Studio Amazon SageMaker adalah lingkungan pengembangan terintegrasi (IDE) berbasis web untuk pembelajaran mesin (ML) yang memungkinkan Anda membuat, melatih, men-debug, menerapkan, dan memantau model ML Anda. Untuk menyediakan Studio di akun dan Wilayah AWS Anda, pertama-tama Anda harus membuat Amazon SageMaker domainโkonstruk yang merangkum lingkungan ML Anda. Lebih konkretnya, domain SageMaker terdiri dari domain terkait Sistem File Amazon Elastis (Amazon EFS), daftar pengguna resmi, dan berbagai keamanan, aplikasi, kebijakan, dan Cloud Pribadi Virtual Amazon (Amazon VPC) konfigurasi.
Saat membuat domain SageMaker, Anda dapat memilih untuk menggunakan keduanya Pusat Identitas AWS IAM (penerus AWS Single Sign-On) atau Identitas AWS dan Manajemen Akses (IAM) untuk metode autentikasi pengguna. Kedua metode autentikasi memiliki kumpulan kasus penggunaannya sendiri; dalam postingan ini, kami berfokus pada domain SageMaker dengan IAM Identity Center, atau mode sistem masuk tunggal (SSO), sebagai metode autentikasi.
Dengan mode SSO, Anda menyiapkan pengguna dan grup SSO di Pusat Identitas IAM, lalu memberikan akses ke grup atau pengguna SSO dari konsol Studio. Saat ini, semua pengguna SSO di domain mewarisi peran eksekusi domain. Ini mungkin tidak berfungsi untuk semua organisasi. Misalnya, administrator mungkin ingin menyiapkan izin IAM untuk pengguna Studio SSO berdasarkan keanggotaan grup Active Directory (AD) mereka. Selain itu, karena administrator diharuskan memberikan akses pengguna SSO ke Studio secara manual, prosesnya mungkin tidak diskalakan saat mengaktifkan ratusan pengguna.
Dalam postingan ini, kami memberikan panduan preskriptif untuk solusi penyediaan pengguna SSO ke Studio dengan izin hak istimewa paling rendah berdasarkan keanggotaan grup AD. Panduan ini memungkinkan Anda menskalakan dengan cepat untuk orientasi ratusan pengguna ke Studio dan mencapai kondisi keamanan dan kepatuhan Anda.
Ikhtisar solusi
Diagram berikut menggambarkan arsitektur solusi.
Alur kerja untuk menyediakan pengguna AD di Studio mencakup langkah-langkah berikut:
- Mengatur Domain studio dalam mode SSO.
- Untuk setiap grup AD:
- Siapkan peran eksekusi Studio Anda dengan kebijakan IAM terperinci yang sesuai
- Rekam entri dalam pemetaan peran grup AD Amazon DynamoDB tabel.
Alternatifnya, Anda dapat mengadopsi standar penamaan untuk ARN peran IAM berdasarkan nama grup AD dan mendapatkan ARN peran IAM tanpa perlu menyimpan pemetaan di database eksternal.
- Sinkronkan pengguna dan grup AD Anda serta keanggotaan ke AWS Identity Center:
- Jika Anda menggunakan penyedia identitas (IdP) yang mendukung SCIM, gunakan integrasi SCIM API dengan IAM Identity Center.
- Jika Anda menggunakan AD yang dikelola sendiri, Anda dapat menggunakan Konektor AD.
- Saat grup AD dibuat di AD perusahaan Anda, selesaikan langkah-langkah berikut:
- Buat grup SSO yang sesuai di IAM Identity Center.
- Kaitkan grup SSO ke domain Studio menggunakan konsol SageMaker.
- Saat pengguna AD dibuat di AD perusahaan Anda, pengguna SSO yang sesuai dibuat di IAM Identity Center.
- Saat pengguna AD ditetapkan ke grup AD, IAM Identity Center API (BuatKeanggotaanGrup) dipanggil, dan keanggotaan grup SSO dibuat.
- Acara sebelumnya masuk AWS CloudTrail dengan nama itu
AddMemberToGroup
. - An Jembatan Acara Amazon aturan mendengarkan acara CloudTrail dan cocok dengan
AddMemberToGroup
pola aturan. - Aturan EventBridge memicu target AWS Lambda fungsi.
- Fungsi Lambda ini akan memanggil kembali IAM Identity Center API, mendapatkan informasi pengguna dan grup SSO, dan melakukan langkah-langkah berikut untuk membuat profil pengguna Studio (Buat Profil Pengguna) untuk pengguna SSO:
- Cari tabel DynamoDB untuk mengambil peran IAM yang sesuai dengan grup AD.
- Buat profil pengguna dengan pengguna SSO dan peran IAM yang diperoleh dari tabel pencarian.
