Määrake kohandatud õigused mõne minutiga Amazon SageMaker Role Manageriga

Masinõppe (ML) töökoormuste administraatorid on keskendunud sellele, et kasutajad töötaksid kõige turvalisemal viisil, püüdes saavutada vähimate privileegidega disaini põhimõtteid. Neil on palju erinevaid isikuid, millest igaühel on oma unikaalsed vajadused, ja nende vajaduste rahuldamiseks õigete lubade poliitikate kogumi koostamine võib mõnikord olla agility pärss. Selles postituses vaatleme, kuidas seda kasutada Amazon SageMakeri rollijuht et luua kiiresti isikupõhiste rollide komplekt, mida saab mõne minutiga teie konkreetsetele vajadustele kohandada otse Amazon SageMaker konsooli.

Rollihaldur pakub eelmääratletud isikuid ja ML-tegevusi koos viisardiga, et lihtsustada teie lubade genereerimise protsessi, võimaldades teie ML-i praktikutel täita oma kohustusi minimaalsete vajalike lubadega. Kui vajate täiendavat kohandamist, võimaldab SageMaker Role Manager määrata võrgu- ja krüpteerimisõigused Amazoni virtuaalne privaatpilv (Amazon VPC) ressursse ja AWS-i võtmehaldusteenus (AWS KMS) krüpteerimisvõtmed ja lisage oma kohandatud eeskirjad.

Selles postituses kirjeldate, kuidas kasutada SageMakeri rollihaldurit andmeteadlase rolli loomiseks juurdepääsuks Amazon SageMaker Studio, säilitades samal ajal minimaalsed õigused oma vajalike toimingute tegemiseks.

Lahenduse ülevaade

Selles juhendis teostate kõik toimingud, et anda õigused ML-i administraatorile, luua teenuseroll, et pääseda juurde ehitus- ja koolitusmudelite vajalikele sõltuvustele, ning luua täitmisrollid, mida kasutajad saavad Studio sees oma ülesannete täitmiseks endale võtta. Kui teie ML-praktikud pääsevad SageMakerile juurde rakenduse kaudu AWS-i juhtimiskonsool, saate luua õigused juurdepääsu lubamiseks või juurdepääsu andmiseks IAM-i identiteedikeskus (AWS-i ühekordse sisselogimise järglane).

Inimesed

Isik on olem, mis peab täitma ML-i tegevusi ja kasutab neile lubade andmiseks rolli. SageMaker Role Manager pakub teile tavapäraste kasutusjuhtude jaoks etteantud isikumallide komplekti või saate luua oma kohandatud isiku.

Praegu toetatakse mitut isikut, sealhulgas:

• Andmete teadlane – Isik, kes teostab ML-i tegevusi SageMakeri keskkonnas. Neil on lubatud töödelda Amazoni lihtne salvestusteenus (Amazon S3) andmeid, teha katseid ja luua mudeleid.
• MLOps – Isik, kes tegeleb operatiivtegevusega SageMakeri keskkonnas. Neil on lubatud hallata mudeleid, lõpp-punkte ja torujuhtmeid ning auditeerida ressursse.
• SageMakeri arvutusroll – SageMakeri kasutatav isik arvutusressursside, näiteks töökohtade ja lõpp-punktide jaoks. Neil on juurdepääs Amazon S3 ressurssidele, Amazoni elastsete konteinerite register (Amazon ECR) hoidlad, Amazon CloudWatchja muud ML-i arvutamise teenused.
• Kohandatud rolli seaded – Sellel isikul pole eelvalitud sätteid ega vaikevalikuid. See pakub täielikku kohandamist alustades tühjadest sätetest.

Persoonide põhjaliku loendi ja lisateabe saamiseks vaadake isikuviiteid SageMaker Role Manageri arendaja juhend.

ML tegevused

ML-tegevused on eelmääratletud õiguste komplektid, mis on kohandatud tavapäraste ML-ülesannete jaoks. Persoonid koosnevad ühest või mitmest ML-tegevusest lubade andmiseks.

