סטודיו SageMaker של אמזון היא סביבת פיתוח משולבת מבוססת אינטרנט (IDE) ללמידת מכונה (ML) המאפשרת לך לבנות, לאמן, לנפות באגים, לפרוס ולנטר את דגמי ה-ML שלך. כדי להקצות את Studio בחשבון ה-AWS ובאזור שלך, תחילה עליך ליצור אמזון SageMaker domain - מבנה המקיף את סביבת ה-ML שלך. באופן קונקרטי יותר, תחום SageMaker מורכב מתחום משויך מערכת הקבצים של אמזון אלסטית (Amazon EFS) נפח, רשימה של משתמשים מורשים, ומגוון של אבטחה, יישומים, מדיניות ו ענן וירטואלי פרטי של אמזון (Amazon VPC) תצורות.
בעת יצירת דומיין SageMaker שלך, אתה יכול לבחור להשתמש בשניהם AWS IAM Identity Center (יורש של AWS Single Sign On) או AWS זהות וניהול גישה (IAM) עבור שיטות אימות משתמשים. לשתי שיטות האימות יש סט מקרי שימוש משלהן; בפוסט זה, אנו מתמקדים בדומיינים של SageMaker עם IAM Identity Center, או מצב כניסה יחידה (SSO), כשיטת האימות.
במצב SSO, אתה מגדיר משתמש וקבוצה SSO ב-IAM Identity Center ולאחר מכן מעניק גישה לקבוצת SSO או למשתמש ממסוף Studio. נכון לעכשיו, כל משתמשי SSO בדומיין יורשים את תפקיד הביצוע של הדומיין. ייתכן שזה לא יעבוד עבור כל הארגונים. לדוגמה, מנהלי מערכת עשויים לרצות להגדיר הרשאות IAM עבור משתמש Studio SSO על סמך החברות בקבוצת Active Directory (AD) שלהם. יתרה מזאת, מכיוון שמנהלי מערכת נדרשים להעניק למשתמשי SSO גישה ידנית ל-Studio, ייתכן שהתהליך לא יתרחב בעת העלאת מאות משתמשים.
בפוסט זה, אנו מספקים הנחיות מקדימות עבור הפתרון להענקת משתמשי SSO לסטודיו עם הרשאות הרשאות לפחות המבוססות על חברות בקבוצת AD. הנחיה זו מאפשרת לך לבצע קנה מידה מהיר להכנסת מאות משתמשים לסטודיו ולהשיג את עמדת האבטחה והתאימות שלך.
סקירת פתרונות
התרשים הבא ממחיש את ארכיטקטורת הפתרונות.
זרימת העבודה להקצאת משתמשי AD ב-Studio כוללת את השלבים הבאים:
- לארגן דומיין סטודיו במצב SSO.
- עבור כל קבוצת מודעות:
- הגדר את תפקיד הביצוע שלך ב-Studio עם מדיניות IAM מעודנת
- רשום ערך במיפוי קבוצת התפקיד של AD אמזון דינמו השולחן.
לחלופין, אתה יכול לאמץ תקן מתן שמות עבור ARN של תפקידי IAM המבוסס על שם קבוצת AD ולגזור את תפקיד IAM ARN ללא צורך באחסון המיפוי במסד נתונים חיצוני.
- סנכרן את משתמשי ה-AD, הקבוצות והחברות שלך למרכז הזהות של AWS:
- אם אתה משתמש בספק זהות (IdP) שתומך ב-SCIM, השתמש באינטגרציה של SCIM API עם IAM Identity Center.
- אם אתה משתמש ב-AD בניהול עצמי, אתה יכול להשתמש ב-AD Connector.
- כאשר קבוצת AD נוצרת ב-AD הארגונית שלך, בצע את השלבים הבאים:
- צור קבוצת SSO תואמת ב-IAM Identity Center.
- שייך את קבוצת ה-SSO לדומיין Studio באמצעות מסוף SageMaker.
- כאשר משתמש AD נוצר ב-AD הארגוני שלך, משתמש SSO מתאים נוצר ב-IAM Identity Center.
- כאשר משתמש AD מוקצה לקבוצת AD, IAM Identity Center API (CreateGroupMembership) מופעל, ונוצרת חברות בקבוצת SSO.
