Met een Amazon SageMaker-domein, kunt u gebruikers onboarden met een AWS Identiteits- en toegangsbeheer (IAM) uitvoeringsrol anders dan de domeinuitvoeringsrol. In dat geval kan de onboarded Domain-gebruiker geen projecten maken met behulp van sjablonen en Amazon SageMaker JumpStart oplossingen. Dit bericht schetst een geautomatiseerde aanpak om JumpStart voor domeingebruikers in te schakelen met een aangepaste uitvoeringsrol. We leiden u door twee verschillende gebruiksscenario's voor het inschakelen van JumpStart en hoe u deze gevallen programmatisch kunt oplossen. De geautomatiseerde oplossing kan u helpen uw proces op te schalen om JumpStart for Domain-gebruikers mogelijk te maken met aangepaste rollen, waardoor de productiviteit van uw data science-team wordt verhoogd en Amazon SageMaker Studio beheerders.
JumpStart is een functie binnen Studio waarmee u snel en eenvoudig aan de slag kunt met machine learning (ML). Met steeds meer klanten die ML steeds vaker gebruiken en adopteren Amazon Sage Maker, maakt JumpStart het gemakkelijker voor datawetenschaps- en ML-teams om toegang te krijgen tot meer dan 150 populaire open-sourcemodellen, zoals natuurlijke taalverwerking, objectdetectie en beeldclassificatiemodellen.
Overzicht oplossingen
JumpStart vereist een SageMaker-domein met projectsjablonen ingeschakeld voor het account en Studio-gebruikers, zoals weergegeven in de volgende schermafbeelding.
Indien ingeschakeld, kunnen gebruikers met deze instelling (geconfigureerd om de domeinuitvoeringsrol te gebruiken) projecten maken met behulp van sjablonen en JumpStart-oplossingen. In het scenario waarin de uitvoeringsrol van de gebruiker anders is dan de uitvoeringsrol van het domein, blijft JumpStart uitgeschakeld voor die gebruiker, zelfs wanneer het is ingeschakeld op het domein. We behandelen dit aangepaste rolscenario en de geautomatiseerde oplossing in de volgende secties.
In deze oplossing pakken we het probleem aan voor de volgende twee gevallen:
- Gebruik geval 1 โ JumpStart op een geautomatiseerde manier inschakelen voor bestaande domeingebruikers met aangepaste rollen, ongeacht de toegewezen apps
- Gebruik geval 2 โ Een referentiescript bieden dat u kunt gebruiken om JumpStart programmatisch in te schakelen terwijl u een nieuwe domeingebruiker met een aangepaste rol onboardt
Onboarding domeingebruiker
Nadat je een domein hebt gemaakt, kun je gebruikers onboarden om apps te starten (zoals Studio, RStudio of Canvas). U moet tijdens het aanmaakproces een standaarduitvoeringsrol toewijzen aan een domeingebruiker, zoals weergegeven in de volgende schermafbeelding.
U kunt een andere rol kiezen dan de domeinuitvoeringsrol voor een gebruiker. Dit kan JumpStart echter voor dergelijke gebruikers uitschakelen, zelfs als het is ingeschakeld op het domein. Dit gedrag is te wijten aan het feit dat SageMaker geen aannames maakt over een aangepaste rol en de bijbehorende machtigingsgrens. De vereiste machtigingen en beleidsregels moeten expliciet worden toegewezen om toegang te krijgen tot sjablonen en JumpStart-oplossingen die zijn gepubliceerd door SageMaker in AWS-servicecatalogus.
U kunt SageMaker Projects en JumpStart handmatig inschakelen voor elke gebruiker door het gebruikersprofiel te selecteren in het SageMaker Domain-configuratiescherm. Dit proces kan echter tijdrovend zijn als een gebruiker al enkele apps heeft toegewezen. De Edit knop rechtsonder is alleen ingeschakeld als er geen apps aan die gebruiker zijn toegewezen (zie de volgende schermafbeelding). Om een โโgebruikersprofiel te kunnen bewerken, moet u eerst de toegewezen apps verwijderen.
