授予使用者執行時間序列預測的許可 - Amazon SageMaker
SageMaker 網域設定方法使用者設定方法IAM角色設定方法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予使用者執行時間序列預測的許可

若要在 Amazon SageMaker Canvas 中執行時間序列預測,您的使用者必須擁有必要的許可。向使用者提供這些權限的建議方法是在設定 Amazon SageMaker 網域或編輯網域或使用者設定檔的設定時,開啟時間序列預測選項。您也可以使用手動方法將 Amazon Forecast 的政策和信任關係附加到 AWS Identity and Access Management (IAM)角色。

如果要使用自己的金鑰加密時間序列預測,則必須使用 AWS KMS 金鑰並修改KMS金鑰政策,以授與 Amazon Forecast 所使用角色的許可。如需設定KMS金鑰與修改時間序列預測原則的詳細資訊,請參閱時間序列預測的先決條件

SageMaker 網域設定方法

SageMaker 提供您透過網域設定將時間序列預測權限授與使用者的選項。您可以切換網域中所有使用者的權限,並為您 SageMaker 管理附加必要的IAM原則和信任關係。

如果您擁有現有的網域,並且想要為網域中的所有使用者開啟時間序列預測權限,請遵循下列步驟:

  1. 在開啟 SageMaker 主控台https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中選擇 Domains (網域)。

  3. 從網域清單中,選取您的網域。

  4. 在「網域設定」頁面上,選擇「應用程式設定」標籤。

  5. 在「畫布」區段中,選擇 「編輯」。

  6. 輯畫布設定頁面隨即開啟。在「時間序列預測組態」區段中,開啟啟用時間序列預測切換。

  7. 對於 Amazon Forecast 角色,請選取建立和使用新的執行角色使用現有的執行角色

  8. 根據您在上一個步驟中的選取,輸入新IAM角色的尾碼,或選取現有IAM角色。

    注意

    如果您想要使用現有IAM角色,請確定該角色已AWS 受管理的策略: AmazonSageMakerCanvasForecastAccess附加IAM政策,並具有將 Amazon Forecast 建立為服務主體的信任關係。如需更多資訊,請參閱IAM角色設定方法一節。

  9. 選擇提交

您的使用者現在應具備在 SageMaker Canvas 中執行時間序列預測的必要權限。

使用者設定方法

您可以為現有網域中的個別使用者設定時間序列預測權限。使用者設定檔設定會覆寫一般網域設定,因此您可以將權限授與特定使用者,而不必將權限授予所有使用者。若要將時間序列預測許可授予尚未擁有許可的特定使用者,請使用下列程序。

  1. 在開啟 SageMaker 主控台https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中選擇 Domains (網域)。

  3. 從網域清單中選擇您的網域。

  4. 選擇「使用者設定檔」標籤。

  5. 在 [使用者詳細資料] 頁面上,選擇 [應用程式設定] 索

  6. 在「畫布」區段中,選擇 「編輯」。

  7. 畫布設置頁面打開。在「時間序列預測組態」區段中,開啟啟用時間序列預測切換。

  8. 對於 Amazon Forecast 角色,請選取建立和使用新的執行角色使用現有的執行角色

  9. 根據您在上一個步驟中的選取,輸入新IAM角色的尾碼,或選取現有IAM角色。

    注意

    如果您想要使用現有IAM角色,請確定該角色已AWS 受管理的策略: AmazonSageMakerCanvasForecastAccess附加IAM政策,並具有將 Amazon Forecast 建立為服務主體的信任關係。如需更多資訊,請參閱IAM角色設定方法一節。

  10. 選擇提交

您的使用者現在應該擁有在 SageMaker Canvas 中進行時間序列預測的權限。

您也可以使用上述程序,並關閉啟用時間序列預測選項來移除使用者的許可。

IAM角色設定方法

您可以在 Amazon SageMaker Canvas 中手動授與使用者執行時間序列預測的權限,方法是新增其他許可 AWS Identity and Access Management (IAM) 為使用者設定檔指定的角色。該IAM角色必須與 Amazon Forecast 建立信任關係,以及授予 Forecast 許可的附加政策。

下節說明如何建立信任關係,並將AmazonSageMakerCanvasForecastAccess受管理的政策附加至您的IAM角色,這會授與在 SageMaker Canvas 中運作時間序列預測所需的最低權限。

注意

AmazonSageMakerCanvasForecastAccess政策授予存取 SageMaker 建立的 Amazon S3 儲存貯體的許可,這是 Canvas 應用程式資料的預設儲存位置。如果您已為 Canvas 應用程式資料指定了自訂 Amazon S3 儲存位置,則必須將政策中的許可更新為您自己的 Amazon S3 儲存貯體。如需適用於 Canvas 的自訂 Amazon S3 儲存位置的詳細資訊,請參閱設定您的 Amazon S3 儲存

若要使用手動方法設定IAM角色,請使用下列程序。

  1. 在開啟 SageMaker 主控台https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中,選擇管理員組態

  3. 在 [管理員設定] 下,選擇 [網域

  4. 在「網域」頁面上,選擇您的網域。

  5. 使用者設定檔清單中,選取您要授予時間序列預測許可之使用者的設定檔。

  6. 詳細資料下,複製或記下使用者執行角色的名稱。IAM角色的名稱應該類似於以下內容:111122223333

    SageMaker 控制台中用戶個人資料的屏幕截圖。

  7. 一旦你有用戶的IAM角色的名稱,轉到IAM控制台

  8. 選擇角色

  9. 從IAM角色清單中依名稱搜尋使用者的角色,然後加以選取。

  10. 許可下,選擇新增許可

  11. 選擇連接政策

  12. 搜尋AmazonSageMakerCanvasForecastAccess受管的策略並選取。選擇連接政策以將政策連接到角色。

    連接政策之後,角色的許可區段現在應包含 AmazonSageMakerCanvasForecastAccess

  13. 返回IAM角色的頁面,然後在 [信任關係] 底下選擇 [編輯信任原則]。

  14. 編輯信任政策編輯器中,更新信任政策以將 Forecast 新增為服務主體。該政策應如以下範例所示。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "sagemaker.amazonaws.com",
            "forecast.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  15. 編輯信任政策之後,請選擇更新政策

現在,您應該具有AmazonSageMakerCanvasForecastAccess附加政策的IAM角色,並具有與 Amazon Forecast 建立的信任關係的角色,讓使用者能夠在 SageMaker Canvas 中執行時間序列預測。如需相關資訊 AWS 受管政策,請參閱受管政策和內嵌政策

注意

如果您使用此方法來設定時間序列預測並要使用 AWS KMS 對您的預測進行加密,那麼您必須配置密KMS鑰的策略以授予其他權限。如需詳細資訊,請參閱時間序列預測的先決條件