- Pengguna SSO diberikan akses ke Studio.
- Pengguna SSO dialihkan ke Studio IDE melalui URL domain Studio.
Perhatikan bahwa, saat penulisan, Langkah 4b (mengaitkan grup SSO ke domain Studio) harus dilakukan secara manual oleh admin menggunakan konsol SageMaker di tingkat domain SageMaker.
Siapkan fungsi Lambda untuk membuat profil pengguna
Solusinya menggunakan fungsi Lambda untuk membuat profil pengguna Studio. Kami menyediakan contoh fungsi Lambda berikut yang dapat Anda salin dan modifikasi untuk memenuhi kebutuhan Anda dalam mengotomatiskan pembuatan profil pengguna Studio. Fungsi ini melakukan tindakan berikut:
- Terima CloudTrail
AddMemberToGroup
acara dari EventBridge. - Ambil Studio
DOMAIN_ID
dari variabel lingkungan (sebagai alternatif, Anda dapat melakukan hard-code pada ID domain atau menggunakan tabel DynamoDB juga jika Anda memiliki beberapa domain). - Baca dari tabel markup dummy untuk mencocokkan pengguna AD dengan peran eksekusi. Anda dapat mengubahnya untuk mengambil dari tabel DynamoDB jika Anda menggunakan pendekatan berbasis tabel. Jika Anda menggunakan DynamoDB, peran eksekusi fungsi Lambda Anda juga memerlukan izin untuk membaca dari tabel.
- Ambil pengguna SSO dan informasi keanggotaan grup AD dari IAM Identity Center, berdasarkan data peristiwa CloudTrail.
- Buat profil pengguna Studio untuk pengguna SSO, dengan detail SSO dan peran eksekusi yang cocok.
Perhatikan bahwa secara default, peran eksekusi Lambda tidak memiliki akses untuk membuat profil pengguna atau mencantumkan pengguna SSO. Setelah Anda membuat fungsi Lambda, akses peran eksekusi fungsi di IAM dan lampirkan kebijakan berikut sebagai kebijakan sebaris setelah membatasi sesuai kebutuhan berdasarkan kebutuhan organisasi Anda.
Siapkan aturan EventBridge untuk acara CloudTrail
EventBridge adalah layanan bus kejadian tanpa server yang dapat Anda gunakan untuk menghubungkan aplikasi Anda dengan data dari berbagai sumber. Dalam solusi ini, kami membuat pemicu berbasis aturan: EventBridge mendengarkan peristiwa dan mencocokkan dengan pola yang disediakan dan memicu fungsi Lambda jika pencocokan pola berhasil. Seperti yang dijelaskan dalam ikhtisar solusi, kami mendengarkan AddMemberToGroup
peristiwa. Untuk menyiapkannya, selesaikan langkah-langkah berikut:
- Di konsol EventBridge, pilih Peraturan di panel navigasi.
- Pilih Buat aturan.
- Berikan nama aturan, misalnya,
AddUserToADGroup
. - Secara opsional, masukkan deskripsi.
- Pilih kegagalan untuk bus acara.
- Bawah Jenis aturan, pilih Aturan dengan pola acara, Lalu pilih Selanjutnya.
- pada Bangun pola acara halaman, pilih Sumber acara as Acara AWS atau acara mitra EventBridge.
- Bawah Pola acara, memilih Pola kustom (editor JSON) tab dan masukkan pola berikut:
- Pilih Selanjutnya.
- pada Pilih target halaman, pilih layanan AWS untuk jenis target, fungsi Lambda sebagai target, dan fungsi yang Anda buat sebelumnya, lalu pilih Selanjutnya.
- Pilih Selanjutnya pada Konfigurasikan tag halaman, lalu pilih Buat aturan pada Tinjau dan buat .
Setelah mengatur fungsi Lambda dan aturan EventBridge, Anda dapat menguji solusi ini. Untuk melakukannya, buka IdP Anda dan tambahkan pengguna ke salah satu grup AD dengan peran eksekusi Studio yang dipetakan. Setelah menambahkan pengguna, Anda dapat memverifikasi log fungsi Lambda untuk memeriksa kejadian dan juga melihat pengguna Studio disediakan secara otomatis. Selain itu, Anda dapat menggunakan Jelaskan Profil Pengguna Panggilan API untuk memverifikasi bahwa pengguna dibuat dengan izin yang sesuai.
Mendukung banyak akun Studio
Untuk mendukung beberapa akun Studio dengan arsitektur sebelumnya, kami merekomendasikan perubahan berikut:
- Siapkan grup AD yang dipetakan ke setiap tingkat akun Studio.
- Siapkan peran IAM tingkat grup di setiap akun Studio.
- Menyiapkan atau menurunkan grup ke pemetaan peran IAM.
