Amazon SageMaker Studio on verkkopohjainen integroitu kehitysympäristö (IDE) koneoppimiseen (ML), jonka avulla voit rakentaa, kouluttaa, korjata, ottaa käyttöön ja valvoa ML-mallejasi. Studion käyttöönottoa varten AWS-tililläsi ja alueellasi sinun on ensin luotava Amazon Sage Maker domain — rakenne, joka kapseloi ML-ympäristösi. Tarkemmin sanottuna SageMaker-verkkotunnus koostuu liittyvästä Amazonin elastinen tiedostojärjestelmä (Amazon EFS) -taltio, luettelo valtuutetuista käyttäjistä ja erilaisia tietoturva-, sovelluksia, käytäntöjä ja Amazonin virtuaalinen yksityinen pilvi (Amazon VPC) -kokoonpanot.
Kun luot SageMaker-verkkotunnuksesi, voit käyttää jompaakumpaa AWS IAM Identity Center (AWS Single Sign-On:n seuraaja) tai AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) käyttäjien todennusmenetelmille. Molemmilla todennusmenetelmillä on omat käyttötapauksensa; Tässä viestissä keskitymme SageMaker-verkkotunnuksiin, joissa todennusmenetelmänä on IAM Identity Center tai SSO (Single sign-on) -tila.
SSO-tilassa määrität SSO-käyttäjän ja -ryhmän IAM Identity Centerissä ja myönnät sitten pääsyn joko SSO-ryhmälle tai käyttäjälle Studio-konsolista. Tällä hetkellä kaikki verkkotunnuksen SSO-käyttäjät perivät toimialueen suoritusroolin. Tämä ei välttämättä toimi kaikissa organisaatioissa. Järjestelmänvalvojat saattavat esimerkiksi haluta määrittää IAM-käyttöoikeudet Studio SSO -käyttäjälle heidän Active Directory (AD) -ryhmäjäsenyytensä perusteella. Lisäksi, koska järjestelmänvalvojien on myönnettävä manuaalisesti SSO-käyttäjille pääsy Studioon, prosessi ei välttämättä skaalaudu, kun otetaan käyttöön satoja käyttäjiä.
Tässä viestissä annamme ohjeellisia ohjeita ratkaisuun, jolla SSO-käyttäjille tarjotaan Studioon vähiten AD-ryhmän jäsenyyteen perustuvia käyttöoikeuksia. Näiden ohjeiden avulla voit nopeasti skaalata satoja käyttäjiä Studioon ja saavuttaa turvallisuus- ja vaatimustenmukaisuusasentosi.
Ratkaisun yleiskatsaus
Seuraava kaavio kuvaa ratkaisuarkkitehtuuria.
Työnkulku AD-käyttäjille Studiossa sisältää seuraavat vaiheet:
- Aseta a Studio-verkkotunnus SSO-tilassa.
- Jokaiselle mainosryhmälle:
- Määritä Studion suoritusrooli asianmukaisilla IAM-käytännöillä
- Tallenna merkintä AD-ryhmä-roolikartoitukseen Amazon DynamoDB pöytä.
Vaihtoehtoisesti voit ottaa käyttöön IAM-roolin ARN:ien nimeämisstandardin AD-ryhmän nimen perusteella ja johtaa IAM-roolin ARN tarvitsematta tallentaa kartoitusta ulkoiseen tietokantaan.
- Synkronoi AD-käyttäjäsi, ryhmäsi ja jäsenyytesi AWS Identity Centeriin:
- Jos käytät identiteetintarjoajaa (IdP), joka tukee SCIM:ää, käytä SCIM API -integraatiota IAM Identity Centerin kanssa.
- Jos käytät itsehallittua AD:ta, voit käyttää AD Connectoria.
- Kun AD-ryhmä luodaan yrityksesi AD:ssa, suorita seuraavat vaiheet:
- Luo vastaava SSO-ryhmä IAM Identity Centerissä.
- Liitä SSO-ryhmä Studio-toimialueeseen SageMaker-konsolin avulla.
- Kun AD-käyttäjä luodaan yrityksesi AD:hen, vastaava SSO-käyttäjä luodaan IAM Identity Centerissä.