Näiteks andmeteadlase isiksus kasutab järgmisi ML-tegevusi:

• Käivitage Studio rakendused – Stuudio keskkonnas tegutsemise õigused. Nõutav domeeni ja kasutajaprofiili täitmisrollide jaoks.
• Katsete haldamine - Katsete ja katsete haldamise õigused.
• Hallake ML töökohti – Õigused auditeerida, päringuid teha ja katseid visualiseerida.
• Hallake mudeleid - SageMakeri tööde haldamise õigused nende elutsükli jooksul.
• Torujuhtmete haldamine - SageMakeri torujuhtmete ja torujuhtmete täitmiste haldamise õigused.
• S3 ämbrijuurdepääs – õigused teha toiminguid määratud ämbritega.

Saadaval on palju rohkem ML-tegevusi kui siin loetletud. Täieliku loendi ja mallipoliitika üksikasjade vaatamiseks vaadake ML-i tegevuse viidet SageMaker Role Manageri arendaja juhend.

Järgmine joonis näitab kogu selle postituse ulatust, kus esmalt loote kasutajatele võimaldatava teenuse täitmise rolli PassRole alusteenustele juurdepääsu saamiseks ja seejärel looge kasutaja täitmisroll, et anda teie ML-i praktikutele õigused nende nõutavate ML-toimingute tegemiseks.

Eeldused

Peate tagama, et teil on oma ML-i administraatoril roll isikute loomiseks ja haldamiseks ning samuti AWS-i identiteedi- ja juurdepääsuhaldus (IAM) õigused nendele kasutajatele.

ML-i administraatori IAM-poliitika näide võib välja näha järgmine kood. Pange tähele, et järgmine reegel lukustab Studio domeeni loomise ainult VPC jaoks. Kuigi see on võrgujuurdepääsu kontrollimise parim tava, peate eemaldama LockDownStudioDomainCreateToVPC avaldus, kui teie juurutus ei kasuta VPC-põhist Studio domeeni.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "LockDownStudioDomainCreateToVPC",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateDomain"
            ],
            "Resource":
            [
                "arn:aws:sagemaker:::domain/*"
            ],
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:AppNetworkAccessType": "VpcOnly"
                }
            }
        },
        {
            "Sid": "StudioUserProfilePerm",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateUserProfile"
            ],
            "Resource":
            [
                "arn:aws:sagemaker:::user-profile/*"
            ]
        },
        {
            "Sid": "AllowFileSystemPermissions",
            "Effect": "Allow",
            "Action":
            [
                "elasticfilesystem:CreateFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:::file-system/*"
        },
        {
            "Sid": "KMSPermissionsForSageMaker",
            "Effect": "Allow",
            "Action":
            [
                "kms:CreateGrant",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:Encrypt",
                "kms:GenerateDataKey",
                "kms:RetireGrant",
                "kms:ReEncryptTo",
                "kms:ListGrants",
                "kms:RevokeGrant",
                "kms:GenerateDataKeyWithoutPlainText"
            ],
            "Resource":
            [
                "arn:aws:kms:::key/"
            ]
        },
        {
            "Sid": "AmazonSageMakerPresignedUrlPolicy",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreatePresignedDomainUrl"
            ],
            "Resource":
            [
                "arn:aws:sagemaker:::user-profile/*"
            ]
        },
        {
            "Sid": "AllowRolePerm",
            "Effect": "Allow",
            "Action":
            [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource":
            [
                "arn:aws:iam:::role/*"
            ]
        },
        {
            "Sid": "ListExecutionRoles",
            "Effect": "Allow",
            "Action":
            [
                "iam:ListRoles"
            ],
            "Resource":
            [
                "arn:aws:iam:::role/*"
            ]
        },
        {
            "Sid": "SageMakerApiListDomain",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:ListDomains"
            ],
            "Resource": "arn:aws:sagemaker:::domain/*"
        },
        {
            "Sid": "VpcConfigurationForCreateForms",
            "Effect": "Allow",
            "Action":
            [
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action":
            [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource":
            [
                "arn:aws:kms:::key/*"
            ]
        },
        {
            "Sid": "KmsKeysForCreateForms2",
            "Effect": "Allow",
            "Action":
            [
                "kms:ListAliases"
            ],
            "Resource":
            [
                "*"
            ]
        },
        {
            "Sid": "StudioReadAccess",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:ListDomains",
                "sagemaker:ListApps",
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:ListUserProfiles",
                "sagemaker:EnableSagemakerServicecatalogPortfolio",
                "sagemaker:GetSagemakerServicecatalogPortfolioStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SageMakerProjectsSC",
            "Effect": "Allow",
            "Action":
            [
                "servicecatalog:AcceptPortfolioShare",
                "servicecatalog:ListAcceptedPortfolioShares",
                "servicecatalog:Describe*",
                "servicecatalog:List*",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:SearchProvisionedProducts",
                "cloudformation:GetTemplateSummary",
                "servicecatalog:ProvisionProduct",
                "cloudformation:ListStackResources",
                "servicecatalog:AssociatePrincipalWithPortfolio"
            ],
            "Resource": "*"
        },
        {
            "Action":
            [
                "s3:CreateBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:s3:::",
                "arn:aws:s3:::/*"
            ]
        }
    ]
}