- האירוע הקודם מחובר AWS CloudTrail עם השם
AddMemberToGroup
. - An אמזון EventBridge הכלל מקשיב לאירועי CloudTrail ומתאים ל
AddMemberToGroup
דפוס כלל. - כלל EventBridge מפעיל את היעד AWS למבדה פונקציה.
- פונקציית Lambda זו תחזיר את ממשקי ה-API של IAM Identity Center, תקבל את פרטי המשתמש SSO והקבוצה, ותבצע את השלבים הבאים כדי ליצור את פרופיל המשתמש של Studio (CreateUserProfile) עבור משתמש SSO:
- חפש את טבלת DynamoDB כדי להביא את תפקיד IAM המתאים לקבוצת AD.
- צור פרופיל משתמש עם משתמש SSO ותפקיד IAM המתקבל מטבלת החיפוש.
- למשתמש SSO מוענקת גישה ל-Studio.
- משתמש ה-SSO מופנה מחדש ל-Studio IDE דרך כתובת האתר של הדומיין של Studio.
שימו לב שנכון לכתיבת שורות אלו, שלב 4ב (שייך את קבוצת ה-SSO לדומיין הסטודיו) צריך להתבצע באופן ידני על ידי מנהל באמצעות מסוף SageMaker ברמת התחום של SageMaker.
הגדר פונקציית Lambda ליצירת פרופילי המשתמש
הפתרון משתמש בפונקציית Lambda כדי ליצור את פרופילי המשתמש של Studio. אנו מספקים את פונקציית Lambda לדוגמה הבאה שתוכל להעתיק ולשנות כדי לענות על הצרכים שלך עבור אוטומציה של יצירת פרופיל המשתמש של Studio. פונקציה זו מבצעת את הפעולות הבאות:
- קבל את CloudTrail
AddMemberToGroup
אירוע מ-EventBridge. - אחזר את הסטודיו
DOMAIN_ID
ממשתנה הסביבה (אתה יכול לחלופין לקודד קשיח את מזהה הדומיין או להשתמש גם בטבלת DynamoDB אם יש לך מספר דומיינים). - קרא מטבלת סימון דמה כדי להתאים את משתמשי AD לתפקידי ביצוע. אתה יכול לשנות את זה כדי להביא מטבלת DynamoDB אם אתה משתמש בגישה מונחית טבלה. אם אתה משתמש ב-DynamoDB, תפקיד הביצוע של פונקציית Lambda שלך צריך הרשאות לקרוא גם מהטבלה.
- אחזר את פרטי החברות של משתמש SSO וקבוצת AD ממרכז IAM Identity, בהתבסס על נתוני אירועי CloudTrail.
- צור פרופיל משתמש Studio עבור משתמש SSO, עם פרטי SSO ותפקיד הביצוע התואם.
שים לב שכברירת מחדל, לתפקיד הביצוע של Lambda אין גישה ליצירת פרופילי משתמש או רשימה של משתמשי SSO. לאחר יצירת פונקציית Lambda, גש לתפקיד הביצוע של הפונקציה ב-IAM וצרף את המדיניות הבאה כמדיניות מוטבעת לאחר ירידה בהיקף לפי הצורך בהתבסס על דרישות הארגון שלך.
הגדר את כלל EventBridge עבור אירוע CloudTrail
EventBridge הוא שירות אוטובוס אירועים ללא שרת שבו אתה יכול להשתמש כדי לחבר את האפליקציות שלך עם נתונים ממגוון מקורות. בפתרון זה, אנו יוצרים טריגר מבוסס כללים: EventBridge מקשיב לאירועים ולהתאמות מול הדפוס המסופק ומפעיל פונקציית Lambda אם התאמת הדפוס מצליחה. כפי שהוסבר בסקירת הפתרון, אנו מקשיבים ל- AddMemberToGroup
מִקרֶה. כדי להגדיר אותו, בצע את השלבים הבאים:
- במסוף EventBridge, בחר חוקי בחלונית הניווט.
- בחרו צור כלל.
- ציין שם כלל, למשל,
AddUserToADGroup
. - לחלופין, הזן תיאור.
