Con un Dominio Amazon SageMaker, puoi eseguire l'onboarding degli utenti con un Gestione dell'identità e dell'accesso di AWS (IAM) ruolo di esecuzione diverso dal ruolo di esecuzione del dominio. In tal caso, l'utente del dominio integrato non può creare progetti utilizzando modelli e JumpStart di Amazon SageMaker soluzioni. Questo post delinea un approccio automatizzato per abilitare JumpStart per gli utenti di dominio con un ruolo di esecuzione personalizzato. Ti guideremo attraverso due diversi casi d'uso per abilitare JumpStart e come risolvere questi casi a livello di codice. La soluzione automatizzata può aiutarti a ridimensionare il tuo processo per abilitare JumpStart for Domain utenti con ruoli personalizzati, aumentando la produttività del tuo team di data science e Amazon Sage Maker Studio amministratori.
JumpStart è una funzionalità di Studio che ti aiuta a iniziare rapidamente e facilmente con l'apprendimento automatico (ML). Con sempre più clienti che utilizzano sempre più ML e adottano Amazon Sage Maker, JumpStart sta rendendo più semplice per i team di data science e ML l'accesso e la messa a punto di più di 150 modelli open source diffusi, come l'elaborazione del linguaggio naturale, il rilevamento di oggetti e i modelli di classificazione delle immagini.
Panoramica della soluzione
JumpStart richiede un dominio SageMaker con modelli di progetto abilitati per l'account e gli utenti di Studio, come mostrato nella schermata seguente.
Se abilitata, questa impostazione consente agli utenti (configurati per utilizzare il ruolo di esecuzione del dominio) di creare progetti utilizzando modelli e soluzioni JumpStart. Nello scenario in cui il ruolo di esecuzione dell'utente è diverso dal ruolo di esecuzione del dominio, JumpStart rimane disabilitato per quell'utente anche quando è abilitato nel dominio. Nelle sezioni seguenti affronteremo questo scenario di ruolo personalizzato e la soluzione automatizzata.
In questa soluzione, affrontiamo il problema per i due casi seguenti:
- Caso d'uso 1 – Abilitazione di JumpStart in modo automatico per gli utenti del dominio esistenti con ruoli personalizzati indipendentemente dalle app assegnate
- Caso d'uso 2 – Fornire uno script di riferimento che è possibile utilizzare per abilitare JumpStart a livello di codice durante l'onboarding di un nuovo utente di dominio con un ruolo personalizzato
Onboarding dell'utente del dominio
Dopo aver creato un dominio, puoi eseguire l'onboarding degli utenti per avviare app (come Studio, RStudio o Canvas). È necessario assegnare un ruolo di esecuzione predefinito a un utente di dominio durante il processo di creazione, come mostrato nella schermata seguente.
Puoi scegliere un ruolo diverso dal ruolo di esecuzione del dominio per un utente. Tuttavia, ciò potrebbe disabilitare JumpStart per tali utenti anche quando è abilitato sul dominio. Questo comportamento è dovuto al fatto che SageMaker non presuppone un ruolo personalizzato e il relativo limite di autorizzazione. Le autorizzazioni e le politiche richieste devono essere assegnate esplicitamente per accedere ai modelli e alle soluzioni JumpStart pubblicate da SageMaker in Catalogo dei servizi AWS.
È possibile abilitare SageMaker Projects e JumpStart manualmente per ogni utente selezionando il profilo utente sul pannello di controllo del dominio SageMaker. Tuttavia, questo processo può richiedere molto tempo se a un utente sono già assegnate alcune app. Il Modifica il pulsante in basso a destra è abilitato solo quando nessuna app è assegnata a quell'utente (vedi lo screenshot seguente). Devi prima eliminare le app assegnate per modificare un profilo utente.
La causa della funzione JumpStart disabilitata è evidente durante il passaggio 2 della modifica di un profilo utente, in cui un messaggio indica "Se ci sono singoli utenti che utilizzano ruoli di esecuzione personalizzati nell'organizzazione, è necessario abilitarli nella pagina del profilo utente".
