Amazon SageMaker Studio egy webalapú integrált fejlesztői környezet (IDE) a gépi tanuláshoz (ML), amely lehetővé teszi az ML modellek építését, betanítását, hibakeresését, üzembe helyezését és figyelését. A Studio kiépítéséhez AWS-fiókjában és régiójában először létre kell hoznia egy Amazon SageMaker tartomány – egy konstrukció, amely magába foglalja az ML környezetet. Pontosabban, a SageMaker tartomány egy társított tartományból áll Amazon elasztikus fájlrendszer (Amazon EFS) kötet, a jogosult felhasználók listája, valamint számos biztonsági, alkalmazási, házirendi és Amazon Virtual Private Cloud (Amazon VPC) konfigurációk.
A SageMaker tartomány létrehozásakor bármelyiket használhatja AWS IAM Identity Center (az AWS Single Sign-On utódja) ill AWS Identity and Access Management (IAM) a felhasználói hitelesítési módszerekhez. Mindkét hitelesítési módszernek megvannak a saját használati esetei; Ebben a bejegyzésben a SageMaker tartományokra összpontosítunk, amelyek hitelesítési módszere az IAM Identity Center vagy az egyszeri bejelentkezési (SSO) mód.
Az SSO módban beállíthat egy SSO-felhasználót és csoportot az IAM Identity Centerben, majd hozzáférést biztosít az SSO-csoportnak vagy a felhasználónak a Studio-konzolról. Jelenleg egy tartomány összes SSO-felhasználója örökli a tartomány végrehajtási szerepkörét. Ez nem minden szervezetnél működik. Előfordulhat például, hogy az adminisztrátorok IAM-engedélyeket szeretnének beállítani egy Studio SSO-felhasználó számára az Active Directory (AD) csoporttagságuk alapján. Továbbá, mivel az adminisztrátoroknak manuálisan kell megadniuk az egyszeri bejelentkezési felhasználóknak a Studio-hoz való hozzáférést, előfordulhat, hogy a folyamat nem skálázódik több száz felhasználó bekapcsolásakor.
Ebben a bejegyzésben előírásszerű útmutatást adunk ahhoz a megoldáshoz, hogy az egyszeri bejelentkezési felhasználókat az AD-csoporttagságon alapuló legkevesebb jogosultságokkal biztosítsuk a Studio számára. Ez az útmutatás lehetővé teszi, hogy gyorsan méretezhessen több száz felhasználó Stúdióba való beléptetéséhez, és elérje a biztonságot és a megfelelőséget.
Megoldás áttekintése
A következő ábra a megoldás architektúráját mutatja be.
Az AD-felhasználók kiépítésének munkafolyamata a Studioban a következő lépéseket tartalmazza:
- Állítsa be a Studio domain SSO módban.
- Minden hirdetéscsoporthoz:
- Állítsa be a Studio-végrehajtási szerepkört a megfelelő, részletes IAM-házirendekkel
- Rögzítsen egy bejegyzést az AD csoport-szerep leképezésben Amazon DynamoDB táblázat.
Alternatív megoldásként elfogadhat egy elnevezési szabványt az IAM-szerepkör ARN-jeihez az AD-csoport neve alapján, és levezetheti az ARN IAM-szerepkört anélkül, hogy a leképezést külső adatbázisban kellene tárolnia.
- Szinkronizálja AD-felhasználóit, csoportjait és tagságait az AWS Identity Centerrel:
- Ha olyan identitásszolgáltatót (IdP) használ, amely támogatja az SCIM-et, használja a SCIM API-integrációt az IAM Identity Centerrel.
- Ha önfelügyelt AD-t használ, használhatja az AD Connectort.
- Amikor létrehozza az AD-csoportot a vállalati AD-ben, hajtsa végre a következő lépéseket:
- Hozzon létre egy megfelelő SSO-csoportot az IAM Identity Centerben.
- Társítsa az egyszeri bejelentkezési csoportot a Studio tartományhoz a SageMaker konzol segítségével.