Looge töökohtadele ja lõpp-punktidele edastamiseks teenindusroll

Kui loote oma ML-i praktikutele SageMakeris tegevuste sooritamiseks rolle, peavad nad edastama load teenuserollile, millel on juurdepääs aluseks oleva infrastruktuuri haldamiseks. Seda teenuserolli saab uuesti kasutada ja seda ei pea iga kasutusjuhtumi jaoks looma. Selles jaotises loote teenuserolli ja viitate sellele siis, kui loote oma teisi isikuid kaudu PassRole. Kui teil on juba sobiv teenindusroll, saate seda kasutada teise rolli loomise asemel.

1. Valige SageMakeri konsoolil Alustamine navigeerimisribal.
2. alla Seadistage roll, vali Loo roll.
   
   
3. eest Rolli nime järelliide, andke oma rollile nimi, millest saab teie jaoks loodud IAM-i rollinime järelliide. Selle postituse jaoks sisestame SageMaker-demoComputeRole.
4. Vali SageMakeri arvutamise roll teie isikuna.
5. Soovi korral konfigureerige soovitud ressursside kasutamiseks võrgu- ja krüpteerimisseaded.
6. Vali järgmine.
   
   aasta ML-i tegevuste seadistamine jaotises näete, et ML-i tegevus Juurdepääs nõutavatele AWS-teenustele on juba SageMaker Compute Role'i ​​isiku jaoks eelvalitud.
   Kuna Juurdepääs nõutavatele AWS-teenustele ML-i tegevus on valitud, kuvatakse täiendavad valikud.
7. Sisestage vastavad S3 ämbri ARN-id ja Amazon ECR ARN-id, millele sellel teenuserollil on juurdepääs.
   Valides saate lisada mitu väärtust lisama igas jaotises.
8. Kui olete nõutud väärtused täitnud, valige järgmine.
   
9. aasta Lisage täiendavaid eeskirju ja silte jaotises valige muud eeskirjad, mida teie teenindusroll vajada võib.
10. Vali järgmine.
11. aasta Ülevaate roll jaotises, veenduge, et teie konfiguratsioon on õige, ja seejärel valige LIITU.
    Viimane asi, mida peate teenindusrolli jaoks tegema, on üles märkida roll ARN, et saaksite seda hiljem oma andmeteadlase rolli loomise protsessis kasutada.
12. IAM-i rolli vaatamiseks valige Minge jaotisse Roll edu bänneris või otsige IAM-konsoolis oma teenindusrolli isikuks antud nime.
    
13. Märkige IAM-konsooli jaotises ARN rolli ARN.

Sisestate selle ARN-i hiljem teiste isikupõhiste rollide loomisel.

Looge andmeteadlastele täitmisroll

Nüüd, kui olete loonud põhiteeninduse rollid oma teistele isikutele kasutamiseks, saate luua oma rolli andmeteadlaste jaoks.

1. Valige SageMakeri konsoolil Alustamine navigeerimisribal.
2. alla Seadistage roll, vali Loo roll.
3. eest Rolli nime järelliide, andke oma rollile nimi, näiteks SageMaker-dataScientistRole.
   Pange tähele, et see tulemuseks olev nimi peab olema teie olemasolevates rollides ainulaadne, vastasel juhul isiku loomine ebaõnnestub.
4. Soovi korral lisage kirjeldus.
5. Valige põhipersonali mall, et anda oma isikule ML-tegevuste põhikomplekt. Selles näites valime Andmete teadlane.
6. Valikuliselt rakenduses Võrgu seadistamine jaotises määrake konkreetsed VPC alamvõrgud ja turberühmad, millele isik saab neid toetavate ressursside jaoks juurde pääseda.
7. aasta Krüptimise seadistamine, saate valikuliselt valida ühe või mitu andmete krüptimise ja mahu krüptimise võtit teenuste jaoks, mis toetavad puhkeolekus krüptimist.
8. Kui olete oma isiku kohandamise lõpetanud, valige järgmine.
   