Nelle sezioni seguenti, ti guideremo attraverso due soluzioni automatizzate che coprono casi d'uso sia per gli utenti del dominio esistenti che per quelli nuovi.
Prerequisiti
I passaggi descritti come parte di questa soluzione hanno i seguenti prerequisiti:
- Hai creato un dominio SageMaker
- Il metodo di autenticazione del dominio SageMaker è IAM
- I ruoli personalizzati assegnati agli utenti del dominio SageMaker hanno l'estensione
AmazonSageMakerFullAccess
politica allegata
Affinché Soluzioni JumpStart per essere abilitato per gli utenti, il portfolio di prodotti AWS Service Catalog Amazon SageMaker Solutions e ML Ops deve essere importato nell'account e questo portfolio deve essere associato al ruolo che esegue SageMaker. L'associazione del ruolo è necessaria affinché Studio possa richiamare le API di AWS Service Catalog associate al portfolio di soluzioni.
Come best practice generale, ti consigliamo di testare il processo in un ambiente non di produzione seguito da test di convalida per assicurarti che tutto sia configurato e funzioni secondo le tue aspettative prima di apportare modifiche all'ambiente di produzione.
Caso d'uso 1: abilitare JumpStart per tutti gli utenti di dominio esistenti con un ruolo personalizzato
Consideriamo innanzitutto il caso d'uso per gli utenti esistenti e abilitiamo JumpStart per quegli utenti in modo automatizzato.
Per raggiungere questo obiettivo, abbiamo creato un AWS CloudFormazione modello che puoi eseguire nella stessa regione in cui esiste il dominio SageMaker.
Lo stack CloudFormation contenuto nell'allegato jumpstart_solutions_resources.template.yaml
il file ha i seguenti componenti:
- AmazonSageMakerServiceCatalogProductsLaunchRole e AmazonSageMakerServiceCatalogProductsUseRole – Crea questi due ruoli IAM, se non esistono già.
- 1PProductUseRolePolicy – Crea questo criterio utilizzato da
AmazonSageMakerServiceCatalogProductsUseRole
, se questo ruolo non esiste già. - setup_solutions_tests_portfolio - Un AWS Lambda funzione che esegue l'importazione del portfolio di AWS Service Catalog e l'associazione dei ruoli chiamando le API Boto3. Questa funzione viene chiamata una volta durante Creazione dello stack di CloudFormation.
- LambdaIAMRolo ruolo – Utilizzato dalla funzione
setup_solutions_tests_portfolio
per chiamare AWS Service Catalog e le API SageMaker. - SetupPortfolioInvoker – Richiama la funzione
setup_solutions_tests_portfolio
.
Dopo che la funzione Lambda viene eseguita come parte della distribuzione di CloudFormation, esegue il retrofit di tutti gli utenti del dominio SageMaker esistenti per abilitare JumpStart e Projects per loro. Per ulteriori informazioni sulla creazione e il monitoraggio di uno stack CloudFormation, fare riferimento a Come funziona AWS CloudFormation.
Caso d'uso 2: abilitare JumpStart per un singolo utente di dominio con un ruolo personalizzato
Molti clienti preferiscono ridimensionare il processo di onboarding degli utenti di dominio automatizzandolo a livello di codice. In questa sezione viene fornito un riferimento allo script Python che puoi utilizzare come parte del processo di onboarding per abilitare JumpStart per un nuovo utente con un ruolo personalizzato. Questo script Python esegue l'associazione richiesta per il ruolo utente specificato. Il processo automatizzato che chiama questo script deve disporre dell'autorizzazione per utilizzare AWS Service Catalog e le API SageMaker. Vedere il codice seguente:
Puoi chiamare lo script in modo indipendente o incorporarlo come passaggio all'interno di un processo automatizzato per creare un profilo utente per l'onboarding in Studio. Per ulteriori informazioni sull'utilizzo di Boto3, fare riferimento a Riferimento Boto3.
