Possibilidade de descoberta em várias contas - Amazon SageMaker
AcessibilidadePossibilidade de descobertaExibir grupos de pacotes de modelos compartilhadosDissociar os principais de um compartilhamento de recursos e remover um compartilhamento de recursosPromova a permissão e o compartilhamento de recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Possibilidade de descoberta em várias contas

Ao explorar e acessar grupos de pacotes de modelos registrados em outras contas, cientistas e engenheiros de dados podem promover a consistência dos dados, agilizar a colaboração e reduzir a duplicação de esforços. Com o Amazon SageMaker Model Registry, você pode compartilhar grupos de pacotes de modelos entre contas. Há duas categorias de permissões associadas ao compartilhamento de recursos:

  • Capacidade de descoberta: a capacidade de descoberta é a capacidade da conta do consumidor do recurso de ver os grupos de pacotes de modelos compartilhados por uma ou mais contas do proprietário do recurso. A capacidade de descoberta só é possível se o proprietário do recurso anexar as políticas de recursos necessárias aos grupos de pacotes de modelos compartilhados. O consumidor do recurso pode visualizar todos os grupos de pacotes de modelos compartilhados no AWS RAM UI e AWS CLI.

  • Acessibilidade: acessibilidade é a capacidade da conta do consumidor de recursos de usar os grupos de pacotes de modelos compartilhados. Por exemplo, o consumidor do recurso pode registrar ou implantar um pacote modelo de uma conta diferente se tiver as permissões necessárias.

Acessibilidade

Se o consumidor do recurso tiver permissões de acesso para usar um grupo compartilhado de pacotes de modelos, ele poderá registrar ou implantar uma versão do grupo de pacotes de modelos. Para obter detalhes sobre como o consumidor de recursos pode registrar um grupo de pacotes de modelos compartilhados, consulteRegistrar uma versão do modelo de uma conta diferente. Para obter detalhes sobre como o consumidor de recursos pode implantar um grupo de pacotes de modelos compartilhados, consulteImplantar uma versão do modelo de uma conta diferente.

Possibilidade de descoberta

O proprietário do recurso pode configurar a capacidade de descoberta do grupo de pacotes de modelos criando compartilhamentos de recursos e anexando políticas de recursos às entidades. Para obter etapas detalhadas sobre como criar um compartilhamento geral de recursos no AWS RAM, consulte Criar um compartilhamento de recursos no AWS RAM.

Conclua as instruções a seguir para configurar a capacidade de descoberta do grupo de pacotes de modelos usando o AWS RAM console ou política de recursos do Model RegistryAPIs.

AWS CLI

  1. Crie um compartilhamento de recursos na conta do proprietário do modelo.

    1. O proprietário do modelo anexa uma política de recursos ao grupo de pacotes do modelo usando a Política de SageMaker Recursos API put-model-package-group-policy, conforme demonstrado no comando a seguir.

      aws sagemaker put-model-package-group-policy
--model-package-group-name <model-package-group-name>
--resource-policy "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":
\"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":<principal>,
\"Action\":[\"sagemaker:DescribeModelPackage\",
\"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
\"Resource\":[\"<model-package-group-arn>,\"
\"arn:aws:sagemaker:<region>:<owner-account-id>:model-package/
<model-package-group-name>/*\"]}]}"
      nota

      Diferentes combinações de ações podem ser anexadas à política de recursos. Para políticas personalizadas, a permissão criada deve ser promovida pelo proprietário do grupo de pacotes de modelos, e somente entidades com permissões promovidas anexadas podem ser descobertas. Os compartilhamentos de recursos não promovidos não podem ser descobertos ou gerenciados por meio de AWS RAM.

    2. Para verificar isso AWS RAM criou o compartilhamento de recursosARN, use o seguinte comando:

      aws ram get-resource-share-associations --association-type resource --resource-arn <model-package-group-arn>

      A resposta contém o resource-share-arn para a entidade.

    3. Para verificar se a permissão da política anexada é uma política gerenciada ou personalizada, use o seguinte comando:

      aws ram list-resource-share-permissions --resource-share-arn <resource-share-arn>

      O featureSet campo pode ter valores CREATED_FROM_POLICY ouSTANDARD, que são definidos da seguinte forma:

  2. Aceite o convite de compartilhamento de recursos na conta de consumidor modelo.

    1. O consumidor do grupo de pacotes de modelos aceita o convite para compartilhamento de recursos. Para ver todos os convites de recursos, execute o seguinte comando:

      aws ram get-resource-share-invitations

      Identifique as solicitações que têm status PENDING e inclua o ID da conta do proprietário.

    2. Aceite o convite de compartilhamento de recursos do proprietário do modelo usando o seguinte comando:

      aws ram accept-resource-share-invitation --resource-share-invitation-arn <resource-share-invitation-arn>
AWS RAM console

  1. Faça login no AWS RAM console.

  2. Conclua as etapas a seguir para criar um compartilhamento de recursos a partir da conta do proprietário do grupo de pacotes de modelos.

    1. Conclua as etapas a seguir para especificar os detalhes do compartilhamento de recursos.

      1. No campo Nome, adicione um nome exclusivo para seu recurso.

      2. No cartão Resources, escolha o menu suspenso e selecione Model SageMaker Package Groups.

      3. Marque a caixa de seleção do compartilhamento ARN de recursos do grupo de pacotes de modelos.

      4. No cartão Selecionar recursos, marque a caixa de seleção do compartilhamento de recursos do grupo de pacotes de modelos.

