跨帳戶歷程追蹤

Amazon SageMaker 支援從不同 AWS 帳戶追蹤歷程實體。其他 AWS 帳戶可以與您共用其歷程實體，您也可以透過直接 API 呼叫或歷程查詢存取這些 SageMaker 歷程實體。

SageMaker 用AWS Resource Access Manager來協助您安全地共用您的歷程資源。您可以透過 AWS RAM 主控台共用資源。

設定跨帳戶歷程追蹤

您可以歷程追蹤實體通過 Amazon SageMaker 的血統組進行分組和共享。 SageMaker 每個帳戶僅支援一個預設歷程群組。 SageMaker 每當在您的帳戶中建立歷程實體時，都會建立預設歷程群組。您的帳戶擁有的每個歷程實體都會指派給此預設歷程群組。若要與其他帳戶共用歷程實體，您可以與該帳戶共用此預設歷程群組。

注意

您可以共用歷程群組中的所有歷程追蹤實體，也可以不共用任何實體。

使用 AWS Resource Access Manager 主控台為歷程實體建立資源共用。如需詳細資訊，請參閱AWS Resource Access Manager 使用指南中的「共用 AWS 資源」。

注意

建立資源共用後，資源和主體可能需要幾分鐘的時間才能完成關聯。設定關聯之後，共享帳戶會收到加入資源共用的邀請。共用帳戶必須接受邀請才能存取共用資源。如需有關接受資源共用邀請的詳細資訊 AWS RAM，請參閱 AWS Resource Access Manager 使用指南中的使用共用資 AWS 源。

跨帳戶歷程追蹤資源政策

Amazon 僅 SageMaker 支持一種類型的資源政策。資 SageMaker 源策略必須允許以下所有操作：

"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"            
          

範例 以下是用來為 SageMaker 帳號歷程群組 AWS Resource Access Manager 建立資源共用所建立的資源策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

追蹤跨帳戶歷程實體

透過跨帳戶歷程追蹤，您可以使用相同的 AddAssociation API 動作關聯不同帳戶中的歷程實體。當您關聯兩個歷程實體時，會 SageMaker 驗證您是否擁有對兩個歷程實體執行 AddAssociation API 動作的權限。 SageMaker 然後建立關聯。如果您沒有權限，則 SageMaker 不會建立關聯。建立跨帳戶關聯後，您可以透過 QueryLineage API 動作從另一個歷程實體存取任一歷程實體。如需詳細資訊，請參閱 查詢歷程實體。

除了 SageMaker 自動建立歷程實體之外，如果您具有跨帳戶存取權，還可以 SageMaker 連接參照相同物件或資料的人工因素。如果一個帳戶的資料用於不同帳戶的歷程追蹤，則會在每個帳戶中 SageMaker 建立一個成品以追蹤該資料。使用跨帳戶歷程時，每當 SageMaker 建立新的人工因素時，都會 SageMaker 檢查是否有針對同樣與您共用的相同資料建立其他人工因素。 SageMaker 然後在新建立的人工因素與與AssociationType設定為共用的每個人工因素之間建立關聯SameAs。然後，您可以使用 QueryLineage API 動作，歷程您自己帳戶中的歷程實體，以及與您共用但由不同 AWS 帳戶所擁有的實體。如需詳細資訊，請參閱查詢歷程實體

從不同帳戶存取歷程資源

設定共用歷程的跨帳戶存取權之後，您可以直接與 ARN 呼叫下列 SageMaker API 動作，以說明來自另一個帳戶的共用歷程實體：

• DescribeAction

• DescribeArtifact

• DescribeContext

• DescribeTrialComponent

您也可以使用下列 SageMaker API 動作，針對與您共用的不同帳戶所擁有的歷程實體管理關聯：

• AddAssociation

• DeleteAssociation

如需示範如何使用歷程 API 查詢帳戶之間 SageMaker 歷程的筆記本。請參閱使用-ram.ipynb 的 Sageter-歷程跨帳戶。

授權跨帳戶查詢歷程實體

Amazon SageMaker 必須驗證您是否具有在StartArns. QueryLineage 這是透過連接至 LineageGroup 的資源政策來強制執行的。此動作的結果包括您可以存取所有歷程實體，無論這些實體是由您的帳戶擁有還是由其他帳戶共用。如需更多詳細資訊，請參閱查詢歷程實體。