ripulire
Dopo che tutti i ruoli personalizzati sono stati abilitati per utilizzare JumpStart, possiamo ripulire le risorse non più necessarie. È possibile eliminare la funzione Lambda setup_solutions_tests_portfolio
e il ruolo IAM LambdaIAMRole
creato dal modello CloudFormation. Gli altri due ruoli IAM, AmazonSageMakerServiceCatalogProductsLaunchRole
ed AmazonSageMakerServiceCatalogProductsUseRole
e la policy associata 1PProductUseRolePolicy (se creata) non deve essere eliminata perché è necessario che esistano per accedere a JumpStart.
Conclusione
In questo post, abbiamo condiviso i passaggi per abilitare JumpStart per un ruolo personalizzato per gli utenti esistenti e per i nuovi utenti a livello di codice. Come sempre, assicurati di convalidare i passaggi menzionati in questa soluzione in un ambiente non di produzione prima di eseguire la distribuzione in produzione.
Provalo e facci sapere se hai domande nella sezione commenti!
Risorse addizionali
Per ulteriori informazioni, vedere quanto segue:
- Risorse Amazon SageMaker
- Automatizza una distribuzione centralizzata di Amazon SageMaker Studio con AWS Service Catalog
- Configurazione di Amazon SageMaker Studio per team e gruppi con isolamento completo delle risorse
Informazioni sugli autori
Nikhil Jha è un Senior Technical Account Manager presso Amazon Web Services. Le sue aree di interesse includono AI/ML e analisi. Nel tempo libero, gli piace giocare a badminton con sua figlia ed esplorare la vita all'aria aperta.
Evan Kravitz è un ingegnere del software presso Amazon Web Services, che lavora su SageMaker JumpStart. Gli piace cucinare e correre a New York City.
- Coinsmart. Il miglior scambio di bitcoin e criptovalute d'Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. ACCESSO LIBERO.
- Criptofalco. Radar Altcoin. Prova gratuita.
- Fonte: https://aws.amazon.com/blogs/machine-learning/enable-amazon-sagemaker-jumpstart-for-custom-iam-execution-roles/
- "
- 100
- accesso
- Il mio account
- indirizzo
- Tutti
- già
- Amazon
- Amazon Web Services
- analitica
- API
- approccio
- applicazioni
- addetto
- Associazione
- Autenticazione
- Automatizzata
- AWS
- MIGLIORE
- sistema
- chiamata
- casi
- Causare
- Città
- classificazione
- codice
- Commenti
- di controllo
- crea
- Creazione
- Clienti
- dati
- scienza dei dati
- distribuzione
- deployment
- rivelazione
- diverso
- non
- dominio
- facilmente
- consentendo
- ingegnere
- Ambiente
- qualunque cosa
- esecuzione
- le aspettative
- caratteristica
- Nome
- Focus
- i seguenti
- function
- Generale
- andando
- Aiuto
- aiuta
- Come
- Tutorial
- HTTPS
- Identità
- Immagine
- includere
- individuale
- informazioni
- problema
- IT
- Lingua
- lanciare
- apprendimento
- macchina
- machine learning
- Fare
- direttore
- manualmente
- ML
- modelli
- monitoraggio
- Naturale
- New York
- New York City
- Procedura di Onboarding
- operativo
- minimo
- organizzazione
- Altro
- all'aperto
- Termini e Condizioni
- politica
- Popolare
- lavori
- processi
- Produzione
- della produttività
- Prodotti
- Profilo
- progetto
- progetti
- fornire
- rapidamente
- raccomandare
- necessario
- risorsa
- Risorse
- Correre
- Scala
- Scienze
- servizio
- Servizi
- regolazione
- condiviso
- So
- Software
- Software Engineer
- Soluzioni
- RISOLVERE
- pila
- iniziato
- stati
- studio
- team
- Consulenza
- Testing
- test
- Attraverso
- tempo
- richiede tempo
- us
- uso
- utenti
- sito web
- servizi web
- entro
- lavoro