- Kun AD-käyttäjä on määritetty AD-ryhmään, IAM Identity Center API (Luo Ryhmäjäsenyys) kutsutaan ja SSO-ryhmän jäsenyys luodaan.
- Edellinen tapahtuma on kirjautunut sisään AWS CloudTrail nimi
AddMemberToGroup
. - An Amazon EventBridge sääntö kuuntelee CloudTrail-tapahtumia ja vastaa
AddMemberToGroup
sääntömalli. - EventBridge-sääntö laukaisee kohteen AWS Lambda toiminto.
- Tämä Lambda-toiminto kutsuu takaisin IAM Identity Center -sovellusliittymiä, hakee SSO-käyttäjä- ja ryhmätiedot ja suorittaa seuraavat vaiheet Studion käyttäjäprofiilin luomiseksi (Luo käyttäjäprofiili) SSO-käyttäjälle:
- Etsi DynamoDB-taulukko hakeaksesi AD-ryhmää vastaavan IAM-roolin.
- Luo käyttäjäprofiili SSO-käyttäjän ja hakutaulukosta saadun IAM-roolin kanssa.
- SSO-käyttäjälle on myönnetty pääsy Studioon.
- SSO-käyttäjä ohjataan Studio IDE:hen Studio-verkkotunnuksen URL-osoitteen kautta.
Huomaa, että järjestelmänvalvojan on kirjoitettaessa vaihe 4b (SSO-ryhmän liittäminen Studio-toimialueeseen) suoritettava manuaalisesti SageMaker-konsolin avulla SageMaker-toimialuetasolla.
Aseta Lambda-toiminto käyttäjäprofiilien luomiseksi
Ratkaisu käyttää Lambda-toimintoa Studion käyttäjäprofiilien luomiseen. Tarjoamme seuraavan Lambda-mallitoiminnon, jonka voit kopioida ja muokata tarpeidesi mukaan Studion käyttäjäprofiilin luomisen automatisoimiseksi. Tämä toiminto suorittaa seuraavat toiminnot:
- Ota vastaan CloudTrail
AddMemberToGroup
tapahtuma EventBridgestä. - Hae Studio
DOMAIN_ID
ympäristömuuttujasta (voit vaihtoehtoisesti koodata verkkotunnuksen tunnuksen tai käyttää myös DynamoDB-taulukkoa, jos sinulla on useita verkkotunnuksia). - Lue valemerkintätaulukosta sovittaaksesi AD-käyttäjät suoritusrooleihin. Voit muuttaa tämän hakemaan DynamoDB-taulukosta, jos käytät taulukkopohjaista lähestymistapaa. Jos käytät DynamoDB:tä, Lambda-funktion suoritusrooli tarvitsee myös luvat lukeakseen taulukosta.
- Hae SSO-käyttäjä- ja AD-ryhmän jäsentiedot IAM Identity Centeristä CloudTrail-tapahtumatietojen perusteella.
- Luo SSO-käyttäjälle Studio-käyttäjäprofiili, jossa on SSO-tiedot ja vastaava suoritusrooli.
Huomaa, että oletuksena Lambda-suoritusroolilla ei ole oikeutta luoda käyttäjäprofiileja tai luetteloida SSO-käyttäjiä. Kun olet luonut Lambda-funktion, käytä toiminnon suoritusroolia IAM:ssa ja liitä seuraava käytäntö sisäisenä käytäntönä, kun olet määrittänyt tarpeen mukaan organisaatiosi vaatimuksiin.
Määritä EventBridge-sääntö CloudTrail-tapahtumalle
EventBridge on palvelimeton tapahtumaväyläpalvelu, jonka avulla voit yhdistää sovelluksesi tietoihin useista eri lähteistä. Tässä ratkaisussa luomme sääntöpohjaisen triggerin: EventBridge kuuntelee tapahtumia ja vastaa annettuun malliin ja laukaisee Lambda-toiminnon, jos kuvion täsmäytys onnistuu. Kuten ratkaisukatsauksessa selitettiin, kuuntelemme AddMemberToGroup
tapahtuma. Määritä se suorittamalla seuraavat vaiheet:
- Valitse EventBridge-konsolista Säännöt navigointipaneelissa.
