Avec une Domaine Amazon SageMaker, vous pouvez intégrer des utilisateurs avec un Gestion des identités et des accès AWS (IAM) rôle d'exécution différent du rôle d'exécution de domaine. Dans ce cas, l'utilisateur du domaine intégré ne peut pas créer de projets à l'aide de modèles et Amazon SageMaker JumpStart solutions. Cet article décrit une approche automatisée pour activer JumpStart pour les utilisateurs de domaine avec un rôle d'exécution personnalisé. Nous vous expliquons deux cas d'utilisation différents pour activer JumpStart et comment résoudre ces cas par programmation. La solution automatisée peut vous aider à faire évoluer votre processus pour activer JumpStart pour les utilisateurs de domaine avec des rôles personnalisés, en augmentant la productivité de votre équipe de science des données et Amazon SageMakerStudio administrateurs.
JumpStart est une fonctionnalité de Studio qui vous aide à démarrer rapidement et facilement avec le machine learning (ML). Avec de plus en plus de clients utilisant de plus en plus le ML et adoptant Amazon Sage Maker, JumpStart permet aux équipes de science des données et de ML d'accéder plus facilement à plus de 150 modèles open source populaires, tels que le traitement du langage naturel, la détection d'objets et les modèles de classification d'images, et de les affiner.
Vue d'ensemble de la solution
JumpStart nécessite un domaine SageMaker avec des modèles de projet activés pour le compte et les utilisateurs de Studio, comme illustré dans la capture d'écran suivante.
S'il est activé, ce paramètre permet aux utilisateurs (configurés pour utiliser le rôle d'exécution de domaine) de créer des projets à l'aide de modèles et de solutions JumpStart. Dans le scénario où le rôle d'exécution de l'utilisateur est différent du rôle d'exécution du domaine, JumpStart reste désactivé pour cet utilisateur même lorsqu'il est activé sur le domaine. Nous abordons ce scénario de rôle personnalisé et la solution automatisée dans les sections suivantes.
Dans cette solution, nous abordons le problème pour les deux cas suivants :
- Cas d'utilisation 1 – Activation de JumpStart de manière automatisée pour les utilisateurs de domaine existants avec des rôles personnalisés, quelles que soient les applications attribuées
- Cas d'utilisation 2 – Fournir un script de référence que vous pouvez utiliser pour activer JumpStart par programmation lors de l'intégration d'un nouvel utilisateur de domaine avec un rôle personnalisé
Intégration des utilisateurs du domaine
Après avoir créé un domaine, vous pouvez intégrer des utilisateurs pour lancer des applications (telles que Studio, RStudio ou Canvas). Vous devez attribuer un rôle d'exécution par défaut à un utilisateur de domaine lors du processus de création, comme illustré dans la capture d'écran suivante.
Vous pouvez choisir un rôle différent du rôle d'exécution de domaine pour un utilisateur. Cependant, cela peut désactiver JumpStart pour ces utilisateurs même lorsqu'il est activé sur le domaine. Ce comportement est dû au fait que SageMaker ne fait aucune hypothèse sur un rôle personnalisé et sa limite d'autorisation. Les autorisations et les politiques requises doivent être attribuées explicitement pour accéder aux modèles et aux solutions JumpStart publiés par SageMaker dans Catalogue de services AWS.
Vous pouvez activer manuellement les projets SageMaker et JumpStart pour chaque utilisateur en sélectionnant le profil utilisateur dans le panneau de configuration du domaine SageMaker. Cependant, ce processus peut prendre du temps si un utilisateur a déjà certaines applications attribuées. le Modifier Le bouton en bas à droite n'est activé que lorsqu'aucune application n'est attribuée à cet utilisateur (voir la capture d'écran suivante). Vous devez d'abord supprimer les applications attribuées afin de modifier un profil d'utilisateur.
La cause de la fonctionnalité JumpStart désactivée est évidente lors de l'étape 2 de la modification d'un profil utilisateur, où un message indique « Si des utilisateurs individuels utilisent des rôles d'exécution personnalisés dans votre organisation, vous devez les activer sur la page du profil utilisateur ».
