICY: 개체를 검색할 수 있으려면 권한을 승격해야 합니다. 자세한 내용은 권한 및 리소스 공유를 승격하세요. 단원을 참조하십시오.

2. 모델 소비자 계정의 리소스 공유 초대를 수락하십시오.

   1. 모델 패키지 그룹 소비자가 리소스 공유 초대를 수락합니다. 모든 리소스 초대를 보려면 다음 명령을 실행합니다.

      aws ram get-resource-share-invitations

      상태가 PENDING 있는 요청을 식별하고 소유자 계정의 계정 ID를 포함하십시오.

   2. 다음 명령을 사용하여 모델 소유자의 리소스 공유 초대를 수락합니다.

      aws ram accept-resource-share-invitation --resource-share-invitation-arn <resource-share-invitation-arn>

AWS RAM console

1. AWS RAM 콘솔에 로그인합니다.

2. 모델 패키지 그룹 소유자 계정에서 리소스 공유를 생성하려면 다음 단계를 완료하세요.

   1. 리소스 공유 세부 정보를 지정하려면 다음 단계를 완료하세요.

      1. 이름 필드에 리소스의 고유한 이름을 추가합니다.

      2. 리소스 카드에서 드롭다운 메뉴를 선택하고 SageMaker 모델 패키지 그룹을 선택합니다.

      3. 모델 패키지 그룹 리소스 ARN 공유의 확인란을 선택합니다.

      4. 리소스 선택 카드에서 모델 패키지 그룹 리소스 공유의 확인란을 선택합니다.

      5. 태그 카드에서 리소스 공유에 추가할 태그의 키-값 쌍을 추가합니다.

      6. Next(다음)를 선택합니다.

   2. 관리형 권한을 리소스 공유에 연결하려면 다음 단계를 완료하세요.

      1. 관리 권한을 사용하는 경우 관리 권한 드롭다운 메뉴에서 관리 권한을 선택합니다.

      2. 사용자 지정 권한을 사용하는 경우 고객 관리 권한을 선택합니다. 이 경우 모델 패키지 그룹을 즉시 검색할 수 없습니다. 리소스 공유를 생성한 후 권한과 리소스 정책을 승격해야 합니다. 권한 및 리소스 공유를 승격시키는 방법에 대한 자세한 내용은 을 참조하십시오권한 및 리소스 공유를 승격하세요.. 사용자 지정 권한을 연결하는 방법에 대한 자세한 내용은 에서 고객 관리 권한 생성 및 사용을 참조하십시오 AWS RAM.

      3. Next(다음)를 선택합니다.

   3. 다음 단계를 완료하여 주체에게 액세스 권한을 부여하세요.

      1. 조직 외부 계정과 공유를 허용하려면 모든 사람과 공유 허용을 선택하거나 조직 내에서만 공유 허용을 선택합니다.

      2. 보안 주체 유형 선택 드롭다운 메뉴에서 추가하려는 보안 주체의 주체 유형과 ID를 추가합니다.

      3. 선택한 공유 주체를 추가하고 선택합니다.

      4. Next(다음)를 선택합니다.

   4. 표시된 공유 구성을 검토한 다음 리소스 공유 생성을 선택합니다.

3. 소비자 계정의 리소스 공유 초대를 수락합니다. 모델 소유자가 리소스 공유 및 보안 주체 연결을 생성하면 지정된 리소스 소비자 계정이 리소스 공유에 가입하라는 초대를 받습니다. 리소스 소비자 계정은 콘솔의 Shared with me: Resource share 페이지에서 초대를 보고 수락할 수 있습니다. AWS RAM 에서 AWS RAM리소스를 수락하고 보는 방법에 대한 자세한 내용은 공유된 AWS 리소스 액세스를 참조하십시오.

공유 모델 패키지 그룹 보기

리소스 소유자가 리소스 공유를 생성하는 이전 단계를 완료하고 소비자가 공유 초대를 수락하면 소비자는 AWS RAM 콘솔에서 AWS CLI OR를 사용하여 공유 모델 패키지 그룹을 볼 수 있습니다.

AWS CLI

공유된 모델 패키지 그룹을 보려면 모델 소비자 계정에서 다음 명령을 사용하십시오.

aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount

AWS RAM 콘솔

AWS RAM 콘솔에서 리소스 소유자와 소비자는 공유 모델 패키지 그룹을 볼 수 있습니다. 리소스 소유자는 에서 생성한 리소스 공유 보기의 단계에 따라 소비자와 공유된 모델 패키지 그룹을 볼 수 AWS RAM있습니다. 리소스 소비자는 공유된 리소스 공유 보기의 단계에 따라 소유자가 공유하는 모델 패키지 그룹을 볼 수 있습니다.

리소스 공유에서 주도자를 분리하고 리소스 공유를 제거합니다.

리소스 소유자는 권한 집합에 대한 보안 주체를 리소스 공유에서 분리하거나 또는 콘솔을 사용하여 전체 리소스 공유를 삭제할 수 있습니다. AWS CLI AWS RAM 리소스 공유에서 보안 주체를 분리하는 방법에 대한 자세한 내용은 설명서의 리소스 공유 업데이트를 참조하십시오. AWS RAM 리소스 공유를 삭제하는 방법에 대한 자세한 내용은 설명서의 리소스 공유 삭제를 참조하십시오. AWS RAM

AWS CLI

리소스 공유에서 보안 주체를 분리하려면 다음과 같이 명령을 사용합니다. dissociate-resource-share

aws ram disassociate-resource-share --resource-share-arn <resource-share-arn> --principals <principal>

리소스 공유를 삭제하려면 다음과 같이 명령을 사용합니다. delete-resource-share

aws ram delete-resource-share --resource-share-arn <resource-share-arn>

AWS RAM 콘솔

리소스 공유에서 보안 주체를 분리하는 방법에 대한 자세한 내용은 설명서의 리소스 공유 업데이트를 참조하십시오. AWS RAM 리소스 공유를 삭제하는 방법에 대한 자세한 내용은 설명서의 리소스 공유 삭제를 참조하십시오. AWS RAM

권한 및 리소스 공유를 승격하세요.

사용자 지정 (고객 관리) 권한을 사용하는 경우 모델 패키지 그룹을 검색할 수 있으려면 권한과 관련 리소스 공유를 승격해야 합니다. 다음 단계를 완료하여 권한 및 리소스 공유를 승격하십시오.

1. 에서 액세스할 수 있도록 사용자 지정된 권한을 AWS RAM승격하려면 다음 명령을 사용합니다.

   aws ram promote-permission-created-from-policy —permission-arn <permission-arn>

2. 다음 명령을 사용하여 리소스 공유를 승격하십시오.

   aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

이전 단계를 수행하는 동안 OperationNotPermittedException 오류가 표시되면 엔티티를 검색할 수는 없지만 액세스할 수는 있습니다. 예를 들어, 리소스 소유자가 역할 주체 수임을 포함하는 리소스 정책을 연결하거나 리소스 정책에서 허용하는 “Action”: “*” 경우 관련 모델 패키지 그룹은 승격하거나 검색할 수 없습니다. “Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”}