   aasta ML-i tegevuste seadistamine jaotises on üks või mitu ML-tegevust eelvalitud teie algtaseme isikumalli alusel.
9. Selles jaotises saate lisada või eemaldada täiendavaid ML-tegevusi, et kohandada seda rolli teie konkreetse kasutusjuhtumiga.
   
   Teatud ML-tegevused nõuavad rolli seadistamise lõpuleviimiseks lisateavet. Näiteks valides S3 ämbrijuurdepääs ML-tegevuseks peate määrama S3-salvede loendi, millele juurdepääsu anda.Muud ML-toimingud võivad nõuda PassRoles sisestus, mis võimaldab sellel isikul edastada oma load teenuserollile isiku nimel toimingute tegemiseks. Meie näites on Hallake ML töökohti ML tegevus nõuab a PassRoles kirje.
10. Sisestage varem loodud teenindusrolli roll ARN.
    Valides saate lisada mitu kirjet lisama, mis loob tulemuseks olevas rollis määratud väärtuste massiivi.
    
11. Kui olete valinud kõik sobivad ML-tegevused ja esitanud vajalikud väärtused, valige järgmine.
12. aasta Lisage täiendavaid eeskirju jaotises valige muud reeglid, mida teie täitmisroll võib vajada. Saate lisada ka oma täitmisrollile silte.
13. Vali järgmine.
14. aasta Ülevaate roll jaotises veenduge, et isiku konfiguratsiooni üksikasjad on täpsed, ja seejärel valige LIITU.

Vaadake ja lisage oma uue rolli lõplikud kohandused

Pärast oma isiku esitamist saate minna IAM-i konsooli ja näha sellest tulenevat rolli ja eeskirju, mis teie jaoks loodi, ning teha täiendavaid muudatusi. IAM-i uue rolli saamiseks valige Mine rolli edu bänneris.

IAM-konsoolis saate vaadata oma vastloodud rolli koos lisatud poliitikatega, mis kaardistavad rollihalduris valitud ML-tegevused. Siin saate muuta olemasolevaid eeskirju, valides poliitika ja redigeerides dokumenti. Selle rolli saab uuesti luua ka Infrastructure as Code (IaC) kaudu, võttes lihtsalt poliitikadokumentide sisu ja lisades need oma olemasolevasse lahendusse.

Linkige uus roll kasutajaga

Et teie kasutajad saaksid Studiole juurde pääseda, peavad nad olema seotud teie loodud kasutaja täitmisrolliga (käesolevas näites andmeteadlase isiku alusel). Kasutaja rolliga seostamise meetod sõltub Studio domeeni jaoks seadistatud autentimismeetodist, kas IAM-i või IAM-i identiteedikeskuse jaoks. Autentimismeetodi leiate jaotisest Domeen jaotist Studio juhtpaneelil, nagu on näidatud järgmistel ekraanipiltidel.

Sõltuvalt teie autentimismeetodist jätkake vastava alajaotisega.

Juurdepääs stuudiosse IAM-i kaudu

Pange tähele, et kui kasutate IAM-i identiteedikeskuse integreerimist Studioga, ei ole selles jaotises IAM-i roll vajalik. Jätkake järgmise jaotisega.

SageMaker Role Manager loob AWS-i teenustele juurdepääsuks täitmisrollid. Et andmeteadlased saaksid konsooli kaudu oma isikut endale võtta, vajavad nad Studio keskkonda pääsemiseks konsoolirolli.

