أمازون ساجميكر ستوديو هي بيئة تطوير متكاملة قائمة على الويب (IDE) للتعلم الآلي (ML) تتيح لك إنشاء نماذج تعلّم الآلة وتدريبها وتصحيحها ونشرها ومراقبتها. لتوفير Studio في حساب AWS الخاص بك والمنطقة ، تحتاج أولاً إلى إنشاء ملف الأمازون SageMaker domain - بنية تلخص بيئة ML الخاصة بك. بشكل أكثر تحديدًا ، يتكون مجال SageMaker من ملف نظام ملفات أمازون المرن حجم (Amazon EFS) ، وقائمة بالمستخدمين المصرح لهم ، ومجموعة متنوعة من الأمان والتطبيقات والسياسة و سحابة أمازون الافتراضية الخاصة (Amazon VPC).
عند إنشاء مجال SageMaker الخاص بك ، يمكنك اختيار استخدام أي منهما مركز هوية AWS IAM (خلفًا لـ AWS Single Sign-On) أو إدارة الهوية والوصول AWS (IAM) لطرق مصادقة المستخدم. كلتا طريقتي المصادقة لديها مجموعة حالات الاستخدام الخاصة بها ؛ في هذا المنشور ، نركز على مجالات SageMaker مع مركز هوية IAM ، أو وضع تسجيل الدخول الأحادي (SSO) ، كطريقة مصادقة.
باستخدام وضع SSO ، يمكنك إعداد مستخدم SSO ومجموعة في IAM Identity Center ثم منح الوصول إلى مجموعة SSO أو المستخدم من وحدة تحكم Studio. في الوقت الحالي ، يرث جميع مستخدمي SSO في المجال دور تنفيذ المجال. قد لا يعمل هذا مع جميع المنظمات. على سبيل المثال ، قد يرغب المسؤولون في إعداد أذونات IAM لمستخدم Studio SSO بناءً على عضوية مجموعة Active Directory (AD) الخاصة بهم. علاوة على ذلك ، نظرًا لأن المسؤولين مطالبون بمنح مستخدمي SSO إمكانية الوصول إلى Studio يدويًا ، فقد لا يتم توسيع العملية عند إعداد مئات المستخدمين.
في هذا المنشور ، نقدم إرشادات توجيهية لحل توفير مستخدمي SSO إلى Studio بأقل أذونات امتياز بناءً على عضوية مجموعة AD. يمكّنك هذا الدليل من التوسع بسرعة لإدخال مئات المستخدمين إلى Studio وتحقيق الأمان والامتثال.
حل نظرة عامة
يوضح الرسم البياني التالي بنية الحل.
يتضمن سير العمل لتوفير مستخدمي AD في Studio الخطوات التالية:
- اقامة مجال Studio في وضع SSO.
- لكل مجموعة إعلانية:
- قم بإعداد دور تنفيذ الاستوديو الخاص بك باستخدام سياسات IAM المناسبة الدقيقة
- سجل إدخالاً في تعيين دور المجموعة AD الأمازون DynamoDB الجدول.
بدلاً من ذلك ، يمكنك اعتماد معيار تسمية لدور IAM ARNs استنادًا إلى اسم مجموعة AD واشتقاق دور IAM ARN دون الحاجة إلى تخزين التعيين في قاعدة بيانات خارجية.
- مزامنة مستخدمي ومجموعات AD وعضوياتك مع AWS Identity Center:
- إذا كنت تستخدم موفر هوية (IdP) يدعم SCIM ، فاستخدم تكامل SCIM API مع IAM Identity Center.
- إذا كنت تستخدم AD مُدار ذاتيًا ، فيمكنك استخدام AD Connector.
- عندما يتم إنشاء المجموعة الإعلانية في إعلان شركتك ، أكمل الخطوات التالية:
- أنشئ مجموعة SSO مقابلة في مركز هوية IAM.
- إقران مجموعة SSO بمجال Studio باستخدام وحدة تحكم SageMaker.
- عندما يتم إنشاء مستخدم AD في إعلان شركتك ، يتم إنشاء مستخدم SSO مطابق في مركز هوية IAM.
- عندما يتم تعيين مستخدم AD إلى مجموعة AD ، فإن واجهة برمجة تطبيقات مركز الهوية IAM (إنشاء عضوية المجموعة) ، ويتم إنشاء عضوية مجموعة SSO.
