Amazon SageMaker Studio on veebipõhine integreeritud arenduskeskkond (IDE) masinõppeks (ML), mis võimaldab teil luua, koolitada, siluda, juurutada ja jälgida oma ML-mudeleid. Studio varundamiseks oma AWS-i kontol ja regioonis peate esmalt looma Amazon SageMaker domeen – konstruktsioon, mis kapseldab teie ML-i keskkonna. Täpsemalt koosneb SageMakeri domeen seotud domeenist Amazon elastne failisüsteem (Amazon EFS) maht, volitatud kasutajate loend ning mitmesugused turbe-, rakenduse-, poliitika- ja Amazoni virtuaalne privaatpilv (Amazon VPC) konfiguratsioonid.
SageMakeri domeeni loomisel saate valida, kas kasutada kumbagi AWS IAM identiteedikeskus (AWS Single Sign-On järglane) või AWS-i identiteedi- ja juurdepääsuhaldus (IAM) kasutaja autentimismeetodite jaoks. Mõlemal autentimismeetodil on oma kasutusjuhtude komplekt; selles postituses keskendume SageMakeri domeenidele, mille autentimismeetodiks on IAM Identity Center ehk ühekordse sisselogimise (SSO) režiim.
SSO-režiimis seadistate IAM-i identiteedikeskuses SSO-kasutaja ja -rühma ning annate seejärel Studio konsoolist juurdepääsu SSO-rühmale või kasutajale. Praegu pärivad kõik domeeni SSO kasutajad domeeni täitmisrolli. See ei pruugi kõigi organisatsioonide puhul toimida. Näiteks võivad administraatorid soovida seadistada Studio SSO kasutajale IAM-i õigused nende Active Directory (AD) rühma liikmelisuse põhjal. Lisaks, kuna administraatorid peavad andma SSO-kasutajatele käsitsi juurdepääsu Studiole, ei pruugi protsess sadade kasutajate kaasamisel skaleeruda.
Selles postituses anname soovituslikke juhiseid lahenduse kohta, kuidas anda SSO-kasutajad Studiole minimaalsete privileegidega, mis põhinevad AD-rühma liikmelisusel. Need juhised võimaldavad teil kiiresti skaleerida sadade kasutajate kaasamiseks Studiosse ning saavutada oma turvalisuse ja vastavuse positsiooni.
Lahenduse ülevaade
Järgnev diagramm illustreerib lahenduse arhitektuuri.
Studio AD-kasutajate varustamise töövoog sisaldab järgmisi samme.
- Seadistage a Stuudio domeen SSO-režiimis.
- Iga reklaamirühma jaoks:
- Seadistage oma Studio täitmisroll asjakohaste täpsete IAM-eeskirjadega
- Salvestage kirje AD rühma rollide kaardistamisel Amazon DynamoDB tabelis.
Teise võimalusena saate IAM-i rollide ARN-ide jaoks kasutusele võtta AD-rühma nimel põhineva nimetamisstandardi ja tuletada IAM-i rolli ARN-i, ilma et oleks vaja vastendust välisesse andmebaasi salvestada.
- Sünkroonige oma AD kasutajad ja rühmad ning liikmesused AWS-i identiteedikeskusega:
- Kui kasutate identiteedipakkujat (IdP), mis toetab SCIM-i, kasutage SCIM API integratsiooni IAM Identity Centeriga.
- Kui kasutate isehallatavat AD-d, võite kasutada AD Connectorit.
- Kui teie ettevõtte AD-s on AD-rühm loodud, tehke järgmised toimingud.
- Looge IAM-i identiteedikeskuses vastav SSO-rühm.
- Seostage SSO-rühm Studio domeeniga, kasutades SageMakeri konsooli.
- Kui teie ettevõtte AD-s luuakse AD-kasutaja, luuakse IAM-i identiteedikeskuses vastav SSO-kasutaja.
- Kui AD-kasutaja on määratud AD-rühma, siis IAM-i identiteedikeskuse API (Looge rühmaliikmesus) käivitatakse ja luuakse SSO rühma liikmesus.
- Eelnev sündmus on sisse logitud AWS CloudTrail koos nimega
AddMemberToGroup
. - An Amazon EventBridge reegel kuulab CloudTraili sündmusi ja vastab nendele
AddMemberToGroup
reegli muster. - EventBridge reegel käivitab sihtmärgi AWS Lambda funktsiooni.
- See Lambda funktsioon kutsub tagasi IAM-i identiteedikeskuse API-d, hangib SSO kasutaja ja rühma teabe ning teeb Studio kasutajaprofiili loomiseks järgmised toimingud (Loo kasutajaprofiil) SSO kasutaja jaoks:
- Otsige üles DynamoDB tabel, et tuua AD-rühmale vastav IAM-roll.
- Looge kasutajaprofiil SSO-kasutaja ja otsingutabelist saadud IAM-i rolliga.
- SSO kasutajale antakse juurdepääs Studiole.
- SSO-kasutaja suunatakse Studio domeeni URL-i kaudu Studio IDE-sse.
Pange tähele, et kirjutamise seisuga peab toimingu 4b (SSO-rühma sidumine Studio domeeniga) tegema SageMakeri domeeni tasemel SageMakeri konsooli kasutades administraator käsitsi.
Seadistage kasutajaprofiilide loomiseks lambda funktsioon
Lahendus kasutab Studio kasutajaprofiilide loomiseks Lambda funktsiooni. Pakume järgmist näidisfunktsiooni Lambda, mida saate kopeerida ja muuta, et see vastaks Studio kasutajaprofiili loomise automatiseerimise vajadustele. See funktsioon teostab järgmisi toiminguid:
- Saate CloudTraili
AddMemberToGroup
sündmus EventBridge'ist. - Hankige stuudio
DOMAIN_ID
keskkonnamuutujast (võite ka domeeni ID kõvasti kodeerida või kasutada ka DynamoDB tabelit, kui teil on mitu domeeni). - Lugege näivast märgistustabelist, et sobitada AD kasutajad täitmisrollidega. Kui kasutate tabelipõhist lähenemist, saate seda muuta DynamoDB tabelist toomiseks. Kui kasutate DynamoDB-d, vajab teie Lambda funktsiooni täitmisroll luba ka tabelist lugemiseks.
- Hankige IAM-i identiteedikeskusest SSO-kasutaja ja AD-rühma liikmesuse teave CloudTraili sündmuste andmete põhjal.
- Looge SSO kasutajale Studio kasutajaprofiil koos SSO üksikasjade ja vastava täitmisrolliga.
Pange tähele, et vaikimisi pole Lambda täitmisrollil juurdepääsu kasutajaprofiilide loomiseks ega SSO-kasutajate loendisse lisamiseks. Pärast funktsiooni Lambda loomist avage IAM-is funktsiooni täitmisroll ja lisage järgmine poliitika sisemise poliitikana pärast seda, kui olete oma organisatsiooni nõuetest lähtuvalt vajadusel vähendanud.
Seadistage CloudTraili sündmuse jaoks EventBridge'i reegel
EventBridge on serverita sündmuste siini teenus, mida saate kasutada oma rakenduste ühendamiseks erinevatest allikatest pärit andmetega. Selles lahenduses loome reeglipõhise päästiku: EventBridge kuulab sündmusi ja sobitab pakutud mustriga ning käivitab Lambda funktsiooni, kui mustri sobitamine õnnestub. Nagu lahenduste ülevaates selgitatud, kuulame AddMemberToGroup
sündmus. Selle seadistamiseks toimige järgmiselt.
- Valige EventBridge'i konsoolil Reeglid navigeerimispaanil.
- Vali Loo reegel.
- Sisestage reegli nimi, näiteks
AddUserToADGroup
. - Soovi korral sisestage kirjeldus.
- valima vaikimisi ürituse bussi jaoks.
- alla Reegli tüüp, vali Reegel sündmuse mustriga, siis vali järgmine.
- Kohta Ehitage sündmuse muster lehel, valige Sündmuse allikas as AWS-i sündmused või EventBridge'i partnerüritused.
- alla Sündmuse muster, Vali Kohandatud mustrid (JSON-redaktor) vahekaarti ja sisestage järgmine muster:
- Vali järgmine.
- Kohta Valige sihtmärk(id) lehel valige sihtmärgi tüübi jaoks AWS-teenus, sihtmärgiks Lambda funktsioon ja varem loodud funktsioon, seejärel valige järgmine.
- Vali järgmine kohta Seadistage sildid leht, seejärel valige Loo reegel kohta Vaadake üle ja looge lehel.
Kui olete Lambda funktsiooni ja EventBridge reegli seadistanud, saate seda lahendust katsetada. Selleks avage oma IdP ja lisage ühte AD-rühma kasutaja, kelle Studio täitmise roll on kaardistatud. Pärast kasutaja lisamist saate kontrollida Lambda funktsiooni logisid, et kontrollida sündmust ja näha ka Studio kasutajat automaatselt. Lisaks saate kasutada Kirjelda kasutajaprofiili API kutse, et kontrollida, kas kasutaja on loodud sobivate õigustega.
Mitme Studio konto toetamine
Mitme eelmise arhitektuuriga Studio konto toetamiseks soovitame teha järgmisi muudatusi.
- Seadistage iga Studio kontotasemega vastendatud AD-rühm.
- Seadistage igal Studio kontol rühmatasemel IAM-i roll.
- Seadistage või tuletage rühm IAM-i rollide kaardistamiseks.
- Seadistage teostamiseks lambda funktsioon kontoülese rolli eeldus, IAM-i rollide kaardistamise ARN ja loodud kasutajaprofiili põhjal.
Kasutajate eraldamine
Kui kasutaja eemaldatakse tema AD-rühmast, peaksite eemaldama ka tema juurdepääsu Studio domeenilt. SSO-ga keelatakse kasutaja eemaldamisel kasutaja IAM-i identiteedikeskuses automaatselt, kui AD ja IAM-i identiteedikeskuse sünkroonimine on paigas, ja tema juurdepääs Studio rakendusele tühistatakse kohe.
Siiski jääb Studio kasutajaprofiil endiselt alles. Saate lisada sarnase töövoo CloudTraili ja Lambda funktsiooniga, et eemaldada kasutajaprofiil Studiost. EventBridge'i päästik peaks nüüd kuulama Grupi liikmesuse kustutamine sündmus. Lambda funktsioonis tehke järgmised sammud.
- Hankige kasutajaprofiili nimi kasutaja ja rühma ID-st.
- Loetlege kõik kasutajaprofiili jaoks töötavad rakendused, kasutades ListApps API kutse, filtreerimine
UserProfileNameEquals
parameeter. Kontrollige kindlasti leheküljelist vastust, et loetleda kõik kasutaja jaoks mõeldud rakendused. - Kustutage kõik kasutaja jaoks töötavad rakendused ja oodake, kuni kõik rakendused kustutatakse. Võite kasutada Kirjelda rakendust API, et vaadata rakenduse olekut.
- Kui kõik rakendused on a Kustutatud olek (või Ebaõnnestunud), kustutage kasutajaprofiil.
Kui see lahendus on paigas, saavad ML platvormi administraatorid säilitada grupi liikmelisust ühes keskses asukohas ja automatiseerida Studio kasutajaprofiilide haldamist EventBridge ja Lambda funktsioonide kaudu.
Järgmine kood näitab CloudTraili näidissündmust:
Järgmine kood näitab Studio kasutajaprofiili API taotlust:
Järeldus
Selles postituses arutasime, kuidas administraatorid saavad oma AD-rühma liikmelisuse põhjal sadade kasutajate jaoks Studio liitumist laiendada. Näitasime täielikku lahendusarhitektuuri, mida organisatsioonid saavad kasutusele võtta, et automatiseerida ja skaleerida oma liitumisprotsessi, et see vastaks nende paindlikkuse, turvalisuse ja vastavuse vajadustele. Kui otsite skaleeritavat lahendust kasutaja liitumise automatiseerimiseks, proovige seda lahendust ja andke teile allpool tagasisidet! Lisateavet Studioga liitumise kohta leiate artiklist Sisseehitatud Amazon SageMakeri domeeniga.
Autoritest
Ram Vital on AWS-i ML-i spetsialistilahenduste arhitekt. Tal on üle 20-aastane kogemus hajutatud, hübriid- ja pilverakenduste kujundamisel ja ehitamisel. Ta on kirglik turvaliste ja skaleeritavate tehisintellekti/ML-i ja suurandmete lahenduste loomise vastu, et aidata ettevõtte klientidel pilveteenuse kasutuselevõtul ja optimeerimisel oma äritulemusi parandada. Vabal ajal sõidab ta mootorrattaga ja kõnnib oma 2-aastase lamba-doodle'iga!
Durga Sury on ML Solutionsi arhitekt Amazon SageMaker Service SA meeskonnas. Ta on kirglik masinõppe kõigile kättesaadavaks tegemise vastu. Nelja aasta jooksul AWS-is on ta aidanud luua AI/ML platvorme ettevõtete klientidele. Kui ta ei tööta, armastab ta mootorrattasõite, mõistatusromaane ja matkamist oma 4-aastase huskyga.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
- Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :on
- :on
- :mitte
- $ UP
- 1
- 11
- 116
- 20
- 20 aastat
- 200
- 22
- 24
- 7
- 9
- a
- MEIST
- aktsepteerima
- juurdepääs
- juurdepääsetav
- konto
- Kontod
- Saavutada
- tegevus
- meetmete
- aktiivne
- Ad
- lisama
- lisatud
- Lisaks
- admin
- administraatorid
- vastu võtma
- Vastuvõtmine
- pärast
- vastu
- AI / ML
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Ka
- Amazon
- Amazon SageMaker
- Amazon SageMaker Studio
- Amazon Web Services
- an
- ja
- API
- API-liidesed
- taotlus
- rakendused
- lähenemine
- asjakohane
- apps
- arhitektuur
- OLEME
- AS
- määratud
- Partner
- seotud
- eeldus
- At
- kinnitage
- Autentimine
- volitatud
- automatiseerima
- automaatselt
- automatiseerimine
- AWS
- tagasi
- põhineb
- BE
- sest
- olnud
- Suur
- Big andmed
- keha
- mõlemad
- ehitama
- Ehitus
- buss
- äri
- by
- helistama
- CAN
- juhtudel
- keskus
- kesk-
- muutma
- Vaidluste lahendamine
- iseloom
- kontrollima
- Vali
- klient
- Cloud
- pilve adopteerimine
- kood
- COM
- täitma
- Vastavus
- Võta meiega ühendust
- koosneb
- konsool
- ehitama
- kontekst
- Korporatiivne
- Vastav
- looma
- loodud
- loomine
- loomine
- Praegu
- Kliendid
- andmed
- andmebaas
- vaikimisi
- Näidatud
- juurutada
- kirjeldus
- detail
- detailid
- & Tarkvaraarendus
- blokeeritud
- arutatud
- jagatud
- do
- Ei tee
- teeme
- domeen
- Domeenid
- Ära
- alla
- iga
- Ajalugu
- toimetaja
- mõju
- kumbki
- teine
- võimaldab
- Lõpuks-lõpuni
- sisene
- ettevõte
- kanne
- keskkond
- sündmus
- sündmused
- igaüks
- näide
- täitmine
- kogemus
- selgitas
- väline
- vale
- tagasiside
- fail
- filtreerimine
- esimene
- Keskenduma
- Järel
- eest
- Alates
- funktsioon
- funktsioonid
- Pealegi
- saama
- anda
- antud
- Grupp
- Grupi omad
- juhised
- käepide
- Olema
- he
- aitama
- aitas
- siin
- tema
- Kuidas
- HTML
- http
- HTTPS
- sajad
- hübriid
- ID
- Identity
- if
- illustreerib
- kohe
- import
- parandama
- in
- hõlmab
- info
- Näiteks
- integreeritud
- integratsioon
- kutsutud
- IT
- teekond
- Json
- õppimine
- kõige vähem
- Lahkuma
- Lets
- Tase
- nimekiri
- liising
- loginud
- loogika
- otsin
- lookup
- armastab
- masin
- masinõpe
- säilitada
- tegema
- Tegemine
- juhtimine
- käsitsi
- kaardistus
- Vastama
- sobitamine
- mai..
- Vastama
- liige
- liikmelisus
- liikmemaksud
- meetod
- meetodid
- ML
- viis
- mudelid
- muutma
- Jälgida
- rohkem
- mootorratas
- mitmekordne
- Mõistatus
- nimi
- nimetamine
- NAVIGATSIOON
- Vajadus
- vaja
- vajav
- vajadustele
- mitte midagi
- nüüd
- saadud
- of
- OKTA
- on
- Pardal
- Pardal
- kunagi
- ONE
- avatud
- optimeerimine
- or
- organisatsioon
- organisatsioonid
- OS
- välja
- tulemusi
- üle
- ülevaade
- enda
- lehekülg
- pane
- parameeter
- partner
- kirglik
- Muster
- mustrid
- täitma
- teostatud
- täidab
- Õigused
- püsib
- Koht
- inimesele
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- poliitika
- post
- era-
- privileeg
- protsess
- profiil
- profiilid
- anda
- tingimusel
- tarnija
- säte
- kiiresti
- Lugenud
- soovitama
- piirkond
- kõrvaldama
- Eemaldatud
- taotleda
- nõutav
- Nõuded
- ressurss
- vastus
- tagasipöördumine
- Roll
- rollid
- Eeskiri
- jooksmine
- s
- SA
- salveitegija
- skaalautuvia
- Skaala
- Reguleerimisala
- kindlustama
- turvalisus
- vaata
- Serverita
- teenus
- Teenused
- komplekt
- ta
- peaks
- Näitused
- sarnane
- alates
- ühekordne
- So
- lahendus
- Lahendused
- allikas
- Allikad
- spetsialist
- standard
- riik
- väljavõte
- olek
- Samm
- Sammud
- Veel
- salvestada
- stuudio
- edukas
- toetama
- Toetab
- tabel
- sihtmärk
- meeskond
- test
- et
- .
- oma
- SIIS
- see
- Läbi
- aeg
- et
- Rong
- vallandada
- tõsi
- püüdma
- tüüp
- tundmatu
- kuni
- URL
- kasutama
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- väärtus
- sort
- kontrollima
- versioon
- kaudu
- vaade
- virtuaalne
- maht
- ootama
- tahan
- we
- web
- veebiteenused
- Veebipõhine
- Hästi
- millal
- will
- koos
- ilma
- Töö
- töövoog
- töö
- kirjutamine
- aastat
- sa
- Sinu
- sephyrnet