- Amikor egy AD-felhasználót hoz létre a vállalati AD-ben, egy megfelelő SSO-felhasználó jön létre az IAM Identity Centerben.
- Amikor az AD-felhasználó hozzá van rendelve egy AD-csoporthoz, egy IAM Identity Center API (CreateGroupMembership) meghívásra kerül, és létrejön az egyszeri bejelentkezési csoporttagság.
- Az előző esemény be van jelentkezve AWS CloudTrail a névvel
AddMemberToGroup
. - An Amazon EventBridge szabály figyeli a CloudTrail eseményeket, és megfelel a
AddMemberToGroup
szabályminta. - Az EventBridge szabály aktiválja a célt AWS Lambda funkciót.
- Ez a Lambda funkció visszahívja az IAM Identity Center API-kat, lekéri az SSO felhasználói és csoportinformációit, és a következő lépéseket hajtja végre a Studio felhasználói profil létrehozásához (CreateUserProfile) az SSO-felhasználó számára:
- Keresse meg a DynamoDB táblát az AD-csoportnak megfelelő IAM-szerep lekéréséhez.
- Hozzon létre egy felhasználói profilt az SSO felhasználóval és a keresési táblából kapott IAM szerepkörrel.
- Az SSO-felhasználó hozzáférést kap a Studio-hoz.
- Az SSO-felhasználó a Studio tartomány URL-címén keresztül át van irányítva a Studio IDE-re.
Ne feledje, hogy a 4b lépést (az egyszeri bejelentkezési csoport társítása a Studio tartományhoz) egy adminisztrátornak kézzel kell végrehajtania a SageMaker konzol használatával a SageMaker tartomány szintjén.
A felhasználói profilok létrehozásához állítson be egy Lambda funkciót
A megoldás Lambda funkciót használ a Studio felhasználói profilok létrehozásához. Az alábbi minta Lambda funkciót kínáljuk, amelyet másolhat és módosíthat, hogy megfeleljen az igényeinek a Studio felhasználói profil létrehozásának automatizálásához. Ez a funkció a következő műveleteket hajtja végre:
- Fogadja meg a CloudTrail szolgáltatást
AddMemberToGroup
esemény az EventBridge-től. - Szerezd meg a Stúdiót
DOMAIN_ID
a környezeti változóból (vagy kódolhatja a tartományazonosítót, vagy használhat DynamoDB táblát is, ha több tartománya van). - Olvasson egy ál jelölőtáblából, hogy az AD-felhasználókat a végrehajtási szerepekhez illessze. Ha táblavezérelt megközelítést használ, ezt módosíthatja úgy, hogy a rendszer lekérje a DynamoDB táblából. Ha DynamoDB-t használ, a Lambda-függvény végrehajtási szerepkörének a táblából való olvasásához is engedélyekre van szüksége.
- Az SSO-felhasználói és az AD-csoport tagsági adatainak lekérése az IAM Identity Centerből a CloudTrail eseményadatok alapján.
- Hozzon létre egy Studio felhasználói profilt az egyszeri bejelentkezési felhasználó számára az egyszeri bejelentkezés részleteivel és a megfelelő végrehajtási szerepkörrel.
Vegye figyelembe, hogy alapértelmezés szerint a Lambda-végrehajtási szerepkör nem fér hozzá felhasználói profilok létrehozásához vagy SSO-felhasználók listázásához. A Lambda-függvény létrehozása után nyissa meg a funkció végrehajtási szerepét az IAM-en, és csatolja a következő házirendet beágyazott házirendként, miután szükség szerint csökkentette a hatókört a szervezet követelményei alapján.