- تم تسجيل الحدث السابق أوس كلاود تريل مع اسم
AddMemberToGroup
. - An أمازون إيفينت بريدج تستمع القاعدة إلى أحداث CloudTrail وتطابق ملف
AddMemberToGroup
نمط القاعدة. - تقوم قاعدة EventBridge بتشغيل الهدف AWS لامدا وظيفة.
- ستقوم وظيفة Lambda باستدعاء واجهات برمجة تطبيقات مركز هوية IAM والحصول على معلومات المستخدم والمجموعة SSO وتنفيذ الخطوات التالية لإنشاء ملف تعريف مستخدم Studio (إنشاء ملف تعريف المستخدم) لمستخدم SSO:
- ابحث عن جدول DynamoDB لجلب دور IAM المقابل لمجموعة AD.
- قم بإنشاء ملف تعريف مستخدم مع مستخدم SSO ودور IAM الذي تم الحصول عليه من جدول البحث.
- يتم منح مستخدم الدخول الموحّد (SSO) حق الوصول إلى Studio.
- تتم إعادة توجيه مستخدم SSO إلى Studio IDE عبر عنوان URL لمجال Studio.
لاحظ أنه حتى وقت الكتابة ، يجب إجراء الخطوة 4 ب (إقران مجموعة SSO بمجال Studio) يدويًا بواسطة مسؤول باستخدام وحدة تحكم SageMaker على مستوى مجال SageMaker.
قم بإعداد وظيفة Lambda لإنشاء ملفات تعريف المستخدمين
يستخدم الحل وظيفة Lambda لإنشاء ملفات تعريف مستخدم Studio. نقدم نموذج وظيفة Lambda التالية التي يمكنك نسخها وتعديلها لتلبية احتياجاتك من أجل أتمتة إنشاء ملف تعريف مستخدم Studio. تقوم هذه الوظيفة بتنفيذ الإجراءات التالية:
- احصل على CloudTrail
AddMemberToGroup
حدث من EventBridge. - استرجع الاستوديو
DOMAIN_ID
من متغير البيئة (يمكنك بدلاً من ذلك ترميز معرف المجال أو استخدام جدول DynamoDB أيضًا إذا كان لديك نطاقات متعددة). - اقرأ من جدول الترميز الوهمي لمطابقة مستخدمي AD بأدوار التنفيذ. يمكنك تغيير هذا للجلب من جدول DynamoDB إذا كنت تستخدم نهجًا يعتمد على الجدول. إذا كنت تستخدم DynamoDB ، فإن دور تنفيذ وظيفة Lambda يحتاج إلى أذونات للقراءة من الجدول أيضًا.
- استرجع مستخدم SSO ومعلومات عضوية مجموعة AD من IAM Identity Center ، بناءً على بيانات حدث CloudTrail.
- قم بإنشاء ملف تعريف مستخدم Studio لمستخدم SSO ، مع تفاصيل SSO ودور التنفيذ المطابق.
لاحظ أنه افتراضيًا ، لا يمتلك دور تنفيذ Lambda حق الوصول لإنشاء ملفات تعريف المستخدمين أو سرد مستخدمي SSO. بعد إنشاء وظيفة Lambda ، قم بالوصول إلى دور تنفيذ الوظيفة على IAM وأرفق السياسة التالية كسياسة مضمنة بعد تحديد النطاق حسب الحاجة بناءً على متطلبات مؤسستك.
قم بإعداد قاعدة EventBridge لحدث CloudTrail
EventBridge هي خدمة ناقل أحداث بدون خادم يمكنك استخدامها لتوصيل تطبيقاتك ببيانات من مجموعة متنوعة من المصادر. في هذا الحل ، نقوم بإنشاء مشغل قائم على القواعد: يستمع EventBridge إلى الأحداث والمطابقات مقابل النمط المقدم ويقوم بتشغيل وظيفة Lambda إذا نجحت مطابقة النمط. كما هو موضح في نظرة عامة على الحل ، نستمع إلى AddMemberToGroup
حدث. لإعداده ، أكمل الخطوات التالية:
- في وحدة تحكم EventBridge ، اختر قوانيـن في جزء التنقل.