Järgmine näidisroll annab vajalikud õigused, et võimaldada andmeteadlasel konsoolile juurde pääseda ja võtta Studios oma isiku roll.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "DescribeCurrentDomain",
            "Effect": "Allow",
            "Action": "sagemaker:DescribeDomain",
            "Resource": "arn:aws:sagemaker:::domain/"
        },
        {
            "Sid": "RemoveErrorMessagesFromConsole",
            "Effect": "Allow",
            "Action":
            [
                "servicecatalog:ListAcceptedPortfolioShares",
                "sagemaker:GetSagemakerServicecatalogPortfolioStatus",
                "sagemaker:ListModels",
                "sagemaker:ListTrainingJobs",
                "servicecatalog:ListPrincipalsForPortfolio",
                "sagemaker:ListNotebookInstances",
                "sagemaker:ListEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredForAccess",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:ListDomains",
                "sagemaker:ListUserProfiles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreatePresignedURLForAccessToDomain",
            "Effect": "Allow",
            "Action": "sagemaker:CreatePresignedDomainUrl",
            "Resource": "arn:aws:sagemaker:::user-profile//"
        }
    ]
}

Avaldus märgistatud RemoveErrorMessagesFromConsole saab eemaldada, ilma et see mõjutaks Studiosse sisenemist, kuid see põhjustab konsooli kasutajaliideses API vigu.

Mõnikord annavad administraatorid ML-i praktikutele juurdepääsu konsoolile Studio keskkonnaga seotud probleemide silumiseks. Selle stsenaariumi korral soovite anda täiendavaid õigusi CloudWatchi vaatamiseks ja AWS CloudTrail palgid.

Järgmine kood on näide kirjutuskaitstud CloudWatchi logide juurdepääsupoliitikast:

{
"Version": "2012-10-17",
    "Statement": [
        {
        "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Lisateavet CloudWatchi logide eeskirjade kohta leiate aadressilt Kliendi hallatud poliitika näited.

Järgmine kood on kirjutuskaitstud CloudTraili juurdepääsupoliitika näide:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudtrail:Get*",
                "cloudtrail:Describe*",
                "cloudtrail:List*",
                "cloudtrail:LookupEvents"
            ],
            "Resource": "*"
        }
    ]
}

Lisateavet ja näidispoliitikat leiate aadressilt AWS CloudTraili identiteedi- ja juurdepääsuhaldus.

1. Stuudio juhtpaneelil valige Lisa kasutaja oma uue andmeteadlase kasutaja loomiseks.
2. eest Nimi, andke oma kasutajale nimi.
3. eest Vaikimisi täitmise roll, valige varem loodud isikuroll.
4. Vali järgmine.
   
5. Valige sobiv Jupyter Labi versioon ja kas lubada Amazon SageMaker JumpStart ja SageMakeri projektimallid.
6. Vali järgmine.
7. See postitus eeldab, et te ei kasuta RStudiot, seega valige järgmine uuesti, et RStudio seadistamine vahele jätta.
8. Valige, kas lubate Amazon SageMakeri lõuend tugi ja kas lubada Canvas aegridade prognoosimist.
9. Vali LIITU.
   Nüüd näete oma uut andmeteaduse kasutajat Studio juhtpaneelil.
10. Selle kasutaja testimiseks kasutage Käivitage rakendus menüüst valige stuudio.
    See suunab teid valitud kasutajana Studio konsooli, kellel on oma isiku õigused.

Juurdepääs stuudiosse IAM-i identiteedikeskuse kaudu

IAM-i identiteedikeskuse kasutajate täitmisrollidele määramine eeldab, et nad oleksid esmalt IAM-i identiteedikeskuse kataloogis. Kui neid pole, võtke ühendust oma identiteediadministraatoriga või vaadake Hallake identiteete IAM-i identiteedikeskuses juhiseid.

Pange tähele, et IAM-i identiteedikeskuse autentimismeetodi kasutamiseks peavad selle kataloog ja teie Studio domeen asuma samas AWS-i piirkonnas.

1. IAM-i identiteedikeskuse kasutajate määramiseks oma Studio domeenile valige Määrake kasutajad ja rühmad Studio juhtpaneelil.
2. Valige oma andmeteadlase kasutaja ja seejärel valige Määrake kasutajad ja rühmad.
   
3. Pärast kasutaja lisamist Studio juhtpaneelile valige kasutaja üksikasjade kuva avamiseks kasutaja.
   
4. Kohta Kasutaja andmed lehel, valige Edit.
5. Kohta Muutke kasutajaprofiili leht, all Üldised seaded, muuda Vaikimisi täitmise roll et see sobiks teie andmeteadlaste jaoks loodud kasutaja täitmisrolliga.
6. Vali järgmine.
   
