本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
下列主題說明開始使用 Amazon SageMaker 合作夥伴 AI 應用程式所需的許可。所需的許可分為兩個部分,取決於使用者許可層級:
-
管理許可 – 管理員設定資料科學家和機器學習 (ML) 開發人員環境的許可。
-
AWS Marketplace
-
合作夥伴 AI 應用程式管理
-
AWS License Manager
-
-
使用者許可 – 資料科學家和機器學習開發人員的許可。
-
使用者授權
-
身分傳播
-
SDK 存取
-
管理員可以完成下列先決條件,以設定合作夥伴 AI 應用程式。
-
(選用) 加入 SageMaker AI 網域。合作夥伴 AI 應用程式可以直接從 SageMaker AI 網域存取。如需詳細資訊,請參閱Amazon SageMaker AI 網域概觀。
-
如果在僅限 VPC 模式下的 SageMaker AI 網域中使用合作夥伴 AI 應用程式,管理員必須使用下列格式建立端點,以連線至合作夥伴 AI 應用程式。如需在僅限 VPC 模式下使用 Studio 的詳細資訊,請參閱將 VPC 中的 Amazon SageMaker Studio 連線至外部資源。
aws.sagemaker.region.partner-app
-
-
(選用) 如果管理員使用 與網域互動 AWS CLI,他們也必須完成下列先決條件。
-
AWS CLI 依照安裝目前 AWS CLI 版本中的步驟更新 。
-
從本機電腦執行
aws configure並提供 AWS 登入資料。如需 AWS 登入資料的相關資訊,請參閱了解和取得您的 AWS 登入資料。
-
管理員必須新增下列許可,才能在 SageMaker AI 中啟用合作夥伴 AI 應用程式。
-
完成合作夥伴 AI 應用程式 AWS Marketplace 訂閱的許可
-
設定合作夥伴 AI 應用程式執行角色
AWS Marketplace 合作夥伴 AI 應用程式的訂閱
管理員必須完成下列步驟,才能新增 的許可 AWS Marketplace。如需使用 的詳細資訊 AWS Marketplace,請參閱使用 作為買方入門 AWS Marketplace。
-
授予 的許可 AWS Marketplace。合作夥伴 AI 應用程式管理員需要這些許可,才能從中購買合作夥伴 AI 應用程式的訂閱 AWS Marketplace。若要存取AWS Marketplace,管理員必須將 受管政策連接至
AWSMarketplaceManageSubscriptions他們用來存取 SageMaker AI 主控台和購買應用程式的 IAM 角色。如需 受管政策的詳細資訊AWSMarketplaceManageSubscriptions,請參閱 AWSAWS Marketplace 買方的 受管政策。如需連接受管政策的相關資訊,請參閱新增和移除 IAM 身分許可。 -
授予 SageMaker AI 使用其他 代表管理員執行操作的許可 AWS 服務。管理員必須授予 SageMaker AI 許可,才能使用這些服務及其所採取的資源。下列政策定義示範如何授予所需的合作夥伴 AI 應用程式許可。除了管理員角色的現有許可之外,還需要這些許可。如需詳細資訊,請參閱如何使用 SageMaker AI 執行角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreatePartnerApp", "sagemaker:DeletePartnerApp", "sagemaker:UpdatePartnerApp", "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl", "sagemaker:CreatePartnerApp", "sagemaker:AddTags", "sagemaker:ListTags", "sagemaker:DeleteTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
設定合作夥伴 AI 應用程式執行角色
-
合作夥伴 AI 應用程式需要執行角色才能與 中的資源互動 AWS 帳戶。管理員可以使用 建立此執行角色 AWS CLI。合作夥伴 AI 應用程式使用此角色來完成與合作夥伴 AI 應用程式功能相關的動作。
aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }' -
遵循為 License Manager 建立 AWS License Manager 服務連結角色中的步驟來建立服務連結角色。 https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html#create-slr-core
-
授予許可,讓合作夥伴 AI 應用程式使用 存取 License Manager AWS CLI。存取合作夥伴 AI 應用程式授權需要這些許可。這可讓合作夥伴 AI 應用程式驗證對合作夥伴 AI 應用程式授權的存取。
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "license-manager:ExtendLicenseConsumption", "license-manager:GetLicense", "license-manager:GetLicenseUsage" ], "Resource": "*" } }' -
如果合作夥伴 AI 應用程式需要存取 Amazon S3 儲存貯體,請將 Amazon S3 許可新增至執行角色。如需詳細資訊,請參閱 Amazon S3 API 操作的必要許可。