- Valita Luo sääntö.
- Anna säännön nimi, esim.
AddUserToADGroup
. - Lisää vaihtoehtoisesti kuvaus.
- valita oletusarvo tapahtumabussille.
- Alle Säännön tyyppi, valitse Sääntö tapahtumakuviolla, valitse sitten seuraava.
- On Rakenna tapahtumakuvio sivu, valitse Tapahtuman lähde as AWS-tapahtumat tai EventBridge-kumppanitapahtumat.
- Alle Tapahtumakuvio, Valitse Mukautetut mallit (JSON-editori) -välilehti ja kirjoita seuraava kuvio:
- Valita seuraava.
- On Valitse kohde(t) -sivulle, valitse kohdetyypiksi AWS-palvelu, kohteeksi Lambda-toiminto ja aiemmin luomasi funktio ja valitse sitten seuraava.
- Valita seuraava på den Määritä tunnisteet sivu ja valitse sitten Luo sääntö på den Tarkista ja luo sivu.
Kun olet asettanut Lambda-toiminnon ja EventBridge-säännön, voit testata tätä ratkaisua. Voit tehdä tämän avaamalla IdP:n ja lisäämällä käyttäjän johonkin AD-ryhmään, jonka Studion suoritusrooli on kartoitettu. Kun olet lisännyt käyttäjän, voit vahvistaa Lambda-toimintolokit tarkastaaksesi tapahtuman ja nähdäksesi myös Studion käyttäjän automaattisesti. Lisäksi voit käyttää DescribeUserProfile API-kutsu sen varmistamiseksi, että käyttäjä on luotu asianmukaisilla käyttöoikeuksilla.
Tukee useita Studio-tilejä
Jos haluat tukea useita Studio-tilejä edellisellä arkkitehtuurilla, suosittelemme seuraavia muutoksia:
- Määritä jokaiselle Studio-tilitasolle yhdistetty mainosryhmä.
- Määritä ryhmätason IAM-rooli jokaiselle Studio-tilille.
- Määritä tai johda ryhmä IAM-roolikartoitukseen.
- Aseta Lambda-toiminto suoritettavaksi tilien välinen roolioletus, IAM-roolikartoituksen ARN ja luodun käyttäjäprofiilin perusteella.
Käyttäjien oikeuksien poistaminen
Kun käyttäjä poistetaan AD-ryhmästään, sinun tulee poistaa hänen käyttöoikeutensa myös Studio-verkkotunnuksesta. Kertakirjautumisen yhteydessä, kun käyttäjä poistetaan, käyttäjä poistetaan käytöstä IAM Identity Centerissä automaattisesti, jos AD IAM Identity Center -synkronointi on paikallaan, ja hänen Studio-sovelluksen käyttöoikeudet peruutetaan välittömästi.
Studion käyttäjäprofiili on kuitenkin edelleen voimassa. Voit lisätä samanlaisen työnkulun CloudTrailin ja Lambda-toiminnon avulla käyttäjäprofiilin poistamiseksi Studiosta. EventBridge-laukaisimen pitäisi nyt kuunnella Poista ryhmän jäsenyys tapahtuma. Suorita Lambda-toiminnossa seuraavat vaiheet:
- Hanki käyttäjäprofiilin nimi käyttäjä- ja ryhmätunnuksesta.
- Luettele kaikki käyttäjäprofiilin käynnissä olevat sovellukset käyttämällä ListApps API-kutsu, suodatus
UserProfileNameEquals
parametri. Varmista, että tarkistat sivutetun vastauksen, jotta näet kaikki käyttäjän sovellukset. - Poista kaikki käyttäjän käynnissä olevat sovellukset ja odota, kunnes kaikki sovellukset on poistettu. Voit käyttää KuvaileApp API nähdäksesi sovelluksen tilan.
- Kun kaikki sovellukset ovat kohdassa a Poistettu valtio (tai Epäonnistui), poista käyttäjäprofiili.
Tämän ratkaisun avulla ML-alustan järjestelmänvalvojat voivat ylläpitää ryhmäjäsenyyksiä yhdessä keskeisessä paikassa ja automatisoida Studion käyttäjäprofiilien hallinnan EventBridge- ja Lambda-toimintojen avulla.
