本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您分別使用 CreateMonitoringSchedule API 或 UpdateMonitoringSchedule API 來建立或更新排程時,您必須指定監控工作的參數。視您的使用案例而定,您可採用下列其中一種方式這麼做:
-
當您調用
CreateMonitoringSchedule或UpdateMonitoringSchedule時,您可以指定 MonitoringScheduleConfig 的 MonitoringJobDefinition 欄位。您只能使用此功能來建立或更新資料品質監控工作的排程。 -
在調用
CreateMonitoringSchedule或UpdateMonitoringSchedule時,您可以為MonitoringScheduleConfig的MonitoringJobDefinitionName欄位指定已建立的監控工作定義名稱。您可以將此功能用於透過下列其中一個 API 建立的任何工作定義:如果您想要使用 SageMaker Python SDK 來建立或更新排程,則必須使用此程序。
上述程序為互斥,也就是說,您可以在建立或更新監控排程時指定 MonitoringJobDefinition 欄位或 MonitoringJobDefinitionName 欄位。
當您建立監控工作定義或在 MonitoringJobDefinition 欄位中指定一個定義時,您可以設定安全性參數,例如 NetworkConfig 和 VolumeKmsKeyId。身為管理員,您可能希望這些參數一律設定為特定值,以便監控工作永遠在安全的環境中執行。為了確保這一點,請設定適當的服務控制政策 (SCP)。SCP 是一種組織政策類型,可用來管理組織中的許可。
下列範例顯示可用來確保在建立或更新監控工作排程時,已正確設定基礎架構參數的 SCP。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelQualityJobDefinition"
],
"Resource": "arn:*:sagemaker:*:*:*",
"Condition": {
"Null": {
"sagemaker:VolumeKmsKey":"true",
"sagemaker:VpcSubnets": "true",
"sagemaker:VpcSecurityGroupIds": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelQualityJobDefinition"
],
"Resource": "arn:*:sagemaker:*:*:*",
"Condition": {
"Bool": {
"sagemaker:InterContainerTrafficEncryption": "false"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:CreateMonitoringSchedule",
"sagemaker:UpdateMonitoringSchedule",
],
"Resource": "arn:*:sagemaker:*:*:monitoring-schedule/*",
"Condition": {
"Null": {
"sagemaker:ModelMonitorJobDefinitionName": "true"
}
}
}
]
}
在範例中的前兩個規則,確定一律為監控工作定義設定安全性參數。最終規則會要求組織中建立或更新排程的任何人都必須一律指定 MonitoringJobDefinitionName 欄位。這樣可確保在建立或更新排程時,組織中的任何人都不能透過指定 MonitoringJobDefinition 欄位為安全性參數設定不安全值。
