Associe um AWS CodeCommit repositório em um Conta da AWS com o Amazon SageMaker AI Studio Classic em outra conta

PDF

Criado por Laurens van der Maas (AWS) e Aubrey Oosthuizen (AWS)

Resumo

Aviso: não AWS CodeCommit está mais disponível para novos clientes. Os clientes existentes do AWS CodeCommit podem continuar usando o serviço normalmente. Saiba mais

Esse padrão fornece instruções e código sobre como associar um AWS CodeCommit repositório em um Conta da AWS (Conta A) com o Amazon SageMaker AI Studio Classic em outro Conta da AWS (Conta B). Para configurar a associação, você deve criar uma política e uma função AWS Identity and Access Management (IAM) na Conta A e uma política embutida do IAM na Conta B. Em seguida, você usa um script de shell para clonar o CodeCommit repositório da Conta A para o Amazon SageMaker AI Classic na Conta B.

Pré-requisitos e limitações

Pré-requisitos

• Dois Contas da AWS, um contendo o CodeCommit repositório e o outro contendo um domínio de SageMaker IA com um usuário

• Domínio e usuário de SageMaker IA provisionados, com acesso à Internet ou acesso a CodeCommit e AWS Security Token Service (AWS STS) por meio de endpoints de rede privada virtual (VPC)

• Conceitos básicos do IAM

• Uma compreensão básica do SageMaker AI Studio Classic

• Uma compreensão básica do Git e CodeCommit

Limitações

Esse padrão se aplica somente ao SageMaker AI Studio Classic, não ao RStudio Amazon SageMaker AI.

Arquitetura

Pilha de tecnologia

• SageMaker Inteligência Artificial da Amazon

• Amazon SageMaker AI Studio Clássico

• AWS CodeCommit

• AWS Identity and Access Management (IAM)

• Git

Arquitetura de destino

O diagrama a seguir mostra uma arquitetura que associa um CodeCommit repositório da Conta A ao SageMaker AI Studio Classic na Conta B.

O diagrama mostra o seguinte fluxo de trabalho:

1. Um usuário assume a MyCrossAccountRepositoryContributorRole função na Conta A por meio da sts:AssumeRole função, enquanto usa a função de execução de SageMaker IA no SageMaker AI Studio Classic na Conta B. A função assumida inclui as CodeCommit permissões para clonar e interagir com o repositório especificado.

2. O usuário executa comandos Git a partir do terminal do sistema no SageMaker AI Studio Classic.

Automação e escala

Esse padrão consiste em etapas manuais que podem ser automatizadas usando o AWS Cloud Development Kit (AWS CDK), AWS CloudFormation, ou Terraform.

Ferramentas

Ferramentas da AWS

• O Amazon SageMaker AI é um serviço gerenciado de aprendizado de máquina (ML) que ajuda você a criar e treinar modelos de ML e depois implantá-los em um ambiente hospedado pronto para produção.

• O Amazon SageMaker AI Studio Classic é um ambiente de desenvolvimento integrado (IDE) baseado na web para aprendizado de máquina que permite criar, treinar, depurar, implantar e monitorar seus modelos de aprendizado de máquina.

• AWS CodeCommité um serviço de controle de versão que ajuda você a armazenar e gerenciar repositórios Git de forma privada, sem precisar gerenciar seu próprio sistema de controle de origem.

  Aviso: não AWS CodeCommit está mais disponível para novos clientes. Os clientes existentes do AWS CodeCommit podem continuar usando o serviço normalmente. Saiba mais

• AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.

Outras ferramentas

• O Git é um sistema distribuído de controle de versões para rastrear alterações no código-fonte durante o desenvolvimento do software.

Épicos

Criar uma política do IAM e um perfil do IAM na conta A

Tarefa	Descrição	Habilidades necessárias
Criar uma política do IAM para acesso ao repositório na conta A.	Faça login no AWS Management Console e abra o console do IAM. No painel de navegação, selecione Políticas e, em seguida, Criar política. Selecione a guia JSON. Copie a instrução da política de Exemplo de política do IAM na seção Informações adicionais desse padrão e cole-a no editor JSON. Certifique-se de substituir todos os valores de espaço reservado na política. Selecione Próximo: Tags e, em seguida,Próximo: Análise. Em Nome, insira um nome para a política. Observação: nesse padrão, a política do IAM é chamada de CrossAccountAccessForMySharedDemoRepo, mas você pode escolher o nome de política que preferir. Escolha Criar política. dica É uma prática recomendada restringir o escopo de suas políticas do IAM às permissões mínimas necessárias para seu caso de uso.	AWS DevOps
Criar um perfil do IAM para acesso ao repositório na conta A.	No painel de navegação do console do IAM, escolha Funções e, em seguida, Criar função. Em Tipo de entidade confiável, selecione Conta da AWS. Na seção Conta da AWS, selecione Outra conta da AWS. Em ID da conta, insira o ID da conta para a conta B. Na página Adicionar permissões, procure e escolha a política CrossAccountAccessForMySharedDemoRepo que você criou anteriormente. Escolha Próximo. Em Nome do perfil, insira um nome. Observação: nesse padrão, o perfil do IAM é chamado de MyCrossAccountRepositoryContributorRole, mas você pode escolher o nome de perfil que preferir. Escolha Criar perfil e, em seguida, copie o nome do recurso da Amazon (ARN) do novo perfil.	AWS DevOps