Seuraava koodi näyttää esimerkki CloudTrail-tapahtumasta:
Seuraava koodi näyttää mallin Studion käyttäjäprofiilin API-pyynnön:
Yhteenveto
Tässä viestissä keskustelimme siitä, kuinka järjestelmänvalvojat voivat skaalata Studion käyttöönottoa sadoille käyttäjille AD-ryhmäjäsenyytensä perusteella. Esitimme päästä päähän -ratkaisuarkkitehtuurin, jonka organisaatiot voivat ottaa käyttöön automatisoidakseen ja skaalatakseen käyttöönottoprosessinsa vastaamaan ketteryys-, tietoturva- ja vaatimustenmukaisuustarpeita. Jos etsit skaalautuvaa ratkaisua automatisoidaksesi käyttäjän käyttöönottoa, kokeile tätä ratkaisua ja jätä palautetta alle! Lisätietoja Studioon liittymisestä on kohdassa Sisääntulo Amazon SageMaker -verkkotunnukseen.
Tietoja kirjoittajista
Ram Vital on ML Specialist Solutions -arkkitehti AWS:ssä. Hänellä on yli 20 vuoden kokemus hajautettujen, hybridi- ja pilvisovellusten arkkitehtuurista ja rakentamisesta. Hän on intohimoinen turvallisten ja skaalautuvien AI/ML- ja big data -ratkaisujen rakentamiseen auttaakseen yritysasiakkaita heidän pilvipalveluiden käyttöönotto- ja optimointimatkallaan parantaakseen liiketoimintansa tuloksia. Vapaa-ajallaan hän ajaa moottoripyörällä ja kävelee 2-vuotiaan lammas-a-doodlensa kanssa!
Durga Sury on ML Solutions -arkkitehti Amazon SageMaker Service SA -tiimissä. Hän haluaa tehdä koneoppimisesta kaikkien ulottuville. Neljän vuoden aikana AWS:ssä hän on auttanut luomaan AI/ML-alustoja yritysasiakkaille. Kun hän ei ole töissä, hän rakastaa moottoripyöräilyä, mysteeriromaaneja ja patikointia 4-vuotiaan huskyn kanssa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
- Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :on
- :On
- :ei
- $ YLÖS
- 1
- 11
- 116
- 20
- 20 vuotta
- 200
- 22
- 24
- 7
- 9
- a
- Meistä
- Hyväksyä
- pääsy
- saatavilla
- Tili
- Tilit
- Saavuttaa
- Toiminta
- toimet
- aktiivinen
- Ad
- lisätä
- lisä-
- Lisäksi
- admin
- ylläpitäjät
- hyväksyä
- Hyväksyminen
- Jälkeen
- vastaan
- AI / ML
- Kaikki
- sallia
- Myös
- Amazon
- Amazon Sage Maker
- Amazon SageMaker Studio
- Amazon Web Services
- an
- ja
- api
- API
- Hakemus
- sovellukset
- lähestymistapa
- sopiva
- sovellukset
- arkkitehtuuri
- OVAT
- AS
- osoitettu
- Työtoveri
- liittyvä
- olettamus
- At
- liittää
- Authentication
- valtuutettu
- automatisoida
- automaattisesti
- automatisointi
- AWS
- takaisin
- perustua
- BE
- koska
- ollut
- Iso
- Big Data
- elin
- sekä
- rakentaa
- Rakentaminen
- bussi
- liiketoiminta
- by
- soittaa
- CAN
- tapauksissa
- keskus
- keskeinen
- muuttaa
- Muutokset
- merkki
- tarkastaa
- Valita
- asiakas
- pilvi
- pilvien hyväksyminen
- koodi
- KOM
- täydellinen
- noudattaminen
- kytkeä
- muodostuu
- Console
- rakentaa
- tausta
- Yrityksen
- vastaava
- luoda
- luotu
- Luominen
- luominen
- Tällä hetkellä
- Asiakkaat
- tiedot
- tietokanta
- oletusarvo
- osoittivat
- sijoittaa