- בחר ברירת מחדל עבור אוטובוס האירועים.
- תַחַת סוג כלל, בחר שלטון עם דפוס אירוע, ואז לבחור הַבָּא.
- על בניית דפוס אירועים עמוד, בחר מקור אירוע as אירועי AWS או אירועי שותפי EventBridge.
- תַחַת דפוס אירוע, בחר את דפוסים מותאמים אישית (עורך JSON) לשונית והזן את התבנית הבאה:
- בחרו הַבָּא.
- על בחר יעדים עמוד, בחר את שירות AWS עבור סוג היעד, את פונקציית Lambda בתור היעד ואת הפונקציה שיצרת קודם לכן, ולאחר מכן בחר הַבָּא.
- בחרו הַבָּא על הגדר תגים עמוד ולאחר מכן בחר צור כלל על סקור וצור עמוד.
לאחר שהגדרת את פונקציית Lambda ואת כלל EventBridge, תוכל לבדוק את הפתרון הזה. כדי לעשות זאת, פתח את ה-IDP שלך והוסף משתמש לאחת מקבוצות ה-AD כאשר תפקיד הביצוע של Studio ממופה. ברגע שתוסיף את המשתמש, תוכל לאמת את יומני הפונקציות של Lambda כדי לבדוק את האירוע וגם לראות את משתמש הסטודיו מוקצה אוטומטית. בנוסף, אתה יכול להשתמש ב- DescribeUserProfile קריאת API לאימות שהמשתמש נוצר עם הרשאות מתאימות.
תמיכה במספר חשבונות Studio
כדי לתמוך במספר חשבונות Studio עם הארכיטקטורה הקודמת, אנו ממליצים על השינויים הבאים:
- הגדר קבוצת AD ממופה לכל רמת חשבון Studio.
- הגדר תפקיד IAM ברמת הקבוצה בכל חשבון Studio.
- הגדר או גזר את הקבוצה למיפוי תפקידים של IAM.
- הגדר פונקציית Lambda לביצוע הנחת תפקיד חוצה-חשבונות, מבוסס על מיפוי התפקידים של IAM ARN ופרופיל המשתמש שנוצר.
ביטול התצורה של משתמשים
כאשר משתמש מוסר מקבוצת ה-AD שלו, עליך להסיר את הגישה שלו גם מדומיין Studio. עם SSO, כאשר משתמש מוסר, המשתמש מושבת ב-IAM Identity Center באופן אוטומטי אם הסנכרון AD ל-IAM Identity Center קיים, והגישה שלו לאפליקציית Studio מבוטלת מיד.
עם זאת, פרופיל המשתמש ב-Studio עדיין נמשך. אתה יכול להוסיף זרימת עבודה דומה עם CloudTrail ופונקציית Lambda כדי להסיר את פרופיל המשתמש מסטודיו. הטריגר של EventBridge אמור כעת להאזין ל- מחקGroupMembership מִקרֶה. בפונקציית Lambda, השלם את השלבים הבאים:
- השג את שם פרופיל המשתמש ממזהה המשתמש ומזהה הקבוצה.
- רשום את כל האפליקציות הפועלות עבור פרופיל המשתמש באמצעות ה ListApps קריאת API, סינון לפי
UserProfileNameEquals
פָּרָמֶטֶר. הקפד לבדוק את התגובה המעומדת, כדי לרשום את כל האפליקציות עבור המשתמש. - מחק את כל האפליקציות הפועלות עבור המשתמש והמתן עד שכל האפליקציות יימחקו. אתה יכול להשתמש ב DescribeApp API לצפייה במצב האפליקציה.
- כאשר כל האפליקציות נמצאות ב-a נמחק מדינה (או נכשל), למחוק את פרופיל המשתמש.
עם פתרון זה במקום, מנהלי פלטפורמת ML יכולים לשמור על חברות בקבוצה במיקום מרכזי אחד ולהפוך את ניהול פרופיל המשתמש של Studio לאוטומטי באמצעות פונקציות EventBridge ו- Lambda.
