跨帳戶可探索性 - Amazon SageMaker
可存取性可探索性檢視共用模型套件群組將主參與者與資源共用分離並移除資源共用提升權限和資源共享

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶可探索性

透過探索和存取在其他帳戶中註冊的模型套件群組,資料科學家和資料工程師可以提升資料一致性、簡化共同作業,並減少重複的工作量。使用 Amazon SageMaker 模型登錄,您可以跨帳戶共用模型套件群組。與資源共用相關聯的權限有兩種類別:

  • 探索性:可探索性是資源用戶帳號的能力,可查看一或多個資源擁有者帳號共用的模型套件群組。只有當資源擁有者將必要的資源原則附加至共用模型封裝群組時,才有可能發現。資源用戶可以檢視 AWS RAM 用戶界面和 AWS CLI.

  • 協助工具:協助工具是資源使用者帳戶使用共用模型套件群組的能力。例如,如果資源用戶具有必要的權限,則可以從其他帳戶註冊或部署模型套件。

可存取性

如果資源用戶具有使用共用模型套件群組的存取權限,則可以註冊或部署模型套件群組的版本。如需有關資源取用者如何註冊共用模型套件群組的詳細資訊,請參閱從其他帳戶註冊模型版本。如需有關資源用戶如何部署共用模型套件群組的詳細資訊,請參閱從其他帳戶部署模型版本

可探索性

資源擁有者可以透過建立資源共用並將資源原則附加至實體,來設定模型套件群組可探索性。如需如何在中建立一般資源共用的詳細步驟 AWS RAM,請參閱在中建立資源共AWS RAM 文件中)。

完成下列指示,以使用 AWS RAM 控制台或模型註冊表資源策略APIs。

AWS CLI

  1. 在模型擁有者帳戶中建立資源共用。

    1. 模型擁有者會使用資源原則 API put-model-package-group- 原則將 SageMaker 資源原則附加至模型套件群組,如下列命令所示。

      aws sagemaker put-model-package-group-policy
--model-package-group-name <model-package-group-name>
--resource-policy "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":
\"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":<principal>,
\"Action\":[\"sagemaker:DescribeModelPackage\",
\"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
\"Resource\":[\"<model-package-group-arn>,\"
\"arn:aws:sagemaker:<region>:<owner-account-id>:model-package/
<model-package-group-name>/*\"]}]}"
      注意

      可以將不同的動作組合附加至資源策略。對於自訂原則,建立的權限應由模型套件群組擁有者提升,而且只有附加升級權限的實體才可搜尋。無法啟動的資源共用無法透過以下方式將其設為可搜尋或管理 AWS RAM.

    2. 若要檢查 AWS RAM 創建資源共享ARN,使用以下命令:

      aws ram get-resource-share-associations --association-type resource --resource-arn <model-package-group-arn>

      回應包含 resource-share-arn 為實體。

    3. 若要檢查連結的原則權限是受管理或自訂原則,請使用下列命令:

      aws ram list-resource-share-permissions --resource-share-arn <resource-share-arn>

      featureSet字段可以採用值CREATED_FROM_POLICYSTANDARD,它們定義如下:

      • STANDARD:權限已存在。

      • CREATED_FROM_POLICY:需要提升權限,才能探索實體。如需詳細資訊,請參閱提升權限和資源共享

  2. 接受模型用戶帳戶中的資源共用邀請。

    1. 模型封裝群組用戶接受資源共用的邀請。若要查看所有資源邀請,請執行下列命令:

      aws ram get-resource-share-invitations

      識別具有狀態的請求,PENDING並包含擁有者帳戶的帳戶 ID。

    2. 使用下列指令接受來自模型擁有者的資源共用邀請:

      aws ram accept-resource-share-invitation --resource-share-invitation-arn <resource-share-invitation-arn>
AWS RAM console

  1. 登入 AWS RAM 控制台

  2. 完成下列步驟,從模型套件群組擁有者帳戶建立資源共用。

    1. 完成下列步驟以指定資源共用詳細資訊。

      1. 在「名稱」欄位中,新增資源的唯一名稱。

      2. 在 [資源] 卡中,選擇下拉式功能表,然後選取 [SageMaker 模型 Package 群組]。

      3. 選取模型套件群組資源共用ARN的核取方塊。

      4. [選取資源] 卡片中,選取模型套件群組資源共用的核取方塊。

      5. 在「標」卡中,為要新增至資源共用的標籤新增鍵值配對。

      6. 選擇 Next (下一步)

