共用您的特徵群組目錄 - Amazon SageMaker
使用共用圖徵群組目錄 AWS SDK for Python (Boto3)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用您的特徵群組目錄

特徵群組目錄 DefaultFeatureGroupCatalog 包含資源擁有者帳戶擁有的所有特徵群組實體。資源擁有者帳號可共用目錄,以將探索性授與單一或多個資源用戶帳號。這是通過在中創建資源共享來完成的 AWS Resource Access Manager (AWS RAM). 功能群組是 Amazon SageMaker 功能商店中的主要資源,由功能商店管理的功能定義和記錄組成。如需特徵群組的更多相關資訊,請參閱功能儲存概念

可探索性表示資源用戶帳號可搜尋可探索的資源。可發現的資源被視為就像在自己的帳戶中一樣(不包括標籤)。允許特徵群組目錄可探索後,依預設不會授予資源消費者帳戶存取許可 (唯讀、讀寫或管理員)。存取許可是在資源層級授予,而不是在帳戶層級授予。如需如何授予存取許可的資訊,請參閱啟用跨帳戶存取權

若要啟用跨帳號可探索性,您需要在使用時指定 SageMaker 資源目錄和功能群組目錄 AWS RAM 創建一個資源共享指令 AWS RAM 開發人員指南。在下面我們給出了使用 AWS RAM 控制台說明。

  1. 指定資源共享詳細資訊

    • 資源類型:選擇「SageMaker 資源目錄」。

    • ARN:選擇具有下列格式ARN的圖徵群組目錄:arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog

      us-east-1 是資源的區域,111122223333 是資源擁有者帳號 ID。

    • 資源 ID:選擇 DefaultFeatureGroupCatalog

  2. 關聯受管許可

    • 受管許可:選擇 AWSRAMPermissionSageMakerCatalogResourceSearch

  3. 授予存取權給主體

    • 選擇主要類型 (AWS 帳戶、「組織」或「組織單位」),然後輸入適當的 ID。

      如果您是一個組織,則可能需要利用 AWS Organizations。 透過「Organizations」,您可以與個人共用資源 AWS 帳戶,組織中的所有帳戶,或具有組織單位 (OU) 的帳戶。這樣可簡化套用權限,而不必將權限套用至每個帳戶。有關共用資源和授予權限的詳細資訊 AWS,請參閱啟用資源共用於 AWS Organizations在 AWS Resource Access Manager 開發人員指南。

  4. 檢閱和建立

    • 檢閱,然後選擇建立資源共用

資源共用和主體或資源消費者帳戶可能需要幾分鐘的時間才能完成關聯。設定資源共用和主體關聯後,指定的資源消費者帳戶會收到加入該資源共用的邀請。資源用戶帳號可以開啟「與我共用:資源共用」頁面,以檢視和接受邀請 AWS RAM 控制台。如需接受和檢視資源的詳細資訊,請參閱 AWS RAM,請參閱存取 AWS 與您共享的資源。在這些情況下,邀請將不會送出:

  • 如果您是組織的一部分 AWS Organizations 並在您的組織中啟用共用功能。在此情況下,組織中的主參與者會在沒有邀請的情況下自動取得共用資源的存取權。

  • 如果您與 AWS 帳戶 擁有資源,則該帳號中的主體會自動取得共用資源的存取權,而無需邀請。

如需有關接受和使用資源共用的更多相關資訊,請參閱搜尋可探索的資源

使用共用圖徵群組目錄 AWS SDK for Python (Boto3)

您可以使用 AWS SDK for Python (Boto3) for AWS RAM APIs以建立資源共用。下列程式碼是資源擁有者帳號 ID 的範例 111122223333 在該地區內 us-east-1。 資源擁有者正在建立名為的資源共用 test-cross-account-catalog。 他們與資源用戶帳號 ID 共用功能群組目錄 444455556666。 若要使SDK用 Python AWS RAM APIs,附加具有執行角色的AWSRAMPermissionSageMakerCatalogResourceSearch原則。請參閱AWS RAM APIs了解更多詳情。

#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()

# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
    name='test-cross-account-catalog', # Change to your custom resource share name
    resourceArns=[
        'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
    ],
    principals=[
        '444455556666', # Change 444455556666 to the resource consumer account ID
    ],
    permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)

主體是安全系統中的執行者。在以資源為基礎的策略中,允許的主參與IAM者為使用者、IAM角色、根帳號或其他 AWS 服務。