- اختار إنشاء قاعدة.
- أدخل اسم القاعدة ، على سبيل المثال ،
AddUserToADGroup
. - اختياريًا ، أدخل وصفًا.
- أختار الافتراضي لحافلة الحدث.
- تحت نوع القاعدة، اختر حكم مع نمط الحدث، ثم اختر التالى.
- على بناء نمط الحدث الصفحة ، اختر مصدر الحدث as أحداث AWS أو أحداث شركاء EventBridge.
- تحت نمط الحدث، اختر ال أنماط مخصصة (محرر JSON) علامة التبويب وأدخل النمط التالي:
- اختار التالى.
- على حدد الهدف (الأهداف) الصفحة ، اختر خدمة AWS للنوع الهدف ، ووظيفة Lambda كهدف ، والوظيفة التي أنشأتها سابقًا ، ثم اختر التالى.
- اختار التالى على تكوين العلامات الصفحة ، ثم اختر إنشاء قاعدة على مراجعة وإنشاء .
بعد ضبط وظيفة Lambda وقاعدة EventBridge ، يمكنك اختبار هذا الحل. للقيام بذلك ، افتح IdP الخاص بك وأضف مستخدمًا إلى إحدى مجموعات AD مع تعيين دور تنفيذ Studio. بمجرد إضافة المستخدم ، يمكنك التحقق من سجلات وظيفة Lambda لفحص الحدث وأيضًا الاطلاع على مستخدم الاستوديو الذي يتم توفيره تلقائيًا. بالإضافة إلى ذلك ، يمكنك استخدام ملف وصف المستخدم استدعاء API للتحقق من إنشاء المستخدم بالأذونات المناسبة.
دعم حسابات الاستوديو المتعددة
لدعم حسابات Studio متعددة بالعمارة السابقة ، نوصي بالتغييرات التالية:
- قم بإعداد مجموعة إعلانية معينة لكل مستوى حساب Studio.
- قم بإعداد دور IAM على مستوى المجموعة في كل حساب Studio.
- قم بإعداد أو اشتقاق المجموعة لتعيين دور IAM.
- قم بإعداد وظيفة Lambda لأدائها افتراض الدور عبر الحسابات ، استنادًا إلى دور IAM في تعيين ARN وإنشاء ملف تعريف المستخدم.
إلغاء حق الوصول للمستخدمين
عندما تتم إزالة مستخدم من مجموعة AD الخاصة به ، يجب عليك إزالة وصوله من مجال Studio أيضًا. باستخدام الدخول الموحّد (SSO) ، عند إزالة مستخدم ، يتم تعطيل المستخدم في IAM Identity Center تلقائيًا إذا كانت مزامنة AD to IAM Identity Center في مكانها الصحيح ، وتم إبطال وصول تطبيق Studio الخاص به على الفور.
ومع ذلك ، لا يزال ملف تعريف المستخدم في Studio موجودًا. يمكنك إضافة سير عمل مماثل مع CloudTrail ووظيفة Lambda لإزالة ملف تعريف المستخدم من Studio. يجب أن يستمع مشغل EventBridge الآن إلى ملف حذف عضوية المجموعة حدث. في وظيفة Lambda ، أكمل الخطوات التالية:
- الحصول على اسم ملف تعريف المستخدم من معرف المستخدم والمجموعة.
- قائمة بجميع التطبيقات قيد التشغيل لملف تعريف المستخدم باستخدام ملف تطبيقات استدعاء API ، والتصفية حسب
UserProfileNameEquals
معامل. تأكد من التحقق من الاستجابة المرقمة لإدراج جميع التطبيقات للمستخدم. - احذف جميع التطبيقات قيد التشغيل للمستخدم وانتظر حتى يتم حذف جميع التطبيقات. يمكنك استخدام ال وصف التطبيق API لعرض حالة التطبيق.
- عندما تكون جميع التطبيقات بتنسيق حذف الدولة (أو فشل) ، احذف ملف تعريف المستخدم.
مع تطبيق هذا الحل ، يمكن لمسؤولي النظام الأساسي ML الاحتفاظ بعضوية المجموعة في موقع مركزي واحد وأتمتة إدارة ملف تعريف مستخدم Studio من خلال وظائف EventBridge و Lambda.