Állítsa be az EventBridge-szabályt a CloudTrail eseményhez
Az EventBridge egy kiszolgáló nélküli eseménybusz-szolgáltatás, amellyel összekapcsolhatja alkalmazásait különféle forrásokból származó adatokkal. Ebben a megoldásban szabályalapú triggert hozunk létre: az EventBridge figyeli az eseményeket és egyezteti a megadott mintával, és aktivál egy Lambda függvényt, ha a mintaegyeztetés sikeres. A megoldás áttekintésében leírtak szerint meghallgatjuk a AddMemberToGroup
esemény. A beállításhoz hajtsa végre a következő lépéseket:
- Az EventBridge konzolon válassza a lehetőséget Szabályok a navigációs ablaktáblában.
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a Szabály létrehozása.
- Adjon meg egy szabálynevet, például
AddUserToADGroup
. - Opcionálisan írjon be egy leírást.
- választ alapértelmezett a rendezvény buszához.
- Alatt Szabály típusa, választ Szabály eseménymintával, majd válassza ki Következő.
- A Eseményminta létrehozása oldalon válassza a lehetőséget Esemény forrás as AWS események vagy EventBridge partneresemények.
- Alatt Esemény minta, válaszd a Egyéni minták (JSON-szerkesztő) fület, és írja be a következő mintát:
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a Következő.
- A Cél(ok) kiválasztása oldalon válassza ki az AWS szolgáltatást a céltípushoz, a Lambda függvényt célként és a korábban létrehozott függvényt, majd Következő.
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a Következő a Címkék konfigurálása oldalt, majd válasszon Szabály létrehozása a Tekintse át és hozzon létre cimre.
Miután beállította a Lambda funkciót és az EventBridge szabályt, kipróbálhatja ezt a megoldást. Ehhez nyissa meg az IdP-t, és adjon hozzá egy felhasználót az egyik AD-csoporthoz a Studio végrehajtási szerepkörével. A felhasználó hozzáadása után ellenőrizheti a Lambda funkciónaplókat az esemény ellenőrzéséhez, és megtekintheti a Studio-felhasználó automatikus kiépítését. Ezenkívül használhatja a DescribeUserProfile API-hívás annak ellenőrzésére, hogy a felhasználót megfelelő jogosultságokkal hozták-e létre.
Több Studio-fiók támogatása
Ha több Studio-fiókot szeretne támogatni az előző architektúrával, a következő változtatásokat javasoljuk:
- Hozzon létre egy AD-csoportot, amely minden Studio-fiókszinthez van hozzárendelve.
- Állítson be csoportszintű IAM-szerepet minden Studio-fiókban.
- Állítsa be vagy származtassa a csoportot IAM szerepleképezésből.
- Állítson be egy lambda funkciót a végrehajtáshoz fiókokon átívelő szerepvállalás, az IAM szerepleképezés ARN és a létrehozott felhasználói profil alapján.
Felhasználók leválasztása
Ha egy felhasználót eltávolítanak az AD-csoportjából, akkor a Studio-tartományból is el kell távolítania a hozzáférését. Egyszeri bejelentkezés esetén a felhasználó eltávolításakor a felhasználó automatikusan letiltásra kerül az IAM Identity Centerben, ha az AD és az IAM Identity Center szinkronizálása a helyén van, és a Studio alkalmazáshoz való hozzáférése azonnal visszavonásra kerül.
A Studio felhasználói profilja azonban továbbra is megmarad. Hozzáadhat egy hasonló munkafolyamatot a CloudTrail és egy Lambda funkcióval a felhasználói profil Stúdióból való eltávolításához. Az EventBridge triggernek most figyelnie kell a Csoporttagság törlése esemény. A Lambda funkcióban hajtsa végre a következő lépéseket:
- Szerezze meg a felhasználói profil nevét a felhasználói és csoportazonosítóból.
- Listázza ki a felhasználói profilhoz tartozó összes futó alkalmazást a segítségével ListApps API hívás, szűrés a
UserProfileNameEquals
paraméter. Ügyeljen arra, hogy ellenőrizze az oldalszámozott választ, hogy felsorolja a felhasználó összes alkalmazását. - Törölje a felhasználó összes futó alkalmazását, és várja meg, amíg az összes alkalmazás törlődik. Használhatja a DescribeApp API az alkalmazás állapotának megtekintéséhez.