    2. 完成下列步驟,將受管理的權限與資源共用產生關聯。

      1. 如果您使用受管理權限,請在 [受管理的權限] 下拉式功能表中選擇受管理的權限

      2. 如果您使用自訂權限,請選擇「客戶管理權限」。在這種情況下,模型包組不會立即被發現。建立資源共用之後,您必須提升權限和資源原則。如需有關如何提升權限和資源共用的資訊,請參閱提升權限和資源共享。如需有關如何附加自訂權限的詳細資訊,請參閱中的建立和使用客戶受管理的權限。 AWS RAM.

      3. 選擇 Next (下一步)

    3. 完成下列步驟來授與主參與者的存取權。

      1. 選擇 [允許與任何人共用] 以允許與組織外部的帳戶共用,或選擇 [僅允許在組織內共用]。

      2. 「選取主參與者類型」下拉式選單中,為您要新增的主參與者新增主參與者類型和 ID。

      3. 新增並選取共用的所選主參與者。

      4. 選擇 Next (下一步)

    4. 檢閱顯示的共用設定,然後選擇 [建立資源共用]。

  3. 接受來自消費者帳戶的資源共用邀請。模型擁有者建立資源共用和主參與者關聯後,指定的資源用戶帳號會收到加入資源共用的邀請。資源用戶帳號可以在「與我共用:資源共用」頁面中檢視並接受邀請 AWS RAM 控制台。如需有關接受和檢視資源的詳細資訊,請 AWS RAM,請參閱存取 AWS 與您共享的資源

檢視共用模型套件群組

在資源擁有者完成先前步驟以建立資源共用,且取用者接受共用的邀請之後,取用者便可以檢視共用模型套件群組 AWS CLI 或在 AWS RAM 控制台。

AWS CLI

若要檢視共用的模型套件群組,請在模型使用者帳戶中使用下列命令:

aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount

AWS RAM 主控台

在 AWS RAM 控制台,資源所有者和用戶可以查看共享模型包組。資源擁有者可以按照檢視您在中建立的資源共用中的步驟,檢視與用戶共用的模型套件群組 AWS RAM。 資源用戶可以按照檢視與您共用的資源共用中的步驟,檢視擁有者共用的模型套件群組。

將主參與者與資源共用分離並移除資源共用

資源擁有者可以將主參與者與一組權限的資源共用分離,或使用 AWS CLI 或 AWS RAM 控制台。如需有關如何將主參與者與資源共用分離的詳細資訊,請參閱中的更新資源共用 AWS RAM 文件中)。如需有關如何刪除資源共用的詳細資訊,請參閱刪除資源共AWS RAM 文件中)。

AWS CLI

若要將主參與者與資源共用分離,請依照下列方式使用指令 dissociate-resource-share

aws ram disassociate-resource-share --resource-share-arn <resource-share-arn> --principals <principal>

若要刪除資源共用,請依照下列方式使delete-resource-share用指令:

aws ram delete-resource-share --resource-share-arn <resource-share-arn>

AWS RAM 主控台

如需如何將主參與者與資源共用分離的詳細資訊,請參閱更新中的資源共用 AWS RAM 文件中)。如需有關如何刪除資源共用的詳細資訊,請參閱刪除資源共AWS RAM 文件中)。

提升權限和資源共享

如果您使用自訂 (客戶管理) 權限,則需要提升權限和相關聯的資源共用,才能探索模型套件群組。完成下列步驟以提升權限和資源共用。

  1. 宣傳您可以存取的自訂權限 AWS RAM,使用下列命令:

    aws ram promote-permission-created-from-policy —permission-arn <permission-arn>

  2. 使用下列命令提升資源共用:

    aws ram promote-resource-share-created-from-policy --resource-share-arn <resource-share-arn>

如果您在執行上述步驟時看到OperationNotPermittedException錯誤,表示該實體無法搜尋,但可存取。例如,如果資源擁有者附加具有假設角色主參與者的資源策略“Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”},或者如果資源策略允許“Action”: “*”,則相關聯的模型封裝群組將無法升級或探索。