De oorzaak van de uitgeschakelde JumpStart-functie wordt duidelijk tijdens stap 2 van het bewerken van een gebruikersprofiel, waar een bericht wordt weergegeven: "Als er individuele gebruikers zijn die aangepaste uitvoeringsrollen gebruiken in uw organisatie, moet u deze inschakelen op de gebruikersprofielpagina."
In de volgende secties leiden we u door twee geautomatiseerde oplossingen die gebruiksscenario's voor zowel bestaande als nieuwe domeingebruikers dekken.
Voorwaarden
De stappen die worden beschreven als onderdeel van deze oplossing, hebben de volgende vereisten:
- U heeft een SageMaker-domein aangemaakt
- De SageMaker Domain-authenticatiemethode is IAM
- Aangepaste rollen die zijn toegewezen aan de SageMaker Domain-gebruikers hebben de
AmazonSageMakerFullAccess
beleid bijgevoegd
Om voor JumpStart-oplossingen om te worden ingeschakeld voor gebruikers, moeten de AWS Service Catalog-portfolio Amazon SageMaker Solutions en ML Ops-producten worden geรฏmporteerd in het account, en deze portfolio moet worden gekoppeld aan de rol die SageMaker uitvoert. De rolkoppeling is nodig zodat Studio AWS Service Catalog API's kan aanroepen die zijn gekoppeld aan de oplossingenportfolio.
Als algemene best practice raden we aan het proces te testen in een niet-productieomgeving, gevolgd door validatietests om ervoor te zorgen dat alles is geconfigureerd en werkt volgens uw verwachtingen voordat u wijzigingen aanbrengt in de productieomgeving.
Use case 1: Schakel JumpStart in voor alle bestaande domeingebruikers met een aangepaste rol
Laten we eerst eens kijken naar de use case voor bestaande gebruikers en JumpStart automatisch inschakelen voor die gebruikers.
Om dit te bereiken hebben we een AWS CloudFormatie sjabloon die u kunt uitvoeren in dezelfde regio waar het SageMaker-domein bestaat.
De CloudFormation-stack in de bijgevoegde jumpstart_solutions_resources.template.yaml
bestand heeft de volgende componenten:
- AmazonSageMakerServiceCatalogusProductenLanceringRole en AmazonSageMakerServiceCatalogusProductenGebruikRole โ Maakt deze twee IAM-rollen, als ze nog niet bestaan.
- 1PProductGebruikRolbeleid โ Creรซert dit beleid dat wordt gebruikt door
AmazonSageMakerServiceCatalogProductsUseRole
, als deze rol nog niet bestaat. - setup_solutions_tests_portfolio - Een AWS Lambda functie die de AWS Service Catalog-portfolio-import en rolkoppeling uitvoert door Boto3-API's aan te roepen. Deze functie wordt รฉรฉn keer aangeroepen tijdens CloudFormation-stack maken.
- LambdaIAMRrolrol โ Gebruikt door de functie
setup_solutions_tests_portfolio
voor het aanroepen van AWS Service Catalog en SageMaker API's. - InstellingenPortfolioInvoker โ Roept de functie op
setup_solutions_tests_portfolio
.
Nadat de Lambda-functie is uitgevoerd als onderdeel van de CloudFormation-implementatie, past het alle bestaande SageMaker Domain-gebruikers aan om JumpStart en Projects voor hen in te schakelen. Raadpleeg voor meer informatie over het maken en bewaken van een CloudFormation-stack: Hoe werkt AWS CloudFormation?.
Use case 2: Schakel JumpStart in voor een enkele domeingebruiker met een aangepaste rol
Veel klanten geven er de voorkeur aan het onboardingproces van domeingebruikers te schalen door het programmatisch te automatiseren. In deze sectie bieden we een Python-scriptreferentie die u kunt gebruiken als onderdeel van het onboardingproces om JumpStart in te schakelen voor een nieuwe gebruiker met een aangepaste rol. Dit Python-script voert de vereiste koppeling uit voor de gegeven gebruikersrol. Het geautomatiseerde proces dat dit script aanroept, moet toestemming hebben om AWS Service Catalog en SageMaker API's te gebruiken. Zie de volgende code:
Je kunt het script onafhankelijk aanroepen of het insluiten als een stap in een geautomatiseerd proces om een โโgebruikersprofiel te maken voor onboarding bij Studio. Voor meer informatie over het gebruik van Boto3, zie: Boto3-referentie.