- Siapkan fungsi Lambda untuk dijalankan asumsi peran lintas akun, berdasarkan ARN pemetaan peran IAM dan membuat profil pengguna.
Mencabut akses pengguna
Saat pengguna dihapus dari grup AD mereka, Anda juga harus menghapus akses mereka dari domain Studio. Dengan SSO, saat pengguna dihapus, pengguna dinonaktifkan di IAM Identity Center secara otomatis jika sinkronisasi AD ke IAM Identity Center diterapkan, dan akses aplikasi Studio mereka segera dicabut.
Namun, profil pengguna di Studio masih ada. Anda dapat menambahkan alur kerja serupa dengan CloudTrail dan fungsi Lambda untuk menghapus profil pengguna dari Studio. Pemicu EventBridge sekarang harus mendengarkan HapusKeanggotaanGrup peristiwa. Di fungsi Lambda, selesaikan langkah-langkah berikut:
- Dapatkan nama profil pengguna dari ID pengguna dan grup.
- Buat daftar semua aplikasi yang berjalan untuk profil pengguna menggunakan Daftar Aplikasi panggilan API, pemfilteran oleh
UserProfileNameEquals
parameter. Pastikan untuk memeriksa respons paginasi, untuk mencantumkan semua aplikasi untuk pengguna. - Hapus semua aplikasi yang berjalan untuk pengguna dan tunggu hingga semua aplikasi dihapus. Anda dapat menggunakan Deskripsikan Aplikasi API untuk melihat status aplikasi.
- Ketika semua aplikasi dalam Dihapus negara bagian (atau Gagal), hapus profil pengguna.
Dengan solusi ini, administrator platform ML dapat mempertahankan keanggotaan grup di satu lokasi pusat dan mengotomatiskan manajemen profil pengguna Studio melalui fungsi EventBridge dan Lambda.
Kode berikut menampilkan contoh kejadian CloudTrail:
Kode berikut menampilkan contoh permintaan API profil pengguna Studio:
Kesimpulan
Dalam postingan ini, kita membahas bagaimana administrator dapat menskalakan orientasi Studio untuk ratusan pengguna berdasarkan keanggotaan grup AD mereka. Kami mendemonstrasikan arsitektur solusi end-to-end yang dapat diadopsi organisasi untuk mengotomatisasi dan menskalakan proses orientasi mereka untuk memenuhi kebutuhan ketangkasan, keamanan, dan kepatuhan mereka. Jika Anda mencari solusi yang dapat diskalakan untuk mengotomatiskan orientasi pengguna, coba solusi ini, dan berikan masukan untuk Anda di bawah! Untuk informasi selengkapnya tentang masuk ke Studio, lihat Masuk ke Domain Amazon SageMaker.
Tentang penulis
Ram Vital adalah Arsitek Solusi Spesialis ML di AWS. Dia memiliki lebih dari 20 tahun pengalaman merancang dan membangun aplikasi terdistribusi, hybrid, dan cloud. Dia bersemangat membangun AI/ML yang aman dan dapat diskalakan serta solusi big data untuk membantu pelanggan perusahaan dalam perjalanan adopsi dan pengoptimalan cloud untuk meningkatkan hasil bisnis mereka. Di waktu luangnya, dia mengendarai sepeda motornya dan berjalan-jalan dengan dombanya yang berusia 2 tahun!
Durga Surya adalah Arsitek Solusi ML di tim Amazon SageMaker Service SA. Dia bersemangat membuat pembelajaran mesin dapat diakses oleh semua orang. Selama 4 tahun di AWS, dia telah membantu menyiapkan platform AI/ML untuk pelanggan perusahaan. Ketika dia tidak bekerja, dia suka mengendarai sepeda motor, novel misteri, dan hiking bersama husky berusia 5 tahun.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Keuangan EVM. Antarmuka Terpadu untuk Keuangan Terdesentralisasi. Akses Di Sini.