管理員完成管理許可設定後,必須確定使用者擁有存取合作夥伴 AI 應用程式所需的許可。
-
授予 SageMaker AI 使用其他 代表您執行操作的許可 AWS 服務。管理員必須授予 SageMaker AI 許可,才能使用這些服務及其所採取的資源。管理員使用 IAM 執行角色授予 SageMaker AI 這些許可。如需 IAM 角色的詳細資訊,請參閱 IAM 角色。下列政策定義示範如何授予所需的合作夥伴 AI 應用程式許可。此政策可以新增至使用者設定檔的執行角色。 如需詳細資訊,請參閱如何使用 SageMaker AI 執行角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl" ], "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*" } ] } -
(選用) 如果從 Studio 啟動合作夥伴 AI 應用程式,請將
sts:TagSession信任政策新增至用來直接啟動 Studio 或合作夥伴 AI 應用程式的角色,如下所示。這可確保身分可以正確傳播。{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } -
(選用) 如果使用合作夥伴 AI 應用程式的 SDK 存取 SageMaker AI 中的功能,請將下列
CallPartnerAppApi許可新增至用於執行 SDK 程式碼的角色。如果從 Studio 執行 SDK 程式碼,請將許可新增至 Studio 執行角色。如果從 Studio 以外的任何位置執行程式碼,請將許可新增至與筆記本搭配使用的 IAM 角色。這可讓使用者從合作夥伴 AI 應用程式 SDK 存取合作夥伴 AI 應用程式功能。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "sagemaker:CallPartnerAppApi" ], "Resource": [ "arn:aws:sagemaker:region:account:partner-app/app" ] } ] }
管理使用者授權和身分驗證
若要提供合作夥伴 AI 應用程式的存取權給其團隊成員,管理員必須確保其使用者的身分已傳播至合作夥伴 AI 應用程式。此傳播可確保使用者可以正確存取合作夥伴 AI 應用程式的 UI,並執行授權的合作夥伴 AI 應用程式動作。
合作夥伴 AI 應用程式支援下列身分來源:
-
AWS IAM Identity Center
-
外部身分提供者 IdPs)
-
IAM 工作階段型身分
下列各節提供合作夥伴 AI 應用程式支援的身分來源相關資訊,以及與該身分來源相關的重要詳細資訊。
如果使用者使用 IAM Identity Center 向 Studio 驗證並從 Studio 啟動應用程式,IAM Identity CenterUserName 會自動傳播為合作夥伴 AI 應用程式的使用者身分。如果使用者直接使用 CreatePartnerAppPresignedUrl API 啟動合作夥伴 AI 應用程式,則不是這種情況。
如果將 SAML AWS 帳戶 用於聯合,管理員有兩個選項可將 IdP 身分轉移為合作夥伴 AI 應用程式的使用者身分。如需設定 AWS 帳戶 聯合的相關資訊,請參閱如何設定 AWS 帳戶 聯合的 SAML 2.0
-
主體標籤 – 管理員可以設定 IdP 特定的 IAM Identity Center 應用程式,使用具有下列
Name屬性的工作階段,從登陸 AWS 工作階段PrincipalTag傳遞身分資訊。使用 SAML 時,登陸角色工作階段會使用 IAM 角色。若要使用PrincipalTag,管理員必須將sts:TagSession許可新增至此登陸角色,以及 Studio 執行角色。如需詳細資訊PrincipalTag,請參閱設定身分驗證回應的 SAML 聲明。https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser -
登陸工作階段名稱 – 管理員可以將登陸工作階段名稱傳播為合作夥伴 AI 應用程式的身分。若要這樣做,他們必須為每個合作夥伴 AI 應用程式設定
EnableIamSessionBasedIdentity選擇加入旗標。如需詳細資訊,請參閱EnableIamSessionBasedIdentity。
重要
我們不建議針對生產帳戶使用此方法。對於生產帳戶,請使用身分提供者來提高安全性。
使用 IAM 工作階段型身分時,SageMaker AI 支援下列身分傳播選項。除了搭配 使用工作階段標籤之外,所有選項 AWS STS都需要為每個應用程式設定EnableIamSessionBasedIdentity選擇加入旗標。如需詳細資訊,請參閱EnableIamSessionBasedIdentity。
傳播身分時,SageMaker AI 會驗證是否使用 AWS STS 工作階段標籤。如果未使用,則 SageMaker AI 會傳播 IAM 使用者名稱或 AWS STS 工作階段名稱。
-
AWS STS 工作階段標籤 – 管理員可以設定啟動器 IAM
SageMakerPartnerAppUser工作階段的工作階段標籤。當管理員使用 SageMaker AI 主控台或 啟動合作夥伴 AI 應用程式時 AWS CLI,SageMakerPartnerAppUser工作階段標籤會自動傳遞為合作夥伴 AI 應用程式的使用者身分。下列範例示範如何使用 設定SageMakerPartnerAppUser工作階段標籤 AWS CLI。金鑰的值會新增為主體標籤。aws sts assume-role \ --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app\ --role-session-name session_name \ --tags Key=SageMakerPartnerAppUser,Value=user-name讓使用者使用 存取合作夥伴 AI 應用程式時