Opruimen
Nadat alle aangepaste rollen zijn ingeschakeld om JumpStart te gebruiken, kunnen we de bronnen opschonen die niet langer nodig zijn. U kunt de Lambda-functie verwijderen setup_solutions_tests_portfolio
en de IAM-rol LambdaIAMRole
gemaakt door de CloudFormation-sjabloon. De andere twee IAM-rollen, AmazonSageMakerServiceCatalogProductsLaunchRole
en AmazonSageMakerServiceCatalogProductsUseRole
en het bijbehorende beleid 1PProductUseRolePolicy (indien gemaakt) mogen niet worden verwijderd omdat ze moeten bestaan โโom toegang te krijgen tot JumpStart.
Conclusie
In dit bericht hebben we de stappen gedeeld om JumpStart in te schakelen voor een aangepaste rol voor zowel bestaande gebruikers als nieuwe gebruikers programmatisch. Zorg er zoals altijd voor dat u de stappen in deze oplossing valideert in een niet-productieomgeving voordat u deze implementeert in productie.
Probeer het uit en laat het ons weten als je vragen hebt in het opmerkingengedeelte!
Extra middelen
Zie het volgende voor meer informatie:
- Amazon SageMaker-bronnen
- Automatiseer een gecentraliseerde implementatie van Amazon SageMaker Studio met AWS Service Catalog
- Amazon SageMaker Studio configureren voor teams en groepen met volledige isolatie van bronnen
Over de auteurs
Nikhil Jha is Senior Technical Account Manager bij Amazon Web Services. Zijn aandachtsgebieden zijn onder meer AI/ML en analytics. In zijn vrije tijd speelt hij graag badminton met zijn dochter en gaat hij graag de natuur in.
Evan Kravitz is een software-engineer bij Amazon Web Services en werkt aan SageMaker JumpStart. Hij houdt van koken en hardlopen in New York City.
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Bron: https://aws.amazon.com/blogs/machine-learning/enable-amazon-sagemaker-jumpstart-for-custom-iam-execution-roles/
- "
- 100
- toegang
- Account
- adres
- Alles
- al
- Amazone
- Amazon Web Services
- analytics
- APIs
- nadering
- apps
- toegewezen
- Vereniging
- authenticatie
- geautomatiseerde
- AWS
- BEST
- grens
- Bellen
- gevallen
- Veroorzaken
- Plaats
- classificatie
- code
- opmerkingen
- onder controle te houden
- creรซert
- Wij creรซren
- Klanten
- gegevens
- data science
- het inzetten
- inzet
- Opsporing
- anders
- Nee
- domein
- gemakkelijk
- waardoor
- ingenieur
- Milieu
- alles
- uitvoering
- verwachtingen
- Kenmerk
- Voornaam*
- Focus
- volgend
- functie
- Algemeen
- gaan
- hulp
- helpt
- Hoe
- How To
- HTTPS
- Identiteit
- beeld
- omvatten
- individueel
- informatie
- kwestie
- IT
- taal
- lancering
- leren
- machine
- machine learning
- maken
- manager
- handmatig
- ML
- modellen
- Grensverkeer
- Naturel
- New York
- new york city
- Onboarding
- werkzaam
- bestellen
- organisatie
- Overige
- buiten
- beleidsmaatregelen door te lezen.
- beleidsmaatregelen
- Populair
- portfolio
- productie
- produktiviteit
- Producten
- Profiel
- project
- projecten
- zorgen voor
- snel
- adviseren
- nodig
- hulpbron
- Resources
- lopen
- Scale
- Wetenschap
- service
- Diensten
- het instellen van
- gedeeld
- So
- Software
- Software Engineer
- Oplossingen
- OPLOSSEN
- stack
- gestart
- Staten
- studio
- team
- Technisch
- Testen
- testen
- Door
- niet de tijd of
- tijdrovend
- us
- .
- gebruikers
- web
- webservices
- binnen
- werkzaam