- Grup Media Kuantum. IR/PR Diperkuat. Akses Di Sini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :memiliki
- :adalah
- :bukan
- $NAIK
- 1
- 11
- 116
- 20
- 20 tahun
- 200
- 22
- 24
- 7
- 9
- a
- Tentang Kami
- Setuju
- mengakses
- dapat diakses
- Akun
- Akun
- Mencapai
- Tindakan
- tindakan
- aktif
- Ad
- menambahkan
- menambahkan
- Selain itu
- admin
- administrator
- mengambil
- Adopsi
- Setelah
- terhadap
- AI / ML
- Semua
- mengizinkan
- juga
- Amazon
- Amazon SageMaker
- Studio Amazon SageMaker
- Amazon Web Services
- an
- dan
- api
- Lebah
- Aplikasi
- aplikasi
- pendekatan
- sesuai
- aplikasi
- arsitektur
- ADALAH
- AS
- ditugaskan
- Menghubungkan
- terkait
- anggapan
- At
- melampirkan
- Otentikasi
- berwenang
- mengotomatisasikan
- secara otomatis
- mengotomatisasi
- AWS
- kembali
- berdasarkan
- BE
- karena
- menjadi
- Besar
- Big data
- tubuh
- kedua
- membangun
- Bangunan
- bis
- bisnis
- by
- panggilan
- CAN
- kasus
- pusat
- pusat
- perubahan
- Perubahan
- karakter
- memeriksa
- Pilih
- klien
- awan
- adopsi cloud
- kode
- COM
- lengkap
- pemenuhan
- Terhubung
- terdiri
- konsul
- membangun
- konteks
- Timeline
- Sesuai
- membuat
- dibuat
- membuat
- penciptaan
- Sekarang
- pelanggan
- data
- Basis Data
- Default
- menunjukkan
- menyebarkan
- deskripsi
- rinci
- rincian
- Pengembangan
- cacat
- dibahas
- didistribusikan
- do
- Tidak
- melakukan
- domain
- domain
- Dont
- turun
- setiap
- Terdahulu
- editor
- efek
- antara
- lain
- memungkinkan
- ujung ke ujung
- Enter
- Enterprise
- masuk
- Lingkungan Hidup
- Acara
- peristiwa
- semua orang
- contoh
- eksekusi
- pengalaman
- menjelaskan
- luar
- palsu
- umpan balik
- File
- penyaringan
- Pertama
- Fokus
- berikut
- Untuk
- dari
- fungsi
- fungsi
- Selanjutnya
- mendapatkan
- memberikan
- diberikan
- Kelompok
- Grup
- bimbingan
- menangani
- Memiliki
- he
- membantu
- membantu
- dia
- -nya
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTML
- http
- HTTPS
- Ratusan
- Hibrida
- ID
- identitas
- if
- menggambarkan
- segera
- mengimpor
- memperbaiki
- in
- termasuk
- informasi
- contoh
- terpadu
- integrasi
- dipanggil
- IT
- perjalanan
- json
- pengetahuan
- paling sedikit
- Meninggalkan
- Lets
- Tingkat
- Daftar
- tempat
- login
- logika
- mencari
- lookup
- mencintai
- mesin
- Mesin belajar
- memelihara
- membuat
- Membuat
- pengelolaan
- manual
- pemetaan
- Cocok
- sesuai
- Mungkin..
- Pelajari
- anggota
- keanggotaan
- keanggotaan
- metode
- metode
- ML
- mode
- model
- memodifikasi
- Memantau
- lebih
- sepeda motor
- beberapa
- Misteri
- nama
- penamaan
- Navigasi
- Perlu
- dibutuhkan
- membutuhkan
- kebutuhan
- tidak ada
- sekarang
- diperoleh
- of
- Oke
- on
- Di atas kapal
- Onboarding
- sekali
- ONE
- Buka
- optimasi
- or
- organisasi
- organisasi
- OS
- di luar
- hasil
- lebih
- ikhtisar
- sendiri
- halaman
- pane
- parameter
- pasangan
- bergairah
- pola
- pola
- Melakukan
- dilakukan
- melakukan
- Izin
- terus berlanjut
- Tempat
- Platform
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- kebijaksanaan
- Pos
- swasta
- hak istimewa
- proses
- Profil
- profil
- memberikan
- disediakan
- pemberi
- ketentuan
- segera
- Baca
- sarankan
- wilayah
- menghapus
- Dihapus
- permintaan
- wajib
- Persyaratan
- sumber
- tanggapan
- kembali
- Peran
- peran
- Aturan
- berjalan
- s
- SA
- pembuat bijak
- terukur
- Skala
- Pelingkupan
- aman
- keamanan
- melihat
- Tanpa Server
- layanan
- Layanan
- set
- dia
- harus
- Pertunjukkan
- mirip
- sejak
- tunggal
- So
- larutan
- Solusi
- sumber
- sumber
- spesialis
- standar
- Negara
- Pernyataan
- Status
- Langkah
- Tangga
- Masih
- menyimpan
- studio
- sukses
- mendukung
- Mendukung
- tabel
- target
- tim
- uji
- bahwa
- Grafik
- mereka
- kemudian
- ini
- Melalui
- waktu
- untuk
- Pelatihan VE
- memicu
- benar
- mencoba
- mengetik
- tidak dikenal
- sampai
- URL
- menggunakan
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- nilai
- variasi
- memeriksa
- versi
- melalui
- View
- maya
- volume
- menunggu
- ingin
- we
- jaringan
- layanan web
- berbasis web
- BAIK
- ketika
- akan
- dengan
- tanpa
- Kerja
- alur kerja
- kerja
- penulisan
- tahun
- Kamu
- Anda
- zephyrnet.dll