      5. No cartão Tags, adicione pares de valores-chave para as tags a serem adicionadas ao seu compartilhamento de recursos.

      6. Escolha Próximo.

    2. Conclua as etapas a seguir para associar permissões gerenciadas ao compartilhamento de recursos.

      1. Se você usa uma permissão gerenciada, escolha uma permissão gerenciada no menu suspenso Permissões gerenciadas.

      2. Se você usar uma permissão personalizada, escolha Permissão gerenciada pelo cliente. Nesse caso, o grupo de pacotes do modelo não pode ser descoberto imediatamente. Você precisa promover a permissão e a política de recursos depois de criar o compartilhamento de recursos. Para obter informações sobre como promover permissões e compartilhamentos de recursos, consultePromova a permissão e o compartilhamento de recursos. Para obter mais informações sobre como anexar permissões personalizadas, consulte Criação e uso de permissões gerenciadas pelo cliente em AWS RAM.

      3. Escolha Próximo.

    3. Conclua as etapas a seguir para conceder acesso aos diretores.

      1. Escolha Permitir compartilhamento com qualquer pessoa para permitir o compartilhamento com contas fora da sua organização ou escolha Permitir compartilhamento somente dentro da sua organização.

      2. No menu suspenso Selecionar tipo principal, adicione os tipos principais e a ID dos principais que você deseja adicionar.

      3. Adicione e selecione os principais escolhidos para o compartilhamento.

      4. Escolha Próximo.

    4. Revise a configuração de compartilhamento exibida e escolha Criar compartilhamento de recursos.

  3. Aceite o convite de compartilhamento de recursos da conta do consumidor. Depois que o proprietário do modelo cria o compartilhamento de recursos e as associações principais, as contas de consumidores de recursos especificadas recebem um convite para participar do compartilhamento de recursos. As contas de consumidores de recursos podem visualizar e aceitar os convites na página Compartilhado comigo: compartilhamentos de recursos no AWS RAM console. Para obter mais informações sobre como aceitar e visualizar recursos em AWS RAM, consulte Acesso AWS recursos compartilhados com você.

Exibir grupos de pacotes de modelos compartilhados

Depois que o proprietário do recurso concluir as etapas anteriores para criar um compartilhamento de recursos e o consumidor aceitar o convite para o compartilhamento, o consumidor poderá visualizar os grupos de pacotes de modelos compartilhados usando o AWS CLI ou no AWS RAM console.

AWS CLI

Para visualizar os grupos de pacotes de modelos compartilhados, use o seguinte comando na conta do consumidor do modelo:

aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount

AWS RAM console

No painel, AWS RAM console, o proprietário e o consumidor do recurso podem visualizar grupos de pacotes de modelos compartilhados. O proprietário do recurso pode visualizar os grupos de pacotes de modelos compartilhados com o consumidor seguindo as etapas em Visualização dos compartilhamentos de recursos que você criou no AWS RAM. O consumidor do recurso pode visualizar os grupos de pacotes de modelos compartilhados pelo proprietário seguindo as etapas em Exibir compartilhamentos de recursos compartilhados com você.

Dissociar os principais de um compartilhamento de recursos e remover um compartilhamento de recursos

O proprietário do recurso pode dissociar os principais do compartilhamento de recursos para obter um conjunto de permissões ou excluir todo o compartilhamento de recursos usando o AWS CLI ou o AWS RAM console. Para obter detalhes sobre como dissociar os principais de um compartilhamento de recursos, consulte Atualizar um compartilhamento de recursos no AWS RAM. Para obter detalhes sobre como excluir um compartilhamento de recursos, consulte Excluindo um compartilhamento de recursos no AWS RAM.

AWS CLI

Para dissociar os principais de um compartilhamento de recursos, use o comando da seguinte dissociate-resource-shareforma:

aws ram disassociate-resource-share --resource-share-arn <resource-share-arn> --principals <principal>

Para excluir um compartilhamento de recursos, use o comando da delete-resource-shareseguinte forma:

aws ram delete-resource-share --resource-share-arn <resource-share-arn>

AWS RAM console

Para obter mais detalhes sobre como dissociar os diretores de um compartilhamento de recursos, consulte Atualizar um compartilhamento de recursos no AWS RAM. Para obter mais detalhes sobre como excluir um compartilhamento de recursos, consulte Excluindo um compartilhamento de recursos no AWS RAM.

Promova a permissão e o compartilhamento de recursos

Se você usar permissões personalizadas (gerenciadas pelo cliente), precisará promover a permissão e o compartilhamento de recursos associado para que o grupo de pacotes de modelos possa ser descoberto. Conclua as etapas a seguir para promover a permissão e o compartilhamento de recursos.

  1. Para promover sua permissão personalizada para ser acessada por AWS RAM, use o seguinte comando:

    aws ram promote-permission-created-from-policy —permission-arn <permission-arn>

  2. Promova o compartilhamento de recursos usando o seguinte comando:

    aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

Se você ver o OperationNotPermittedException erro ao executar as etapas anteriores, a entidade não pode ser descoberta, mas pode ser acessada. Por exemplo, se o proprietário do recurso anexar uma política de recursos com um diretor de assumir a função“Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”}, como, ou se a política de recursos permitir“Action”: “*”, o grupo de pacotes de modelos associado não poderá ser promovido nem descoberto.