- kuvaus
- yksityiskohta
- yksityiskohdat
- Kehitys
- vammaiset
- keskusteltiin
- jaettu
- do
- ei
- tekee
- verkkotunnuksen
- verkkotunnuksia
- Dont
- alas
- kukin
- Aikaisemmin
- toimittaja
- vaikutus
- myöskään
- muu
- mahdollistaa
- päittäin
- enter
- yritys
- merkintä
- ympäristö
- tapahtuma
- Tapahtumat
- jokainen
- esimerkki
- teloitus
- experience
- selitti
- ulkoinen
- väärä
- palaute
- filee
- suodatus
- Etunimi
- Keskittää
- jälkeen
- varten
- alkaen
- toiminto
- tehtävät
- Lisäksi
- saada
- myöntää
- myönnetty
- Ryhmä
- Ryhmän
- ohjaus
- kahva
- Olla
- he
- auttaa
- auttanut
- hänen
- hänen
- Miten
- HTML
- http
- HTTPS
- Sadat
- Hybridi
- ID
- Identiteetti
- if
- havainnollistaa
- heti
- tuoda
- parantaa
- in
- sisältää
- tiedot
- esimerkki
- integroitu
- integraatio
- kutsuttuihin
- IT
- matka
- json
- oppiminen
- vähiten
- jättää
- Lets
- Taso
- Lista
- sijainti
- kirjattu
- logiikka
- näköinen
- Katso ylös
- rakastaa
- kone
- koneoppiminen
- ylläpitää
- tehdä
- Tekeminen
- johto
- käsin
- kartoitus
- ottelu
- matching
- Saattaa..
- Tavata
- jäsen
- jäsenyys
- jäsenyydet
- menetelmä
- menetelmät
- ML
- tila
- mallit
- muokata
- monitori
- lisää
- moottoripyörä
- moninkertainen
- Mysteeri
- nimi
- nimeäminen
- suunnistus
- Tarve
- tarvitaan
- tarvitsevat
- tarpeet
- ei mitään
- nyt
- saatu
- of
- OKTA
- on
- Laivalla
- perehdytyksessä
- kerran
- ONE
- avata
- optimointi
- or
- organisaatio
- organisaatioiden
- OS
- ulos
- tuloksiin
- yli
- yleiskatsaus
- oma
- sivulla
- lasi
- parametri
- kumppani
- intohimoinen
- Kuvio
- kuviot
- Suorittaa
- suoritettu
- suorittaa
- Oikeudet
- jatkuu
- Paikka
- foorumi
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- politiikka
- Kirje
- yksityinen
- etuoikeus
- prosessi
- Profiili
- Profiilit
- toimittaa
- mikäli
- toimittaja
- säännös
- nopeasti
- Lue
- suositella
- alue
- poistaa
- poistettu
- pyyntö
- tarvitaan
- vaatimukset
- resurssi
- vastaus
- palata
- Rooli
- roolit
- Sääntö
- juoksu
- s
- SA
- sagemaker
- skaalautuva
- Asteikko
- rajaukseen
- turvallinen
- turvallisuus
- nähdä
- serverless
- palvelu
- Palvelut
- setti
- hän
- shouldnt
- Näytä
- samankaltainen
- koska
- single
- So
- ratkaisu
- Ratkaisumme
- lähde
- Lähteet
- asiantuntija
- standardi
- Osavaltio
- Lausunto
- Tila
- Vaihe
- Askeleet
- Yhä
- verkkokaupasta
- studio
- onnistunut
- tuki
- Tukee
- taulukko
- Kohde
- joukkue-
- testi
- että
- -
- heidän
- sitten
- tätä
- Kautta
- aika
- että
- Juna
- laukaista
- totta
- yrittää
- tyyppi
- tuntematon
- asti
- URL
- käyttää
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- arvo
- lajike
- todentaa
- versio
- kautta
- Näytä
- Virtual
- tilavuus
- odottaa
- haluta
- we
- verkko
- verkkopalvelut
- Web-pohjainen
- HYVIN
- kun
- tulee
- with
- ilman
- Referenssit
- työnkulku
- työskentely
- kirjoittaminen
- vuotta
- Voit
- Sinun
- zephyrnet