使用角色管理器 (主控台) - Amazon SageMaker
必要條件步驟 1. 輸入角色資訊步驟 2. 設定機器學習 (ML) 活動步驟 3:新增其他政策和標籤檢閱角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用角色管理器 (主控台)

您可以從 Amazon 主 SageMaker 控台左側導覽中的下列位置使用 Amazon SageMaker 角色管理員:

  • 入門 — 快速為您的使用者新增許可政策。

  • 網域 — 為 Amazon 網 SageMaker 域內的使用者新增許可政策。

  • 筆記本 — 為建立和執行筆記本的使用者新增最低許可。

  • 訓練 — 為建立和管理訓練工作的使用者新增最低許可。

  • 推論 — 為部署和管理推論模型的使用者新增最低許可。

您可以使用下列程序,從 SageMaker 主控台中的不同位置開始建立角色的程序。

如果您是第一 SageMaker 次使用,建議您從 [開始使用] 區段建立角色。

若要使用 Amazon 角色管理員建立 SageMaker 角色,請執行以下操作。

  1. 打開 Amazon SageMaker 控制台。

  2. 在左側導覽窗格中,選擇管理員組態

  3. 管理員組態下,選擇角色管理器

  4. 選擇建立角色

您可以在開始建立 Amazon SageMaker 網域的程序時,使用 Amazon SageMaker 角色管理員建立角色。

若要使用 Amazon 角色管理員建立 SageMaker 角色,請執行以下操作。

  1. 打開 Amazon SageMaker 控制台。

  2. 在左側導覽窗格中,選擇管理員組態

  3. 在 [管理員設定] 下,選擇 [網域

  4. 選擇建立網域

  5. 選擇使用角色建立精靈建立角色

您可以在開始建立筆記本的程序時,使用 Amazon SageMaker 角色管理員建立角色。

若要使用 Amazon 角色管理員建立 SageMaker 角色,請執行以下操作。

  1. 打開 Amazon SageMaker 控制台。

  2. 在左側導覽列中,選取筆記本

  3. 選擇筆記本執行個體

  4. 選擇建立筆記本執行個體

  5. 選擇使用角色建立精靈建立角色

您可以在開始建立訓練任務的程序時,使用 Amazon SageMaker 角色管理員建立角色。

若要使用 Amazon 角色管理員建立 SageMaker 角色,請執行以下操作。

  1. 打開 Amazon SageMaker 控制台。

  2. 在左側導覽列中,選擇訓練

  3. 選取訓練工作

  4. 選擇建立訓練工作

  5. 選擇使用角色建立精靈建立角色

您可以在開始部署推論模型的程序時,使用 Amazon SageMaker 角色管理員建立角色。

若要使用 Amazon 角色管理員建立 SageMaker 角色,請執行以下操作。

  1. 打開 Amazon SageMaker 控制台。

  2. 在左側導覽列中,選擇推論

  3. 選擇模型

  4. 選擇建立模型

  5. 選擇使用角色建立精靈建立角色

完成上述程序之後,請使用下列各節中的資訊來協助您建立角色。

必要條件

若要使用 Amazon SageMaker 角色管理員,您必須擁有建立 IAM 角色的權限。此許可通常可用於機器學習 (ML) 系統管理員和 ML 從業人員具有最低權限許可的角色。

您可以切換角色,在中暫時擔任 IAM 角色。 AWS Management Console 如需使用角色的方法詳細資訊,請參閱 IAM 使用者指南中的使用 IAM 角色

步驟 1. 輸入角色資訊

請提供一個名稱,以作為新 SageMaker 角色的唯一尾碼。預設情況下,首碼 "sagemaker-" 會新增至每個角色名稱,以便可以在 IAM 主控台中輕鬆搜尋。例如,如果您在建立角色期間命名角色為 test-123,您的角色會在 IAM 主控台中顯示為 sagemaker-test-123。您可以選擇新增角色的描述,以提供其他詳細資訊。

然後,從其中一個可用的人物角色中選擇取得資料科學家、資料工程師或機器學習作業 (MLOps) 工程師等角色的建議許可。如需有關可用人物角色及其建議許可的資訊,請參閱人物角色參考。若要在沒有任何建議許可來引導您的情況下建立角色,請選擇自訂角色設定

注意

我們建議您先使用角色管理員建立 SageMaker 計算角色,以便 SageMaker 計算資源能夠執行訓練和推論等工作。使用「 SageMaker 計算角色」角色,透過角色管理員建立此角色。建立 SageMaker 計算角色之後,請記下其 ARN 以備 future 使用。

網路和加密條件

建議您啟用 VPC 自訂,以使用 VPC 組態、子網路和安全群組,以及與新角色相關聯的 IAM 政策。啟用 VPC 自訂項目後,與 VPC 資源互動的機器學習 (ML) 活動之 IAM 政策會縮減範圍,以獲得最低權限存取。VPC 自訂項目不會預設為啟用。如需有關建議之網路架構的詳細資訊,請參閱AWS 技術指南中的網路架構

您也可以使用 KMS 金鑰來加密、解密和重新加密包含高敏感資料的受管制工作負載資料。啟用自 AWS KMS 訂後,支援自訂加密金鑰的 ML 活動的 IAM 政策會縮減範圍,以提供最低權限存取。如需更多資訊,請參閱AWS 技術指南中的使用 AWS KMS加密

步驟 2. 設定機器學習 (ML) 活動

每個 Amazon SageMaker 角色管理員 ML 活動都包含建議的 IAM 許可,以提供相關資 AWS 源的存取權。某些機器學習 (ML) 活動需要您新增服務角色 ARN 才能完成設定。如需有關預先定義機器學習 (ML) 活動及其許可的資訊,請參閱機器學習 (ML) 活動參考。如需新增服務角色的資訊,請參閱服務角色

根據選擇的人物角色,已選取某些機器學習 (ML) 活動。您可以取消選取任何建議的機器學習 (ML) 活動,或選取其他活動來建立您自己的角色。如果您選取自訂角色設定的人物角色,則不會在此步驟中預先選取機器學習 (ML) 活動。

您可以將任何其他 AWS 或客戶管理的 IAM 政策新增至您在中步驟 3:新增其他政策和標籤的角色。

服務角色

某些 AWS 服務需要服務角色才能代表您執行動作。如果您選取的機器學習 (ML) 活動要求您傳遞服務角色,則必須提供該服務角色的 ARN。

您可以建立新的服務角色,也可以使用現有的服務角色,例如以 SageMaker Compute Role 角色角色建立的服務角色。您可以在 IAM 主控台的角色區段中選取角色名稱以找到現有角色的 ARN。若要深入了解服務角色,請參閱建立 AWS 服務角色。

步驟 3:新增其他政策和標籤

您可以將任何現有 AWS 或客戶管理的 IAM 政策新增至新角色。如需有關現有 SageMaker 政策的資訊,請參閱 Amazon 的AWS 受管政策 SageMaker。您也可以在 IAM 主控台角色區段中檢查現有政策。

選擇性地使用以標籤為基礎的原則條件來指派中繼資料資訊,以分類和管理 AWS 資源。每個標籤都由鍵值組表示。如需詳細資訊,請參閱使用標籤控制對 AWS 資源的存取

檢閱角色

請花點時間檢閱與新角色關聯的所有資訊。選擇上一步返回並編輯任何資訊。當您準備好建立角色,請選擇建立。這會產生具有所選機器學習 (ML) 活動許可的角色。您可以在 IAM 主控台角色區段中檢視新角色。