Criar uma política do IAM e um perfil do IAM na conta A

Tarefa	Descrição	Habilidades necessárias
Criar uma política do IAM para acesso ao repositório na conta A.	Faça login no AWS Management Console e abra o console do IAM. No painel de navegação, selecione Políticas e, em seguida, Criar política. Selecione a guia JSON. Copie a instrução da política de Exemplo de política do IAM na seção Informações adicionais desse padrão e cole-a no editor JSON. Certifique-se de substituir todos os valores de espaço reservado na política. Selecione Próximo: Tags e, em seguida,Próximo: Análise. Em Nome, insira um nome para a política. Observação: nesse padrão, a política do IAM é chamada de CrossAccountAccessForMySharedDemoRepo, mas você pode escolher o nome de política que preferir. Escolha Criar política. dica É uma prática recomendada restringir o escopo de suas políticas do IAM às permissões mínimas necessárias para seu caso de uso.	AWS DevOps
Criar um perfil do IAM para acesso ao repositório na conta A.	No painel de navegação do console do IAM, escolha Funções e, em seguida, Criar função. Em Tipo de entidade confiável, selecione Conta da AWS. Na seção Conta da AWS, selecione Outra conta da AWS. Em ID da conta, insira o ID da conta para a conta B. Na página Adicionar permissões, procure e escolha a política CrossAccountAccessForMySharedDemoRepo que você criou anteriormente. Escolha Próximo. Em Nome do perfil, insira um nome. Observação: nesse padrão, o perfil do IAM é chamado de MyCrossAccountRepositoryContributorRole, mas você pode escolher o nome de perfil que preferir. Escolha Criar perfil e, em seguida, copie o nome do recurso da Amazon (ARN) do novo perfil.	AWS DevOps

Criar uma política em linha do IAM na Conta B

Tarefa	Descrição	Habilidades necessárias
Anexe uma política embutida à função de execução vinculada ao usuário do seu SageMaker domínio na Conta B.	No painel de navegação do console do IAM, escolha Perfis. Pesquise e escolha a função de execução associada ao seu usuário do SageMaker AI Domain na Conta B. Escolha Adicionar permissões e, em seguida, Criar política em linha. Selecione a guia JSON. Copie a seguinte declaração de política e, em seguida, cole-o no editor JSON. { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<Account_A_ID>:role/<Account_A_Role_Name>" } ] } Substitua <Account_A_ID> pelo ID da conta A. Substitua <Account_A_Role_Name> pelo nome do perfil do IAM que você criou anteriormente. Escolha Revisar política. Em Nome, digite um nome para sua política em linha. Escolha Criar política.	AWS DevOps

Criar uma política em linha do IAM na Conta B

Tarefa	Descrição	Habilidades necessárias
Anexe uma política embutida à função de execução vinculada ao usuário do seu SageMaker domínio na Conta B.	No painel de navegação do console do IAM, escolha Perfis. Pesquise e escolha a função de execução associada ao seu usuário do SageMaker AI Domain na Conta B. Escolha Adicionar permissões e, em seguida, Criar política em linha. Selecione a guia JSON. Copie a seguinte declaração de política e, em seguida, cole-o no editor JSON. { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<Account_A_ID>:role/<Account_A_Role_Name>" } ] } Substitua <Account_A_ID> pelo ID da conta A. Substitua <Account_A_Role_Name> pelo nome do perfil do IAM que você criou anteriormente. Escolha Revisar política. Em Nome, digite um nome para sua política em linha. Escolha Criar política.	AWS DevOps