CreatePartnerAppPresignedUrl,我們建議驗證SageMakerPartnerAppUser金鑰的值。這有助於防止對合作夥伴 AI 應用程式資源的意外存取。下列信任政策會驗證工作階段標籤是否完全符合相關聯的 IAM 使用者。管理員可以為此使用任何主體標籤。它應該在啟動 Studio 或合作夥伴 AI 應用程式的角色上設定。{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringLike": { "aws:RequestTag/SageMakerPartnerAppUser": "${aws:username}" } } } ] } -
已驗證的 IAM 使用者 – 使用者的使用者名稱會自動傳播為合作夥伴 AI 應用程式使用者。
-
AWS STS 工作階段名稱 – 如果使用 時未設定
SageMakerPartnerAppUser工作階段標籤 AWS STS,則 SageMaker AI 會在使用者啟動合作夥伴 AI 應用程式時傳回錯誤。若要避免此錯誤,管理員必須為每個合作夥伴 AI 應用程式設定EnableIamSessionBasedIdentity選擇加入旗標。如需詳細資訊,請參閱EnableIamSessionBasedIdentity。啟用選擇加入旗標時
EnableIamSessionBasedIdentity,請使用 IAM 角色信任政策,以確保 IAM 工作階段名稱是或包含 IAM 使用者名稱。這可確保使用者不會透過模擬其他使用者來取得存取權。下列信任政策會驗證工作階段名稱是否完全符合相關聯的 IAM 使用者。管理員可以為此使用任何主體標籤。它應該在啟動 Studio 或合作夥伴 AI 應用程式的角色上設定。{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::account:root" }, "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:username}" } } } ] }管理員也必須將
sts:TagSession信任政策新增至啟動 Studio 或合作夥伴 AI 應用程式的角色。這可確保身分可以正確傳播。{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] }
設定登入資料後,管理員可以分別 AWS CLI 使用 或 CreatePartnerAppPresignedUrl API 呼叫,授予使用者從 存取 Studio CreatePresignedDomainUrl或 Partner AI 應用程式的權限。
使用者也可以從 SageMaker AI 主控台啟動 Studio,並從 Studio 啟動合作夥伴 AI 應用程式。
EnableIamSessionBasedIdentity
EnableIamSessionBasedIdentity 是選擇加入旗標。設定旗標時EnableIamSessionBasedIdentity,SageMaker AI 會將 IAM 工作階段資訊做為合作夥伴 AI 應用程式使用者身分傳遞。如需 AWS STS 工作階段的詳細資訊,請參閱搭配 AWS 資源使用臨時憑證。
存取控制
若要控制對合作夥伴 AI 應用程式的存取,請使用連接到使用者設定檔執行角色的 IAM 政策。若要直接從 Studio 或使用 啟動合作夥伴 AI 應用程式 AWS CLI,使用者設定檔的執行角色必須具有授予 API CreatePartnerAppPresignedUrl許可的政策。從使用者設定檔的執行角色中移除此許可,以確保他們無法啟動合作夥伴 AI 應用程式。
根管理員使用者
Comet 和 Fiddler合作夥伴 AI 應用程式至少需要一個根管理員使用者。根管理員使用者具有新增一般和管理員使用者和管理資源的許可。以根管理員使用者身分提供的使用者名稱必須與身分來源的使用者名稱一致。
雖然根管理員使用者保留在 SageMaker AI 中,但一般管理員使用者在終止合作夥伴 AI 應用程式之前,不會存在於合作夥伴 AI 應用程式內。
管理員可以使用 UpdatePartnerApp API 呼叫更新根管理員使用者。當根管理員使用者更新時,根管理員使用者的更新清單會傳遞至合作夥伴 AI 應用程式。合作夥伴 AI 應用程式可確保清單中的所有使用者名稱都獲得根管理員權限。如果根管理員使用者已從清單中移除,使用者仍會保留正常的管理員許可,直到:
-
使用者會從應用程式中移除。
-
另一個管理員使用者撤銷使用者的管理員許可。
注意
Fiddler 不支援更新管理員使用者。僅Comet支援對根管理員使用者的更新。
若要刪除根管理員使用者,您必須先使用UpdatePartnerApp API 更新根管理員使用者的清單。然後,透過合作夥伴 AI 應用程式的 UI 移除或撤銷管理員許可。
如果您從合作夥伴 AI 應用程式的 UI 中移除根管理員使用者,但未使用 API 更新根管理員使用者的清單,則變更是暫時的UpdatePartnerApp。當 SageMaker AI 傳送下一個合作夥伴 AI 應用程式更新請求時,SageMaker AI 會將仍包含使用者的根管理員清單傳送至合作夥伴 AI 應用程式。這會覆寫從合作夥伴 AI 應用程式 UI 完成的刪除。