- Amikor az összes alkalmazás a Törölve állapot (ill Sikertelen), törölje a felhasználói profilt.
Ezzel a megoldással az ML platform rendszergazdái egyetlen központi helyen tarthatják fenn a csoporttagságokat, és automatizálhatják a Studio felhasználói profilok kezelését az EventBridge és Lambda funkciókon keresztül.
A következő kód egy minta CloudTrail eseményt mutat:
A következő kód egy minta Studio felhasználói profil API kérést mutat:
Következtetés
Ebben a bejegyzésben megvitattuk, hogy az adminisztrátorok hogyan méretezhetik a Studio-beépítést több száz felhasználó számára AD-csoporttagságuk alapján. Bemutattunk egy végpontok közötti megoldás-architektúrát, amelyet a szervezetek alkalmazhatnak a bevezetési folyamat automatizálására és méretezésére, hogy megfeleljenek agilitási, biztonsági és megfelelőségi igényeiknek. Ha skálázható megoldást keres a felhasználói beléptetés automatizálására, próbálja ki ezt a megoldást, és hagyjon visszajelzést alább! További információért a Stúdióba való belépésről lásd: Bekapcsolva az Amazon SageMaker domainbe.
A szerzőkről
Ram Vittal ML Specialist Solutions Architect az AWS-nél. Több mint 20 éves tapasztalattal rendelkezik elosztott, hibrid és felhőalkalmazások tervezésében és építésében. Szenvedélyesen dolgozik a biztonságos és méretezhető AI/ML és big data megoldások kidolgozásában, hogy segítse a vállalati ügyfeleket a felhőbe való átvételben és az optimalizálási útjukban, hogy javítsák üzleti eredményeiket. Szabadidejében motorozik és sétál a 2 éves birkafirkájával!
Durga Sury ML Solutions Architect az Amazon SageMaker Service SA csapatában. Szenvedélyesen törekszik arra, hogy mindenki számára elérhetővé tegye a gépi tanulást. Az AWS-nél eltöltött 4 év alatt segített AI/ML platformok felállításában vállalati ügyfelek számára. Amikor nem dolgozik, imád motorozni, rejtélyes regényeket írni és túrázni 5 éves huskyjával.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
- Quantum Media Group. IR/PR erősített. Hozzáférés itt.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :van
- :is
- :nem
- $ UP
- 1
- 11
- 116
- 20
- 20 év
- 200
- 22
- 24
- 7
- 9
- a
- Rólunk
- Elfogad!
- hozzáférés
- hozzáférhető
- Fiók
- Fiókok
- Elérése
- Akció
- cselekvések
- aktív
- Ad
- hozzá
- hozzáadott
- Ezen kívül
- admin
- adminisztrátorok
- elfogadja
- Örökbefogadás
- Után
- ellen
- AI / ML
- Minden termék
- lehetővé
- Is
- amazon
- Amazon SageMaker
- Amazon SageMaker Studio
- Az Amazon Web Services
- an
- és a
- api
- API-k
- Alkalmazás
- alkalmazások
- megközelítés
- megfelelő
- alkalmazások
- építészet
- VANNAK
- AS
- kijelölt
- Társult
- társult
- feltevés
- At
- csatolja
- Hitelesítés
- felhatalmazott
- automatizált
- automatikusan
- automatizálás
- AWS
- vissza
- alapján
- BE
- mert
- óta
- Nagy
- Big adatok
- test
- mindkét
- épít
- Épület
- busz
- üzleti
- by
- hívás
- TUD
- esetek
- Központ
- központi
- változik
- Változások
- karakter
- ellenőrizze
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- vásárló
- felhő
- felhő elfogadása
- kód
- COM