يُظهر الرمز التالي نموذجًا لحدث CloudTrail:
يُظهر الكود التالي نموذجًا لطلب واجهة برمجة تطبيقات ملف تعريف مستخدم Studio:
وفي الختام
في هذا المنشور ، ناقشنا كيف يمكن للمسؤولين توسيع نطاق إعداد Studio لمئات المستخدمين بناءً على عضوية مجموعة AD الخاصة بهم. لقد أظهرنا بنية حلول شاملة يمكن للمؤسسات اعتمادها لأتمتة وتوسيع نطاق عملياتها الداخلية لتلبية احتياجات المرونة والأمان والامتثال. إذا كنت تبحث عن حل قابل للتطوير لأتمتة إعداد المستخدم الخاص بك ، فجرّب هذا الحل ، واترك تعليقاتك أدناه! لمزيد من المعلومات حول الإعداد إلى Studio ، راجع على متن الطائرة إلى Amazon SageMaker Domain.
عن المؤلفين
رام فيتال هو مهندس حلول متخصص في ML في AWS. يتمتع بخبرة تزيد عن 20 عامًا في تصميم وبناء التطبيقات الموزعة والهجينة والسحابة. إنه متحمس لبناء حلول آمنة وقابلة للتطوير للذكاء الاصطناعي / التعلم الآلي والبيانات الضخمة لمساعدة عملاء المؤسسات في تبني السحابة ورحلة التحسين لتحسين نتائج أعمالهم. في أوقات فراغه ، يركب دراجته النارية ويمشي مع طفله البالغ من العمر عامين!
دورجا سوري هو مهندس حلول ML في فريق Amazon SageMaker Service SA. إنها شغوفة بجعل التعلم الآلي في متناول الجميع. خلال السنوات الأربع التي قضتها في AWS ، ساعدت في إنشاء منصات AI / ML لعملاء المؤسسات. عندما لا تعمل ، تحب ركوب الدراجات النارية ، والروايات الغامضة ، والمشي لمسافات طويلة مع كلبها الهاسكي البالغ من العمر 4 سنوات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- تمويل EVM. واجهة موحدة للتمويل اللامركزي. الوصول هنا.
- مجموعة كوانتوم ميديا. تضخيم IR / PR. الوصول هنا.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- المصدر https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :لديها
- :يكون
- :ليس
- $ UP
- 1
- 11
- 116
- 20
- 20 سنة
- 200
- 22
- 24
- 7
- 9
- a
- من نحن
- استمر
- الوصول
- يمكن الوصول
- حسابي
- الحسابات
- التأهيل
- اكشن
- الإجراءات
- نشط
- Ad
- تضيف
- وأضاف
- وبالإضافة إلى ذلك
- مشرف
- الإداريين
- تبنى
- تبني
- بعد
- ضد
- AI / ML
- الكل
- السماح
- أيضا
- أمازون
- الأمازون SageMaker
- أمازون ساجميكر ستوديو
- أمازون ويب سيرفيسز
- an
- و
- API
- واجهات برمجة التطبيقات
- تطبيق
- التطبيقات
- نهج
- مناسب
- التطبيقات
- هندسة معمارية
- هي
- AS
- تعيين
- محام
- أسوشيتد
- افتراض
- At
- يرفق
- التحقّق من المُستخدم
- مخول
- أتمتة
- تلقائيا
- أتمتة
- AWS
- الى الخلف
- على أساس
- BE
- لان
- كان
- كبير
- البيانات الكبيرة
- الجسدي
- على حد سواء
- نساعدك في بناء
- ابني
- حافلة
- الأعمال
- by
- دعوة
- CAN
- الحالات
- مركز
- مركزي
- تغيير
- التغييرات
- حرف
- التحقق
- اختار
- زبون
- سحابة
- اعتماد السحابة
- الكود
- COM
- إكمال
- الالتزام
- التواصل
- يتكون
- كنسولات
- بناء
- سياق الكلام
- منظمة
- المقابلة
- خلق
- خلق
- خلق
- خلق
- حاليا
- العملاء
- البيانات
