本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AMS SSP 在您的 AMS 帳戶中佈建 Amazon SageMaker AI
<a name="sagemaker"></a>

使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中的 Amazon SageMaker AI 功能。SageMaker AI 可讓每位開發人員和資料科學家快速建置、訓練和部署機器學習模型。Amazon SageMaker AI 是一項全受管服務，涵蓋整個機器學習工作流程，以標記和準備您的資料、選擇演算法、訓練模型、調校和最佳化部署、進行預測，以及採取動作。您的模型可以更快地進入生產環境，減少許多工作量並降低成本。若要進一步了解，請參閱 [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)。

## AWS Managed Services 常見問答集中的 SageMaker AI
<a name="set-sagemaker-faqs"></a>

常見問題和解答：

**問：如何請求存取 AMS 帳戶中的 SageMaker AI？**

透過提交管理 \$1 AWS 服務 \$1 自助佈建服務 \$1 新增 (ct-1w8z66n899dct) 變更類型來請求存取權。此 RFC 會將下列 IAM 角色佈建至您的帳戶： `customer_sagemaker_admin_role` 和服務角色 `AmazonSageMaker-ExecutionRole-Admin`。在您的帳戶中佈建 SageMaker AI 之後，您必須在聯合解決方案中加入該`customer_sagemaker_admin_role`角色。您無法直接存取服務角色；SageMaker AI 服務會在執行各種動作時使用它，如下所述：[傳遞角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)。

**問：在我的 AMS 帳戶中使用 SageMaker AI 有哪些限制？**
+ AMS Amazon SageMaker AI IAM 角色不支援下列使用案例：
  + 目前不支援 SageMaker AI Studio。
  + 不支援 SageMaker AI Ground Truth 來管理私有人力資源，因為此功能需要對 Amazon Cognito 資源的過度允許存取。如果需要管理私有人力資源，您可以請求具有合併 SageMaker AI 和 Amazon Cognito 許可的自訂 IAM 角色。否則，我們建議您使用公有人力資源 （由 Amazon Mechanical Turk 提供支援） 或 AWS Marketplace 服務供應商進行資料標記。
+ 建立 VPC 端點以支援對 SageMaker AI 服務的 API 呼叫 (aws.sagemaker.\$1region\$1.notebook、com.amazonaws.\$1region\$1.sagemaker.api & com.amazonaws.\$1region\$1.sagemaker.runtime)，因為許可範圍不能縮小為僅限 SageMaker AI 相關服務。若要支援此使用案例，請提交管理 \$1 其他 \$1 其他 RFC 以建立相關的 VPC 端點。
+ 不支援 SageMaker AI 端點自動擴展，因為 SageMaker AI 需要任何 ("\$1") 資源的`DeleteAlarm`許可。若要支援端點自動擴展，請提交管理 \$1 其他 \$1 其他 RFC 來設定 SageMaker AI 端點的自動擴展。

**問：在我的 AMS 帳戶中使用 SageMaker AI 的先決條件或相依性是什麼？**
+ 下列使用案例在使用前需要特殊組態：
  + 如果 S3 儲存貯體將用於存放模型成品和資料，則必須使用部署 \$1 進階堆疊元件 \$1 S3 儲存 \$1 建立 RFC，請求名為 且具有必要關鍵字 ("SageMaker"、"Sagemaker"、"sagemaker" 或 "aws-glue") 的 S3 儲存貯體。
  + 如果將使用彈性檔案存放區 (EFS)，則必須在相同的子網路中設定 EFS 儲存，並由安全群組允許。
  + 如果其他資源需要直接存取 SageMaker AI 服務 （筆記本、API、執行時間等），則必須由下列人員請求組態：
    + 提交 RFC 以建立端點的安全群組 （部署 \$1 進階堆疊元件 \$1 安全群組 \$1 建立 （自動）)。
    + 提交管理 \$1 其他 \$1 其他 \$1 建立 RFC 以設定相關的 VPC 端點。

**問： `customer_sagemaker_admin_role`可以直接存取的資源支援哪些命名慣例？** （以下用於更新和刪除許可；如果您需要資源的其他支援命名慣例，請聯絡 AMS 雲端架構師進行諮詢。)
+ 資源：傳遞`AmazonSageMaker-ExecutionRole-*`角色
  + 許可：SageMaker AI 自助佈建服務角色支援您使用 SageMaker AI 服務角色 (`AmazonSageMaker-ExecutionRole-*`) 搭配 AWS Glue AWS RoboMaker和 AWS Step Functions。
+ 資源：Secrets Manager 上的 AWS 秘密
  + 許可：使用`AmazonSageMaker-*`字首描述、建立、取得、更新秘密。
  + 許可：描述，當`SageMaker`資源標籤設定為 時取得秘密`true`。
+ 資源： 上的儲存庫 AWS CodeCommit
  + 許可：使用`AmazonSageMaker-*`字首建立/刪除儲存庫。
  + 許可：在具有下列字首 、 `*sagemaker*``*SageMaker*`和 的儲存庫上提取/推送 Git`*Sagemaker*`。
+ 資源：Amazon ECR (Amazon Elastic Container Registry) 儲存庫
  + 許可：許可：使用下列資源命名慣例 時，設定、刪除儲存庫政策並上傳容器映像`*sagemaker*`。
+ 資源：Amazon S3 儲存貯體
  + 許可：當資源具有下列字首時，取得、放置`*Sagemaker*`、刪除物件、中止分段上傳 S3 物件：`*SageMaker*`、 `*sagemaker*`和 `aws-glue`。
  + 許可：當`SageMaker`標籤設定為 時取得 S3 物件`true`。
+ 資源：Amazon CloudWatch Log Group
  + 許可：建立日誌群組或串流、放置日誌事件、列出、更新、建立、刪除具有下列字首的日誌交付：`/aws/sagemaker/*`。
+ 資源：Amazon CloudWatch 指標
  + 許可：使用下列字首時放置指標資料：`AWS/SageMaker`、`AWS/SageMaker/`、`aws/SageMaker`、`aws/SageMaker/`、`aws/sagemaker`、 `aws/sagemaker/`和 `/aws/sagemaker/.`。
+ 資源：Amazon CloudWatch Dashboard
  + 許可：使用下列字首時建立/刪除儀表板：`customer_*`。
+ 資源：Amazon SNS （簡易通知服務） 主題
  + 許可：使用下列字首時訂閱/建立主題：`*SageMaker*`、 `*sagemaker*`和 `*Sagemaker*`。

**問： `AmazonSageMakerFullAccess`和 之間的差異是什麼`customer_sagemaker_admin_role`？**

`customer_sagemaker_admin_role` 搭配 的 `customer_sagemaker_admin_policy`提供與 AmazonSageMakerFullAccess 幾乎相同的許可，除了：
+ 與 AWS RoboMaker、Amazon Cognito 和資源連線的許可 AWS Glue 。
+ SageMaker AI 端點自動擴展。您必須提交 RFC 與管理 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 更新實體或政策 （需要檢閱） 變更類型 (ct-27tuth19k52b4)，以暫時或永久提升自動擴展許可，因為自動擴展需要在 CloudWatch 服務上進行寬鬆存取。

**問：如何在靜態資料加密中採用 AWS KMS 客戶受管金鑰？**

您必須確保金鑰政策已在客戶受管金鑰上正確設定，以便相關的 IAM 使用者或角色可以使用金鑰。如需詳細資訊，請參閱[AWS KMS 金鑰政策文件](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)。