Dans les sections suivantes, nous vous présentons deux solutions automatisées qui couvrent les cas d'utilisation pour les utilisateurs existants et nouveaux du domaine.
Pré-requis
Les étapes décrites dans le cadre de cette solution ont les prérequis suivants :
- Vous avez créé un domaine SageMaker
- La méthode d'authentification du domaine SageMaker est IAM
- Les rôles personnalisés attribués aux utilisateurs du domaine SageMaker ont la
AmazonSageMakerFullAccess
police jointe
Pour Solutions JumpStart pour être activé pour les utilisateurs, le portefeuille AWS Service Catalog Amazon SageMaker Solutions et les produits ML Ops doivent être importés dans le compte, et ce portefeuille doit être associé au rôle qui exécute SageMaker. L'association de rôle est nécessaire pour que Studio puisse appeler les API AWS Service Catalog associées au portefeuille de solutions.
Comme meilleure pratique générale, nous vous recommandons de tester le processus dans un environnement de non-production suivi de tests de validation pour vous assurer que tout est configuré et fonctionne selon vos attentes avant d'apporter des modifications à l'environnement de production.
Cas d'utilisation 1 : Activer JumpStart pour tous les utilisateurs de domaine existants avec un rôle personnalisé
Considérons d'abord le cas d'utilisation des utilisateurs existants et activons JumpStart pour ces utilisateurs de manière automatisée.
Pour y parvenir, nous avons créé un AWS CloudFormation modèle que vous pouvez exécuter dans la même région où le domaine SageMaker existe.
La pile CloudFormation contenue dans le fichier joint jumpstart_solutions_resources.template.yaml
fichier a les composants suivants :
- AmazonSageMakerServiceCatalogProductsLaunchRole et AmazonSageMakerServiceCatalogProductsUseRole – Crée ces deux rôles IAM, s'ils n'existent pas déjà.
- 1PProductUseRolePolicy – Crée cette stratégie utilisée par
AmazonSageMakerServiceCatalogProductsUseRole
, si ce rôle n'existe pas déjà. - setup_solutions_tests_portfolio - Un AWS Lambda fonction qui effectue l'importation du portefeuille AWS Service Catalog et l'association des rôles en appelant les API Boto3. Cette fonction est appelée une fois pendant Création de pile CloudFormation.
- Rôle LambdaIAMRôle – Utilisé par la fonction
setup_solutions_tests_portfolio
pour appeler les API AWS Service Catalog et SageMaker. - ConfigurationPortfolioInvoker – Invoque la fonction
setup_solutions_tests_portfolio
.
Une fois que la fonction Lambda s'exécute dans le cadre du déploiement CloudFormation, elle modernise tous les utilisateurs existants du domaine SageMaker pour activer JumpStart et Projects pour eux. Pour plus d'informations sur la création et la surveillance d'une pile CloudFormation, reportez-vous à Comment fonctionne AWS CloudFormation.
Cas d'utilisation 2 : Activer JumpStart pour un seul utilisateur de domaine avec un rôle personnalisé
De nombreux clients préfèrent faire évoluer le processus d'intégration des utilisateurs du domaine en l'automatisant par programmation. Dans cette section, nous fournissons une référence de script Python que vous pouvez utiliser dans le cadre du processus d'intégration pour activer JumpStart pour un nouvel utilisateur avec un rôle personnalisé. Ce script Python effectue l'association requise pour le rôle d'utilisateur donné. Le processus automatisé appelant ce script doit être autorisé à utiliser les API AWS Service Catalog et SageMaker. Voir le code suivant :
Vous pouvez appeler le script indépendamment ou l'intégrer en tant qu'étape dans un processus automatisé pour créer un profil utilisateur pour l'intégration à Studio. Pour plus d'informations sur l'utilisation de Boto3, reportez-vous à Référence Boto3.