- قاعدة البيانات
- الترتيب
- تظاهر
- نشر
- وصف
- التفاصيل
- تفاصيل
- التطوير التجاري
- معاق
- ناقش
- وزعت
- do
- لا
- فعل
- نطاق
- المجالات
- لا
- إلى أسفل
- كل
- في وقت سابق
- رئيس التحرير
- تأثير
- إما
- آخر
- البريد الإلكتروني
- تمكن
- النهائي إلى نهاية
- أدخل
- مشروع
- دخول
- البيئة
- الحدث/الفعالية
- أحداث
- كل شخص
- مثال
- الخبره في مجال الغطس
- شرح
- خارجي
- زائف
- ردود الفعل
- قم بتقديم
- تصفية
- الاسم الأول
- تركز
- متابعيك
- في حالة
- تبدأ من
- وظيفة
- وظائف
- علاوة على ذلك
- دولار فقط واحصل على خصم XNUMX% على جميع
- منح
- منح
- تجمع
- مجموعات
- توجيه
- مقبض
- يملك
- he
- مساعدة
- ساعد
- لها
- له
- كيفية
- HTML
- HTTP
- HTTPS
- مئات
- مهجنة
- ID
- هوية
- if
- يوضح
- فورا
- استيراد
- تحسن
- in
- يشمل
- معلومات
- مثل
- المتكاملة
- التكامل
- التذرع
- IT
- رحلة
- جسون
- تعلم
- الأقل
- يترك
- يتيح
- مستوى
- قائمة
- موقع
- تسجيل الدخول
- منطق
- أبحث
- بحث
- يحب
- آلة
- آلة التعلم
- المحافظة
- جعل
- القيام ب
- إدارة
- يدويا
- رسم الخرائط
- مباراة
- مطابقة
- مايو..
- تعرف علي
- عضو
- عضوية
- عضوية
- طريقة
- طرق
- ML
- موضة
- عارضات ازياء
- تعديل
- مراقبة
- الأكثر من ذلك
- دراجة نارية
- متعدد
- سر
- الاسم
- تسمية
- قائمة الإختيارات
- حاجة
- بحاجة
- الحاجة
- إحتياجات
- لا شى
- الآن
- تم الحصول عليها
- of
- أوكتا
- on
- على متن
- التأهيل ل
- مرة
- ONE
- جاكيت
- التحسين
- or
- منظمة
- المنظمات
- OS
- خارج
- النتائج
- على مدى
- نظرة عامة
- الخاصة
- صفحة
- خبز
- المعلمة
- الشريكة
- عاطفي
- نمط
- أنماط
- نفذ
- تنفيذ
- ينفذ
- أذونات
- لا يزال قائما
- المكان
- المنصة
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسة
- منشور
- خاص
- امتياز
- عملية المعالجة
- ملفي الشخصي
- ملامح
- تزود
- المقدمة
- مزود
- تقديم
- بسرعة
- عرض
- نوصي
- منطقة
- إزالة
- إزالة
- طلب
- مطلوب
- المتطلبات الأساسية
- مورد
- استجابة
- عائد أعلى
- النوع
- الأدوار
- قاعدة
- تشغيل
- s
- SA
- sagemaker
- تحجيم
- حجم
- الفحص
- تأمين
- أمن
- انظر تعريف
- Serverless
- الخدمة
- خدماتنا
- طقم
- هي
- ينبغي
- يظهر
- مماثل
- منذ
- عزباء
- So
- حل
- الحلول
- مصدر
- مصادر
- متخصص
- معيار
- الولايه او المحافظه
- ملخص الحساب
- الحالة
- خطوة
- خطوات
- لا يزال
- متجر
- ستوديو
- ناجح
- الدعم
- الدعم
- جدول
- الهدف
- فريق
- تجربه بالعربي
- أن
- •
- من مشاركة
- then
- عبر
- الوقت
- إلى
- قطار
- يثير
- صحيح
- محاولة
- نوع
- غير معروف
- حتى
- URL
- تستخدم
- مستخدم
- المستخدمين
- يستخدم
- استخدام
- قيمنا
- تشكيلة
- تحقق من
- الإصدار
- بواسطة
- المزيد
- افتراضي
- حجم
- انتظر
- تريد
- we
- الويب
- خدمات ويب
- على شبكة الإنترنت
- حسن
- متى
- سوف
- مع
- بدون
- للعمل
- سير العمل
- عامل
- جاري الكتابة
- سنوات
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت