Amazon SageMaker Studio یک محیط توسعه یکپارچه مبتنی بر وب (IDE) برای یادگیری ماشین (ML) است که به شما امکان می دهد مدل های ML خود را بسازید، آموزش دهید، اشکال زدایی کنید، استقرار دهید و نظارت کنید. برای تدارک استودیو در حساب AWS و منطقه خود، ابتدا باید یک ایجاد کنید آمازون SageMaker دامنه - ساختاری که محیط ML شما را در بر می گیرد. به طور دقیق تر، یک دامنه SageMaker از یک مرتبط تشکیل شده است سیستم فایل الاستیک آمازون جلد (Amazon EFS)، فهرستی از کاربران مجاز، و انواع امنیت، برنامه، سیاست و ابر خصوصی مجازی آمازون تنظیمات (Amazon VPC).
هنگام ایجاد دامنه SageMaker خود، می توانید انتخاب کنید که از هر کدام استفاده کنید مرکز هویت AWS IAM (جانشین AWS Single Sign-On) یا هویت AWS و مدیریت دسترسی (IAM) برای روش های احراز هویت کاربر. هر دو روش احراز هویت مجموعه ای از موارد استفاده خاص خود را دارند. در این پست، ما روی دامنه های SageMaker با IAM Identity Center یا حالت SSO به عنوان روش احراز هویت تمرکز می کنیم.
با حالت SSO، یک کاربر و گروه SSO را در IAM Identity Center راهاندازی میکنید و سپس به گروه SSO یا کاربر از کنسول استودیو اجازه دسترسی میدهید. در حال حاضر، همه کاربران SSO در یک دامنه نقش اجرای دامنه را به ارث می برند. این ممکن است برای همه سازمان ها کارساز نباشد. به عنوان مثال، مدیران ممکن است بخواهند مجوزهای IAM را برای یک کاربر Studio SSO بر اساس عضویت در گروه Active Directory (AD) تنظیم کنند. علاوه بر این، از آنجایی که مدیران باید به صورت دستی به کاربران SSO دسترسی به Studio را بدهند، این فرآیند ممکن است در هنگام ورود صدها کاربر مقیاسپذیر نباشد.
در این پست، ما راهنماییهای تجویزی را برای راهحلی ارائه میکنیم تا کاربران SSO را بر اساس عضویت در گروه AD با حداقل مجوزها به استودیو ارائه دهیم. این راهنما به شما امکان می دهد تا به سرعت برای ورود صدها کاربر به استودیو مقیاس بندی کنید و به وضعیت امنیتی و انطباق خود برسید.
بررسی اجمالی راه حل
نمودار زیر معماری راه حل را نشان می دهد.
گردش کار برای ارائه کاربران AD در Studio شامل مراحل زیر است:
- تنظیم یک دامنه استودیو در حالت SSO.
- برای هر گروه AD:
- نقش اجرای استودیو خود را با خطمشیهای دقیق IAM مناسب تنظیم کنید
- یک ورودی را در نگاشت نقش گروه AD ثبت کنید آمازون DynamoDB جدول.
از طرف دیگر، میتوانید یک استاندارد نامگذاری برای ARNهای نقش IAM بر اساس نام گروه AD اتخاذ کنید و نقش IAM ARN را بدون نیاز به ذخیره نگاشت در یک پایگاه داده خارجی استخراج کنید.
- کاربران و گروهها و عضویتهای AD خود را با مرکز هویت AWS همگامسازی کنید:
- اگر از یک ارائهدهنده هویت (IdP) استفاده میکنید که از SCIM پشتیبانی میکند، از ادغام SCIM API با IAM Identity Center استفاده کنید.
- اگر از AD خود مدیریت شده استفاده می کنید، می توانید از رابط AD استفاده کنید.
- هنگامی که گروه AD در AD شرکت شما ایجاد شد، مراحل زیر را تکمیل کنید:
- یک گروه SSO مربوطه را در IAM Identity Center ایجاد کنید.
- گروه SSO را با استفاده از کنسول SageMaker به دامنه Studio مرتبط کنید.
- هنگامی که یک کاربر AD در AD شرکت شما ایجاد می شود، یک کاربر SSO مربوطه در مرکز هویت IAM ایجاد می شود.
- هنگامی که کاربر AD به یک گروه AD اختصاص داده می شود، یک IAM Identity Center API (CreateGroupMembership) فراخوانی می شود و عضویت گروه SSO ایجاد می شود.
- رویداد قبلی وارد شده است AWS CloudTrail با نام
AddMemberToGroup
. - An پل رویداد آمازون قانون به رویدادهای CloudTrail گوش می دهد و مطابقت دارد
AddMemberToGroup
الگوی قانون - قانون EventBridge هدف را تحریک می کند AWS لامبدا تابع.
- این تابع Lambda API های IAM Identity Center را فراخوانی می کند، اطلاعات کاربر و گروه SSO را دریافت می کند و مراحل زیر را برای ایجاد نمایه کاربر Studio انجام می دهد.CreateUserProfile) برای کاربر SSO:
- جدول DynamoDB را جستجو کنید تا نقش IAM مربوط به گروه AD را واکشی کنید.
- یک نمایه کاربری با کاربر SSO و نقش IAM به دست آمده از جدول جستجو ایجاد کنید.
- به کاربر SSO اجازه دسترسی به Studio داده شده است.
- کاربر SSO از طریق URL دامنه Studio به IDE Studio هدایت می شود.
توجه داشته باشید که از زمان نگارش، مرحله 4b (ارتباط گروه SSO به دامنه Studio) باید به صورت دستی توسط یک ادمین با استفاده از کنسول SageMaker در سطح دامنه SageMaker انجام شود.
یک تابع Lambda را برای ایجاد نمایه های کاربر تنظیم کنید
راه حل از یک تابع Lambda برای ایجاد پروفایل های کاربر Studio استفاده می کند. ما نمونه تابع Lambda زیر را ارائه می کنیم که می توانید آن را کپی و تغییر دهید تا نیازهای خود را برای ایجاد خودکار نمایه کاربر استودیو برآورده کنید. این تابع اقدامات زیر را انجام می دهد:
- CloudTrail را دریافت کنید
AddMemberToGroup
رویداد از EventBridge. - استودیو را بازیابی کنید
DOMAIN_ID
از متغیر محیط (شما می توانید به طور متناوب شناسه دامنه را سخت کد کنید یا از جدول DynamoDB نیز استفاده کنید اگر دامنه های متعددی دارید). - از یک جدول نشانه گذاری ساختگی بخوانید تا کاربران AD را با نقش های اجرایی مطابقت دهید. اگر از یک رویکرد جدول محور استفاده می کنید، می توانید این را برای واکشی از جدول DynamoDB تغییر دهید. اگر از DynamoDB استفاده می کنید، نقش اجرای تابع Lambda شما به مجوزهایی برای خواندن از جدول نیز نیاز دارد.
- اطلاعات کاربر SSO و عضویت گروه AD را از مرکز هویت IAM بر اساس دادههای رویداد CloudTrail بازیابی کنید.
- یک نمایه کاربری استودیو برای کاربر SSO، با جزئیات SSO و نقش اجرایی منطبق ایجاد کنید.
توجه داشته باشید که به طور پیشفرض، نقش اجرای Lambda به ایجاد پروفایلهای کاربر یا فهرست کردن کاربران SSO دسترسی ندارد. پس از ایجاد تابع Lambda، به نقش اجرای تابع در IAM دسترسی پیدا کنید و پس از کاهش محدوده مورد نیاز بر اساس نیازهای سازمان، خط مشی زیر را به عنوان خط مشی درون خطی پیوست کنید.
قانون EventBridge را برای رویداد CloudTrail تنظیم کنید
EventBridge یک سرویس اتوبوس رویداد بدون سرور است که می توانید از آن برای اتصال برنامه های خود با داده های منابع مختلف استفاده کنید. در این راه حل، ما یک تریگر مبتنی بر قانون ایجاد می کنیم: EventBridge به رویدادها گوش می دهد و با الگوی ارائه شده مطابقت دارد و در صورت موفقیت آمیز بودن تطابق الگو، یک تابع Lambda را راه اندازی می کند. همانطور که در بررسی اجمالی راه حل توضیح داده شد، ما به آن گوش می دهیم AddMemberToGroup
رویداد. برای تنظیم آن، مراحل زیر را انجام دهید:
- در کنسول EventBridge، را انتخاب کنید قوانین در صفحه ناوبری
- را انتخاب کنید قانون ایجاد کنید.
- برای مثال یک نام قانون ارائه کنید
AddUserToADGroup
. - در صورت تمایل، یک توضیحات وارد کنید.
- انتخاب کنید به طور پیش فرض برای اتوبوس رویداد
- تحت نوع قانون، انتخاب کنید قانون با الگوی رویداد، پس از آن را انتخاب کنید بعدی.
- بر ساخت الگوی رویداد صفحه ، انتخاب کنید منبع رویداد as رویدادهای AWS یا رویدادهای شریک EventBridge.
- تحت الگوی رویداد، انتخاب الگوهای سفارشی (ویرایشگر JSON) برگه و الگوی زیر را وارد کنید:
- را انتخاب کنید بعدی.
- بر انتخاب هدف(ها) صفحه، سرویس AWS را برای نوع هدف، تابع Lambda به عنوان هدف، و تابعی که قبلا ایجاد کردید انتخاب کنید، سپس انتخاب کنید بعدی.
- را انتخاب کنید بعدی در تگ ها را پیکربندی کنید صفحه، سپس انتخاب کنید قانون ایجاد کنید در بررسی و ایجاد کنید احتمال برد مراجعه کنید.
بعد از اینکه تابع Lambda و قانون EventBridge را تنظیم کردید، می توانید این راه حل را آزمایش کنید. برای انجام این کار، IdP خود را باز کنید و یک کاربر را به یکی از گروه های AD اضافه کنید که نقش اجرای Studio را نقشه برداری کرده است. هنگامی که کاربر را اضافه کردید، میتوانید گزارشهای عملکرد Lambda را برای بازرسی رویداد تأیید کنید و همچنین مشاهده کنید که کاربر Studio بهطور خودکار ارائه میشود. علاوه بر این، می توانید از DescribeUserProfile فراخوانی API برای تأیید اینکه کاربر با مجوزهای مناسب ایجاد شده است.
پشتیبانی از چندین حساب استودیو
برای پشتیبانی از چندین حساب استودیو با معماری قبلی، تغییرات زیر را توصیه می کنیم:
- یک گروه تبلیغاتی تنظیم کنید که برای هر سطح حساب استودیو نگاشت شده است.
- یک نقش IAM در سطح گروه در هر حساب استودیو تنظیم کنید.
- گروه را به نقشه نقش IAM راه اندازی یا استخراج کنید.
- یک تابع Lambda را برای انجام تنظیم کنید فرض نقش متقابل، بر اساس نقشه برداری نقش IAM ARN و ایجاد نمایه کاربر.
محروم کردن کاربران
وقتی کاربر از گروه AD خود حذف می شود، باید دسترسی او را از دامنه استودیو نیز حذف کنید. با SSO، وقتی کاربر حذف میشود، اگر همگامسازی AD به IAM Identity Center وجود داشته باشد، کاربر بهطور خودکار در IAM Identity Center غیرفعال میشود و دسترسی برنامه استودیو او بلافاصله لغو میشود.
با این حال، نمایه کاربری در استودیو همچنان پابرجاست. میتوانید یک گردش کار مشابه با CloudTrail و یک تابع Lambda اضافه کنید تا نمایه کاربر را از استودیو حذف کنید. ماشه EventBridge اکنون باید به آن گوش دهد DeleteGroupMembership رویداد. در تابع Lambda مراحل زیر را کامل کنید:
- نام پروفایل کاربری را از شناسه کاربر و گروه دریافت کنید.
- لیست تمام برنامه های در حال اجرا برای نمایه کاربر با استفاده از ListApps تماس API، فیلتر کردن توسط
UserProfileNameEquals
پارامتر. حتماً پاسخ صفحهبندی شده را بررسی کنید تا همه برنامهها را برای کاربر فهرست کنید. - همه برنامه های در حال اجرا را برای کاربر حذف کنید و صبر کنید تا همه برنامه ها حذف شوند. می توانید استفاده کنید DescribeApp API برای مشاهده وضعیت برنامه.
- وقتی همه برنامه ها در یک حذف شده حالت (یا ناموفق)، نمایه کاربر را حذف کنید.
با وجود این راه حل، مدیران پلتفرم ML می توانند عضویت گروه را در یک مکان مرکزی حفظ کنند و مدیریت پروفایل کاربر استودیو را از طریق عملکردهای EventBridge و Lambda به طور خودکار انجام دهند.
کد زیر نمونه ای از رویداد CloudTrail را نشان می دهد:
کد زیر نمونه درخواست API پروفایل کاربر استودیو را نشان می دهد:
نتیجه
در این پست، ما در مورد اینکه چگونه مدیران میتوانند در استودیو برای صدها کاربر بر اساس عضویت در گروه AD مقیاسبندی کنند. ما یک معماری راه حل انتها به انتها را نشان دادیم که سازمان ها می توانند برای خودکارسازی و مقیاس بندی فرآیند نصب خود برای برآوردن نیازهای چابکی، امنیت و انطباق خود اتخاذ کنند. اگر به دنبال راهحلی مقیاسپذیر برای خودکار کردن ورود کاربر خود هستید، این راهحل را امتحان کنید و در زیر بازخوردتان را درمیان بگذارید! برای اطلاعات بیشتر در مورد ورود به استودیو، مراجعه کنید ورود به دامنه Amazon SageMaker.
درباره نویسندگان
رام ویتال یک معمار راه حل های تخصصی ML در AWS است. او بیش از 20 سال تجربه در زمینه معماری و ساخت برنامه های کاربردی توزیع شده، ترکیبی و ابری دارد. او مشتاق ساختن راهحلهای AI/ML و کلان داده ایمن و مقیاسپذیر است تا به مشتریان سازمانی در پذیرش و سفر بهینهسازی ابر برای بهبود نتایج کسبوکارشان کمک کند. او در اوقات فراغت سوار موتورش می شود و با گوسفند ابله 2 ساله اش راه می رود!
دورگا سوری یک معمار ML Solutions در تیم Amazon SageMaker Service SA است. او مشتاق است که یادگیری ماشین را برای همه در دسترس قرار دهد. در 4 سال حضور خود در AWS، به راهاندازی پلتفرمهای AI/ML برای مشتریان سازمانی کمک کرده است. وقتی کار نمی کند، عاشق موتورسواری، رمان های معمایی و پیاده روی با هاسکی 5 ساله اش است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- EVM Finance. رابط یکپارچه برای امور مالی غیرمتمرکز دسترسی به اینجا.
- گروه رسانه ای کوانتومی. IR/PR تقویت شده دسترسی به اینجا.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- منبع: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- : دارد
- :است
- :نه
- $UP
- 1
- 11
- 116
- 20
- سال 20
- 200
- 22
- 24
- 7
- 9
- a
- درباره ما
- پذیرفتن
- دسترسی
- در دسترس
- حساب
- حساب ها
- رسیدن
- عمل
- اقدامات
- فعال
- Ad
- اضافه کردن
- اضافه
- علاوه بر این
- مدیر سایت
- مدیران
- اتخاذ
- اتخاذ
- پس از
- در برابر
- AI / ML
- معرفی
- اجازه دادن
- همچنین
- آمازون
- آمازون SageMaker
- Amazon SageMaker Studio
- آمازون خدمات وب
- an
- و
- API
- رابط های برنامه کاربردی
- کاربرد
- برنامه های کاربردی
- روش
- مناسب
- برنامه های
- معماری
- هستند
- AS
- اختصاص داده
- وابسته
- مرتبط است
- فرض
- At
- ضمیمه کردن
- تصدیق
- مجاز
- خودکار بودن
- بطور خودکار
- اتوماسیون
- AWS
- به عقب
- مستقر
- BE
- زیرا
- بوده
- بزرگ
- بزرگ داده
- بدن
- هر دو
- ساختن
- بنا
- اتوبوس
- کسب و کار
- by
- صدا
- CAN
- موارد
- مرکز
- مرکزی
- تغییر دادن
- تبادل
- شخصیت
- بررسی
- را انتخاب کنید
- مشتری
- ابر
- پذیرش ابر
- رمز
- COM
- کامل
- انطباق
- اتصال
- تشکیل شده است
- کنسول
- ساختن
- زمینه
- شرکت
- متناظر
- ایجاد
- ایجاد شده
- ایجاد
- ایجاد
- در حال حاضر
- مشتریان
- داده ها
- پایگاه داده
- به طور پیش فرض
- نشان
- گسترش
- شرح
- جزئیات
- جزئیات
- پروژه
- غیر فعال
- بحث کردیم
- توزیع شده
- do
- نمی کند
- عمل
- دامنه
- حوزه
- آیا
- پایین
- هر
- پیش از آن
- سردبیر
- اثر
- هر دو
- دیگر
- پست الکترونیک
- را قادر می سازد
- پشت سر هم
- وارد
- سرمایه گذاری
- ورود
- محیط
- واقعه
- حوادث
- هر کس
- مثال
- اعدام
- تجربه
- توضیح داده شده
- خارجی
- غلط
- باز خورد
- پرونده
- فیلتر
- نام خانوادگی
- تمرکز
- پیروی
- برای
- از جانب
- تابع
- توابع
- بعلاوه
- دریافت کنید
- اعطا کردن
- اعطا شده
- گروه
- گروه ها
- راهنمایی
- دسته
- آیا
- he
- کمک
- کمک کرد
- او
- خود را
- چگونه
- HTML
- HTTP
- HTTPS
- صدها نفر
- ترکیبی
- ID
- هویت
- if
- نشان می دهد
- بلافاصله
- واردات
- بهبود
- in
- شامل
- اطلاعات
- نمونه
- یکپارچه
- ادغام
- استناد کرد
- IT
- سفر
- json
- یادگیری
- کمترین
- ترک کردن
- اجازه می دهد تا
- سطح
- فهرست
- محل
- سیستم وارد
- منطق
- به دنبال
- مراجعه
- دوست دارد
- دستگاه
- فراگیری ماشین
- حفظ
- ساخت
- ساخت
- مدیریت
- دستی
- نقشه برداری
- مسابقه
- مطابق
- ممکن است..
- دیدار
- عضو
- عضویت
- عضویت
- روش
- روش
- ML
- حالت
- مدل
- تغییر
- مانیتور
- بیش
- موتورسیکلت
- چندگانه
- راز
- نام
- نامگذاری
- جهت یابی
- نیاز
- ضروری
- نیازمند
- نیازهای
- هیچ چی
- اکنون
- به دست آمده
- of
- اوکتا
- on
- پردازنده
- شبانه روزی
- یک بار
- ONE
- باز کن
- بهینه سازی
- or
- کدام سازمان ها
- سازمان های
- OS
- خارج
- نتایج
- روی
- مروری
- خود
- با ما
- قطعه
- پارامتر
- شریک
- احساساتی
- الگو
- الگوهای
- انجام
- انجام
- انجام می دهد
- مجوز
- همچنان ادامه دارد
- محل
- سکو
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- پست
- خصوصی
- امتیاز
- روند
- مشخصات
- پروفایل
- ارائه
- ارائه
- ارائه دهنده
- تدارک
- به سرعت
- خواندن
- توصیه
- منطقه
- برداشتن
- حذف شده
- درخواست
- ضروری
- مورد نیاز
- منابع
- پاسخ
- برگشت
- نقش
- نقش
- قانون
- در حال اجرا
- s
- SA
- حکیم ساز
- مقیاس پذیر
- مقیاس
- محدوده بندی
- امن
- تیم امنیت لاتاری
- دیدن
- بدون سرور
- سرویس
- خدمات
- تنظیم
- او
- باید
- نشان می دهد
- مشابه
- پس از
- تنها
- So
- راه حل
- مزایا
- منبع
- منابع
- متخصص
- استاندارد
- دولت
- بیانیه
- وضعیت
- گام
- مراحل
- هنوز
- opbevare
- استودیو
- موفق
- پشتیبانی
- پشتیبانی از
- جدول
- هدف
- تیم
- آزمون
- که
- La
- شان
- سپس
- این
- از طریق
- زمان
- به
- قطار
- ماشه
- درست
- امتحان
- نوع
- ناشناخته
- تا
- URL
- استفاده کنید
- کاربر
- کاربران
- استفاده
- با استفاده از
- ارزش
- تنوع
- بررسی
- نسخه
- از طريق
- چشم انداز
- مجازی
- حجم
- صبر کنيد
- می خواهم
- we
- وب
- خدمات وب
- مبتنی بر وب
- خوب
- چه زمانی
- اراده
- با
- بدون
- مهاجرت کاری
- گردش کار
- کارگر
- نوشته
- سال
- شما
- شما
- زفیرنت