7. Vali järgmine läbi ülejäänud seadete lehtede, seejärel valige LIITU muudatuste salvestamiseks.

Nüüd, kui teie andmeteadlane logib sisse IAM-i identiteedikeskuse portaali, näevad nad selle Studio domeeni paani. Selle paani valimine logib nad Studiosse sisse neile määratud kasutaja täitmisrolliga.

Testige oma uut isikut

Kui olete Studiosse sisse loginud, saate kasutada järgmist näidismärkmik et kinnitada õigused, mille andsite oma andmeteaduse kasutajale.

Võite märgata, et andmeteadlase kasutaja saab teha märkmikus ainult neid toiminguid, mille roll on lubatud. Näiteks:

• Kasutajal on blokeeritud tööde käitamine ilma VPC või AWS KMS-i konfiguratsioonita, kui roll on selleks kohandatud
• Kasutajal on juurdepääs Amazon S3 ressurssidele ainult siis, kui roll hõlmas ML-i tegevust
• Kasutaja saab lõpp-punkte juurutada ainult siis, kui roll hõlmas ML-i tegevust

Koristage

Selles juhendis loodud ressursside puhastamiseks toimige järgmiselt.

1. Eemaldage oma uue rolli vastendus oma kasutajatele:
   1. Kui kasutate Studiot koos IAM-iga, kustutage kõik uued Studio kasutajad, mille olete loonud.
   2. Kui kasutate Studiot koos IAM Identity Centeriga, eraldage loodud täitmisroll oma Studio kasutajatest.
2. Otsige IAM-konsoolist üles oma kasutaja täitmisroll ja kustutage see.
3. Otsige IAM-konsoolist üles oma teenindusroll ja kustutage see.
4. Kui lõite ML-i administraatorile uue rolli:
   1. Logige oma kontolt välja ML-i administraatori rollina ja uuesti sisse teise administraatorina, kellel on IAM-õigused.
   2. Kustutage loodud ML-i administraatori roll.

Järeldus

Kuni viimase ajani tuli SageMakeri rollide koostamiseks kohandatud lubadega alustada nullist. Uue SageMakeri rollihalduriga saate kasutada isikuid, eelseadistatud ML-tegevusi ja kohandatud poliitikaid, et luua kohandatud rolle kiiresti mõne minutiga. See võimaldab teie ML-i praktikutel SageMakeris kiiremini tööd alustada.

Lisateavet SageMaker Role Manageri kasutamise kohta leiate jaotisest SageMaker Role Manageri arendaja juhend.

Autoritest

Giuseppe Zappia on AWS-i vanemlahenduste arhitekt, kellel on üle 20-aastane kogemus täispinu tarkvaraarenduse, hajutatud süsteemide projekteerimise ja pilvearhitektuuri alal. Vabal ajal meeldib talle mängida videomänge, programmeerida, vaadata sporti ja ehitada asju.

Ram Vital on AWS-i peamine ML-lahenduste arhitekt. Tal on üle 20-aastane kogemus hajutatud, hübriid- ja pilverakenduste kujundamisel ja ehitamisel. Ta on kirglik turvaliste ja skaleeritavate tehisintellekti/ML-i ja suurandmete lahenduste loomise vastu, et aidata ettevõtte klientidel pilveteenuse kasutuselevõtul ja optimeerimisel oma äritulemusi parandada. Vabal ajal meeldib talle mootorrattaga sõita, tennist mängida ja pildistada.

Arvind Sowmyan on tarkvaraarenduse vaneminsener SageMaker Model Governance meeskonnas, kus ta on spetsialiseerunud skaleeritavate veebiteenuste loomisele, keskendudes ettevõtte turvalisusele. Enne seda töötas ta platvormil Training Jobs, kus ta oli osa SageMakeri käivitusmeeskonnast. Vabal ajal naudib ta koomiksite illustreerimist, virtuaalreaalsuse uurimist ja suurte keelemudelite kallal nokitsemist.

Ozan Eken on Amazon Web Servicesi vanemtootejuht. Ta on kirglik ettevõtete klientidele mõeldud masinõppes juhtimistoodete loomise vastu. Väljaspool tööd meeldib talle uurida erinevaid välitegevusi ja vaadata jalgpalli.