- teljes
- teljesítés
- Csatlakozás
- áll
- Konzol
- konstrukció
- kontextus
- Társasági
- Megfelelő
- teremt
- készítette
- létrehozása
- teremtés
- Jelenleg
- Ügyfelek
- dátum
- adatbázis
- alapértelmezett
- igazolták
- telepíteni
- leírás
- részlet
- részletek
- Fejlesztés
- Tiltva
- tárgyalt
- megosztott
- do
- Nem
- Ennek
- domain
- domainek
- ne
- le-
- minden
- Korábban
- szerkesztő
- hatás
- bármelyik
- más
- lehetővé teszi
- végtől végig
- belép
- Vállalkozás
- belépés
- Környezet
- esemény
- események
- mindenki
- példa
- végrehajtás
- tapasztalat
- magyarázható
- külső
- hamis
- Visszacsatolás
- filé
- szűrő
- vezetéknév
- Összpontosít
- következő
- A
- ból ből
- funkció
- funkciók
- Továbbá
- kap
- biztosít
- megadott
- Csoport
- Csoportok
- útmutatást
- fogantyú
- Legyen
- he
- segít
- segített
- neki
- övé
- Hogyan
- HTML
- http
- HTTPS
- Több száz
- hibrid
- ID
- Identitás
- if
- illusztrálja
- azonnal
- importál
- javul
- in
- magában foglalja a
- információ
- példa
- integrált
- integráció
- hivatkozni
- IT
- utazás
- json
- tanulás
- legkevésbé
- Szabadság
- Lets
- szint
- Lista
- elhelyezkedés
- bejelentkezve
- logika
- keres
- lookup
- szeret
- gép
- gépi tanulás
- fenntartása
- csinál
- Gyártás
- vezetés
- kézzel
- térképészet
- Mérkőzés
- egyező
- Lehet..
- Találkozik
- tag
- tagság
- tagságok
- módszer
- mód
- ML
- Mód
- modellek
- módosítása
- monitor
- több
- motorkerékpár
- többszörös
- Rejtély
- név
- elnevezési
- Navigáció
- Szükség
- szükséges
- igénylő
- igények
- semmi
- Most
- kapott
- of
- OKTA
- on
- Fedélzeti
- Beszállás
- egyszer
- ONE
- nyitva
- optimalizálás
- or
- szervezet
- szervezetek
- OS
- ki
- eredmények
- felett
- áttekintés
- saját
- oldal
- üvegtábla
- paraméter
- partner
- szenvedélyes
- Mintás
- minták
- Teljesít
- teljesített
- Előadja
- engedélyek
- fennáll
- Hely
- emelvény
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- politika
- állás
- magán
- kiváltság
- folyamat
- profil
- Profilok
- ad
- feltéve,
- ellátó
- ellátás
- gyorsan
- Olvass
- ajánl
- vidék
- eltávolítása
- eltávolított
- kérni
- kötelező
- követelmények
- forrás
- válasz
- visszatérés
- Szerep
- szerepek
- Szabály
- futás
- s
- SA
- sagemaker
- skálázható
- Skála
- Hatókör
- biztonság
- biztonság
- lát
- vagy szerver
- szolgáltatás
- Szolgáltatások
- készlet
- ő
- kellene
- Műsorok
- hasonló
- óta
- egyetlen
- So
- megoldások
- Megoldások
- forrás
- Források
- szakember
- standard
- Állami
- nyilatkozat
- Állapot
- Lépés
- Lépései
- Még mindig
- tárolni
- stúdió
- sikeres
- támogatás
- Támogatja
- táblázat
- cél
- csapat
- teszt
- hogy
- A
- azok
- akkor
- ezt
- Keresztül
- idő
- nak nek
- Vonat
- kiváltó
- igaz
- megpróbál
- típus
- ismeretlen
- -ig
- URL
- használ
- használó
- Felhasználók
- használ
- segítségével
- érték
- fajta
- ellenőrzése
- változat
- keresztül
- Megnézem
- Tényleges
- kötet
- várjon
- akar
- we
- háló
- webes szolgáltatások
- web-alapú
- JÓL
- amikor
- lesz
- val vel
- nélkül
- Munka
- munkafolyamat
- dolgozó
- írás
- év
- te
- A te
- zephyrnet