Nettoyer
Une fois que tous les rôles personnalisés sont activés pour utiliser JumpStart, nous pouvons nettoyer les ressources qui ne sont plus nécessaires. Vous pouvez supprimer la fonction Lambda setup_solutions_tests_portfolio
et le rôle IAM LambdaIAMRole
créé par le modèle CloudFormation. Les deux autres rôles IAM, AmazonSageMakerServiceCatalogProductsLaunchRole
ainsi que AmazonSageMakerServiceCatalogProductsUseRole
, et la stratégie associée 1PProductUseRolePolicy (si créée) ne doivent pas être supprimées car elles doivent exister pour accéder à JumpStart.
Conclusion
Dans cet article, nous avons partagé les étapes pour activer JumpStart pour un rôle personnalisé pour les utilisateurs existants ainsi que pour les nouveaux utilisateurs par programmation. Comme toujours, assurez-vous de valider les étapes mentionnées dans cette solution dans un environnement hors production avant le déploiement en production.
Essayez-le et faites-nous savoir si vous avez des questions dans la section commentaires!
Ressources additionnelles
Pour plus d'informations, voir ce qui suit:
- Ressources Amazon SageMaker
- Automatisez un déploiement centralisé d'Amazon SageMaker Studio avec AWS Service Catalog
- Configuration d'Amazon SageMaker Studio pour les équipes et les groupes avec une isolation complète des ressources
À propos des auteurs
Nikhil Jha est responsable de compte technique senior chez Amazon Web Services. Ses domaines d'intervention incluent l'IA/ML et l'analytique. Dans ses temps libres, il aime jouer au badminton avec sa fille et explorer le plein air.
Evan Kravitz est ingénieur logiciel chez Amazon Web Services, travaillant sur SageMaker JumpStart. Il aime cuisiner et courir à New York.
- Coinsmart. Le meilleur échange Bitcoin et Crypto d'Europe.
- Platoblockchain. Intelligence métaverse Web3. Connaissance amplifiée. ACCÈS LIBRE.
- CryptoHawk. Radar Altcoins. Essai gratuit.
- Source : https://aws.amazon.com/blogs/machine-learning/enable-amazon-sagemaker-jumpstart-for-custom-iam-execution-roles/
- "
- 100
- accès
- Compte
- propos
- Tous
- déjà
- Amazon
- Amazon Web Services
- analytique
- Apis
- une approche
- applications
- attribué
- Association
- Authentification
- Automatisation
- AWS
- LES MEILLEURS
- frontière
- Appelez-nous
- cas
- Causes
- Ville
- classification
- code
- commentaires
- des bactéries
- crée des
- La création
- Clients
- données
- science des données
- déployer
- déploiement
- Détection
- différent
- Ne fait pas
- domaine
- même
- permettant
- ingénieur
- Environment
- peut
- exécution
- attentes
- Fonctionnalité
- Prénom
- Focus
- Abonnement
- fonction
- Général
- aller
- aider
- aide
- Comment
- How To
- HTTPS
- Active
- image
- comprendre
- individuel
- d'information
- aide
- IT
- langue
- lancer
- apprentissage
- click
- machine learning
- Fabrication
- manager
- manuellement
- ML
- numériques jumeaux (digital twin models)
- Stack monitoring
- Nature
- New York
- New York City
- Onboarding
- d'exploitation
- de commander
- organisation
- Autre
- l'extérieur
- politiques
- politique
- Populaire
- portefeuille
- processus
- Vidéo
- productivité
- Produits
- Profil
- Projet
- projets
- fournir
- vite.
- recommander
- conditions
- ressource
- Ressources
- Courir
- Escaliers intérieurs
- Sciences
- service
- Services
- mise
- commun
- So
- Logiciels
- Software Engineer
- Solutions
- RÉSOUDRE
- empiler
- j'ai commencé
- États
- studio
- équipe
- Technique
- Essais
- tests
- Avec
- fiable
- long
- us
- utilisé
- utilisateurs
- web
- services Web
- dans les
- de travail