הקוד הבא מציג אירוע CloudTrail לדוגמה:
הקוד הבא מציג בקשת API לפרופיל משתמש לדוגמה של Studio:
סיכום
בפוסט זה, דנו כיצד מנהלי מערכת יכולים להתאים את ההצטרפות ל-Studio עבור מאות משתמשים בהתבסס על החברות שלהם בקבוצת AD. הדגמנו ארכיטקטורת פתרונות מקצה לקצה שארגונים יכולים לאמץ כדי לבצע אוטומציה ולהרחיב את תהליך ההטמעה שלהם כדי לענות על צרכי הזריזות, האבטחה והתאימות שלהם. אם אתה מחפש פתרון שניתן להרחבה לאוטומטיות של הצטרפות המשתמש שלך, נסה את הפתרון הזה והשאיר לך משוב למטה! למידע נוסף על כניסה לסטודיו, ראה נכלל ב-Amazon SageMaker Domain.
על המחברים
רם ויטל הוא אדריכל פתרונות ML מומחה ב-AWS. יש לו למעלה מ-20 שנות ניסיון באדריכלות ובניית יישומים מבוזרים, היברידיים וענן. הוא נלהב לבנות פתרונות AI/ML ו-Big Data מאובטחים וניתנים להרחבה כדי לעזור ללקוחות ארגוניים באימוץ הענן ובמסע האופטימיזציה שלהם כדי לשפר את התוצאות העסקיות שלהם. בזמנו הפנוי, הוא רוכב על האופנוע שלו והולך עם הכבשה-א-דודל בן השנתיים שלו!
דורגה סורי הוא אדריכל ML Solutions בצוות Amazon SageMaker Service SA. היא נלהבת להנגיש למידת מכונה לכולם. ב-4 השנים שלה ב-AWS, היא סייעה בהקמת פלטפורמות AI/ML עבור לקוחות ארגוניים. כשהיא לא עובדת, היא אוהבת רכיבה על אופנוע, רומנים מסתוריים וטיולים עם האסקי בן ה-5 שלה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- EVM Finance. ממשק מאוחד למימון מבוזר. גישה כאן.
- Quantum Media Group. IR/PR מוגבר. גישה כאן.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- מקור: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 1
- 11
- 116
- 20
- שנים 20
- 200
- 22
- 24
- 7
- 9
- a
- אודות
- לְקַבֵּל
- גישה
- נגיש
- חֶשְׁבּוֹן
- חשבונות
- להשיג
- פעולה
- פעולות
- פעיל
- Ad
- להוסיף
- הוסיף
- בנוסף
- מנהל
- מנהלים
- לְאַמֵץ
- אימוץ
- לאחר
- נגד
- AI / ML
- תעשיות
- להתיר
- גם
- אמזון בעברית
- אמזון SageMaker
- סטודיו SageMaker של אמזון
- אמזון שירותי אינטרנט
- an
- ו
- API
- ממשקי API
- בקשה
- יישומים
- גישה
- מתאים
- אפליקציות
- ארכיטקטורה
- ARE
- AS
- שהוקצה
- עמית
- המשויך
- הנחה
- At
- לצרף
- אימות
- מורשה
- אוטומטי
- באופן אוטומטי
- אוטומציה
- AWS
- בחזרה
- מבוסס
- BE
- כי
- היה
- גָדוֹל
- נתונים גדולים
- גוּף
- שניהם
- לִבנוֹת
- בִּניָן
- אוטובוס
- עסקים
- by
- שיחה
- CAN
- מקרים
- מרכז
- מֶרכָּזִי
- שינוי
- שינויים
- אופי
- לבדוק
- בחרו
- לקוחות
- ענן
- אימוץ ענן
- קוד
- COM
- להשלים
- הענות
- לְחַבֵּר
- מורכב
- קונסול
- לבנות
- הקשר
- משותף
- תוֹאֵם
- לִיצוֹר
- נוצר
- יוצרים
- יצירה
- כיום
- לקוחות
- נתונים
- מסד נתונים
- בְּרִירַת מֶחדָל
- מופגן
- לפרוס
- תיאור
- פרט
- פרטים
- צעצועי התפתחות
- נכה
- נָדוֹן
- מופץ
- do
- לא
- עושה
- תחום
- תחומים
- לא
- מטה
- כל אחד
- מוקדם יותר
- עורך
- השפעה
- או
- אחר
- אמייל
- מאפשר
- מקצה לקצה
- זן
- מִפְעָל
- כניסה
- סביבה
- אירוע
- אירועים
- כולם
- דוגמה
- הוצאת להורג
- ניסיון
- מוסבר
- חיצוני
- שקר
- מָשׁוֹב
- שלח
- סינון
- ראשון
- להתמקד
- הבא
- בעד
- החל מ-
- פונקציה
- פונקציות
- יתר על כן
- לקבל
- להעניק
- כמובן מאליו
- קְבוּצָה
- קבוצה
- הדרכה
- לטפל
- יש
- he
- לעזור
- עזר
- לה
- שֶׁלוֹ
- איך
- HTML
- http
- HTTPS
- מאות
- היברידי
- ID
- זהות
- if
- מדגים
- מיד
- לייבא
- לשפר
- in
- כולל
- מידע
- למשל
- משולב
- השתלבות
- הופעל
- IT
- מסע
- ג'סון
- למידה
- הכי פחות
- יציאה
- מאפשר לי
- רמה
- רשימה
- מיקום
- מחובר
- הגיון
- הסתכלות
- בדיקה
- אוהב
- מכונה
- למידת מכונה
- לתחזק
- לעשות
- עשייה
- ניהול
- באופן ידני
- מיפוי
- להתאים
- תואם
- מאי..
- לִפְגוֹשׁ
- חבר
- חֲבֵרוּת
- חברויות
- שיטה
- שיטות
- ML
- מצב
- מודלים
- לשנות
- צג
- יותר
- אופנוע
- מספר
- תעלומה
- שם
- שמות
- ניווט
- צורך
- נחוץ
- צורך
- צרכי
- שום דבר
- עַכשָׁיו
- מושג
- of
- OKTA
- on
- על הסיפון
- Onboarding
- פעם
- ONE
- לפתוח
- אופטימיזציה
- or
- ארגון
- ארגונים
- OS
- הַחוּצָה
- תוצאות
- יותר
- סקירה
- שֶׁלוֹ
- עמוד
- זגוגית
- פרמטר
- שותף
- לוהט
- תבנית
- דפוסי
- לְבַצֵעַ
- ביצעתי
- מבצע
- הרשאות
- נמשכת
- מקום
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- הודעה
- פְּרָטִי
- זְכוּת
- תהליך
- פּרוֹפִיל
- פרופילים
- לספק
- ובלבד
- ספק
- אַספָּקָה
- מהירות
- חומר עיוני
- להמליץ
- באזור
- להסיר
- הוסר
- לבקש
- נדרש
- דרישות
- משאב
- תגובה
- לַחֲזוֹר
- תפקיד
- תפקידים
- כלל
- ריצה
- s
- SA
- בעל חכמים
- להרחבה
- סולם
- סקופינג
- לבטח
- אבטחה
- לִרְאוֹת
- ללא שרת
- שרות
- שירותים
- סט
- היא
- צריך
- הופעות
- דומה
- since
- יחיד
- So
- פִּתָרוֹן
- פתרונות
- מָקוֹר
- מקורות
- מומחה
- תֶקֶן
- מדינה
- הצהרה
- מצב
- שלב
- צעדים
- עוד
- חנות
- סטודיו
- מוצלח
- תמיכה
- תומך
- שולחן
- יעד
- נבחרת
- מבחן
- זֶה
- השמיים
- שֶׁלָהֶם
- אז
- זֶה
- דרך
- זמן
- ל
- רכבת
- להפעיל
- נָכוֹן
- לנסות
- סוג
- לא ידוע
- עד
- כתובת האתר
- להשתמש
- משתמש
- משתמשים
- שימושים
- באמצעות
- ערך
- מגוון
- לאמת
- גרסה
- באמצעות
- לצפיה
- וירטואלי
- כֶּרֶך
- לחכות
- רוצה
- we
- אינטרנט
- שירותי אינטרנט
- המבוסס על האינטרנט
- טוֹב
- מתי
- יצטרך
- עם
- לְלֹא
- תיק עבודות
- זרימת עבודה
- עובד
- כתיבה
- שנים
- אתה
- זפירנט