Clone o repositório no SageMaker AI Studio Classic para a Conta B

Tarefa	Descrição	Habilidades necessárias
Crie o script de shell no SageMaker AI Studio Classic na Conta B.	No painel de navegação do SageMaker console, escolha Studio. Selecione seu perfil de usuário e, em seguida, escolha Abrir Studio. Na seção Início, escolha Abrir o assistente de execução. Na seção Utilitários e arquivos, escolha Arquivo de texto. Copie o script de Exemplo de script de SageMaker shell na seção Informações adicionais desse padrão e cole a instrução no novo arquivo. Certifique-se de substituir todos os valores de espaço reservado na política. Clique com o botão direito do mouse na guia untitled.txt do seu novo arquivo e escolha Renomear texto. Em Novo nome, digite cross_account_git_clone.sh e, em seguida, escolha Renomear.	AWS DevOps
Invocar o script de shell a partir do terminal do sistema.	Na seção Início do SageMaker console, escolha Abrir o Launcher. Na seção Utilitários e arquivos, escolha Terminal do sistema. Na janela do terminal, execute o seguinte comando: chmod u+x ./cross_account_git_clone.sh && ./cross_account_git_clone.sh Você clonou seu CodeCommit repositório em uma conta cruzada do SageMaker AI Studio. Agora você pode executar todos os comandos do Git no terminal do sistema.	AWS DevOps

Clone o repositório no SageMaker AI Studio Classic para a Conta B

Tarefa	Descrição	Habilidades necessárias
Crie o script de shell no SageMaker AI Studio Classic na Conta B.	No painel de navegação do SageMaker console, escolha Studio. Selecione seu perfil de usuário e, em seguida, escolha Abrir Studio. Na seção Início, escolha Abrir o assistente de execução. Na seção Utilitários e arquivos, escolha Arquivo de texto. Copie o script de Exemplo de script de SageMaker shell na seção Informações adicionais desse padrão e cole a instrução no novo arquivo. Certifique-se de substituir todos os valores de espaço reservado na política. Clique com o botão direito do mouse na guia untitled.txt do seu novo arquivo e escolha Renomear texto. Em Novo nome, digite cross_account_git_clone.sh e, em seguida, escolha Renomear.	AWS DevOps
Invocar o script de shell a partir do terminal do sistema.	Na seção Início do SageMaker console, escolha Abrir o Launcher. Na seção Utilitários e arquivos, escolha Terminal do sistema. Na janela do terminal, execute o seguinte comando: chmod u+x ./cross_account_git_clone.sh && ./cross_account_git_clone.sh Você clonou seu CodeCommit repositório em uma conta cruzada do SageMaker AI Studio. Agora você pode executar todos os comandos do Git no terminal do sistema.	AWS DevOps

Mais informações

Exemplo de política do IAM

Para usar este exemplo, você precisa fazer o seguinte:

• <CodeCommit_Repository_Region>Substitua pelo Região da AWS para o repositório.

• Substitua <Account_A_ID> pelo ID da conta para a conta A.

• <CodeCommit_Repository_Name>Substitua pelo nome do seu CodeCommit repositório na Conta A.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "codecommit:BatchGet*",
            "codecommit:Create*",
            "codecommit:DeleteBranch",
            "codecommit:Get*",
            "codecommit:List*",
            "codecommit:Describe*",
            "codecommit:Put*",
            "codecommit:Post*",
            "codecommit:Merge*",
            "codecommit:Test*",
            "codecommit:Update*",
            "codecommit:GitPull",
            "codecommit:GitPush"
        ],
        "Resource": [
            "arn:aws:codecommit:<CodeCommit_Repository_Region>:<Account_A_ID>:<CodeCommit_Repository_Name>"
        ]
    }
]
}

Exemplo de script de shell de SageMaker IA

Para usar este exemplo, você precisa fazer o seguinte:

• Substitua <Account_A_ID> pelo ID da conta para conta A.

• Substitua <Account_A_Role_Name> pelo nome do perfil do IAM que você criou anteriormente.

• <CodeCommit_Repository_Region>Substitua pelo Região da AWS para o repositório.

• <CodeCommit_Repository_Name>Substitua pelo nome do seu CodeCommit repositório na Conta A.

#!/usr/bin/env bash
#Launch from system terminal
pip install --quiet git-remote-codecommit

mkdir -p ~/.aws
touch ~/.aws/config

echo "[profile CrossAccountAccessProfile]
region = <CodeCommit_Repository_Region>
credential_source=EcsContainer
role_arn = arn:aws:iam::<Account_A_ID>:role/<Account_A_Role_Name>
output = json" > ~/.aws/config

echo '[credential "https://git-codecommit.<CodeCommit_Repository_Region>.amazonaws.com"]
        helper = !aws codecommit credential-helper $@ --profile CrossAccountAccessProfile
        UseHttpPath = true' > ~/.gitconfig
        
git clone codecommit::<CodeCommit_Repository_Region>://CrossAccountAccessProfile@<CodeCommit_Repository_Name>