Med en Amazon SageMaker-domene, kan du ombord brukere med en AWS identitets- og tilgangsadministrasjon (IAM) utførelsesrolle forskjellig fra domeneutførelsesrollen. I slike tilfeller kan ikke den ombordværende domenebrukeren opprette prosjekter ved å bruke maler og Amazon SageMaker JumpStart løsninger. Dette innlegget skisserer en automatisert tilnærming for å aktivere JumpStart for domenebrukere med en tilpasset utførelsesrolle. Vi leder deg gjennom to forskjellige brukstilfeller for å aktivere JumpStart og hvordan du løser disse tilfellene programmatisk. Den automatiserte løsningen kan hjelpe deg å skalere prosessen for å aktivere JumpStart for Domain-brukere med tilpassede roller, øke produktiviteten til datavitenskapsteamet ditt og Amazon SageMaker Studio administratorer.
JumpStart er en funksjon i Studio som hjelper deg raskt og enkelt å komme i gang med maskinlæring (ML). Med flere og flere kunder som i økende grad bruker ML og tar i bruk Amazon SageMaker, JumpStart gjør det enklere for datavitenskap og ML-team å få tilgang til og finjustere mer enn 150 populære åpen kildekode-modeller, som naturlig språkbehandling, objektgjenkjenning og bildeklassifiseringsmodeller.
Løsningsoversikt
JumpStart krever et SageMaker-domene med prosjektmaler aktivert for kontoen og Studio-brukerne, som vist i følgende skjermbilde.
Hvis den er aktivert, lar denne innstillingen brukere (konfigurert til å bruke rollen Domeneutførelse) opprette prosjekter ved hjelp av maler og JumpStart-løsninger. I scenariet der brukerens utførelsesrolle er forskjellig fra domeneutførelsesrollen, forblir JumpStart deaktivert for den brukeren selv når den er aktivert på domenet. Vi tar for seg dette tilpassede rollescenariet og den automatiserte løsningen i de følgende delene.
I denne løsningen tar vi opp problemet for følgende to tilfeller:
- Bruk sak 1 – Aktivere JumpStart på en automatisert måte for eksisterende domenebrukere med tilpassede roller uavhengig av apper som er tildelt
- Bruk sak 2 – Gi et referanseskript som du kan bruke til å programmere aktivere JumpStart mens du starter en ny domenebruker med en egendefinert rolle
Domenebruker onboarding
Etter at du har opprettet et domene, kan du sette inn brukere for å starte apper (som Studio, RStudio eller Canvas). Du må tilordne en standard utførelsesrolle til en domenebruker under opprettelsesprosessen, som vist i følgende skjermbilde.
Du kan velge en annen rolle enn domeneutførelsesrollen for en bruker. Dette kan imidlertid deaktivere JumpStart for slike brukere selv når det er aktivert på domenet. Denne oppførselen skyldes det faktum at SageMaker ikke tar noen antagelse om en tilpasset rolle og dens tillatelsesgrense. De nødvendige tillatelsene og retningslinjene må tildeles eksplisitt for å få tilgang til maler og JumpStart-løsninger publisert av SageMaker i AWS servicekatalog.
Du kan aktivere SageMaker Projects og JumpStart manuelt for hver bruker ved å velge brukerprofilen på SageMaker Domain-kontrollpanelet. Imidlertid kan denne prosessen være tidkrevende hvis en bruker allerede har noen apper tilordnet. De Rediger knappen nederst til høyre er bare aktivert når ingen apper er tilordnet den brukeren (se følgende skjermbilde). Du må slette de tilordnede appene først for å kunne redigere en brukerprofil.
Årsaken til den deaktiverte JumpStart-funksjonen er tydelig under trinn 2 av redigering av en brukerprofil, der en melding sier "Hvis det er individuelle brukere som bruker tilpassede utførelsesroller i organisasjonen din, må du aktivere dem på brukerprofilsiden."
I de følgende delene leder vi deg gjennom to automatiserte løsninger som dekker brukstilfeller for både eksisterende og nye domenebrukere.
Forutsetninger
Trinnene beskrevet som en del av denne løsningen har følgende forutsetninger:
- Du har opprettet et SageMaker-domene
- SageMaker Domain-autentiseringsmetoden er IAM
- Egendefinerte roller tildelt SageMaker Domain-brukere har
AmazonSageMakerFullAccess
politikk vedlagt
I rekkefølge for JumpStart-løsninger for å være aktivert for brukere, må AWS Service Catalog-porteføljen Amazon SageMaker Solutions og ML Ops-produkter importeres til kontoen, og denne porteføljen må være knyttet til rollen som kjører SageMaker. Rolletilknytningen er nødvendig slik at Studio kan påkalle AWS Service Catalog APIer tilknyttet løsningsporteføljen.
Som en generell beste praksis anbefaler vi å teste prosessen i et ikke-produksjonsmiljø etterfulgt av valideringstester for å sikre at alt er konfigurert og fungerer i henhold til dine forventninger før du gjør endringer i produksjonsmiljøet.
Brukstilfelle 1: Aktiver JumpStart for alle eksisterende domenebrukere med en egendefinert rolle
La oss først vurdere brukstilfellet for eksisterende brukere og aktivere JumpStart for disse brukerne på en automatisert måte.
For å oppnå dette har vi laget en AWS skyformasjon mal at du kan kjøre i samme region der SageMaker-domenet eksisterer.
CloudFormation-stakken i vedlagte jumpstart_solutions_resources.template.yaml
filen har følgende komponenter:
- AmazonSageMakerServiceCatalogProductsLaunchRole og AmazonSageMakerServiceCatalogProductsUseRole – Oppretter disse to IAM-rollene, hvis de ikke allerede eksisterer.
- 1PProductUseRolePolicy – Oppretter denne policyen som brukes av
AmazonSageMakerServiceCatalogProductsUseRole
, hvis denne rollen ikke allerede eksisterer. - setup_solutions_tests_portfolio - An AWS Lambda funksjon som utfører AWS Service Catalog-porteføljeimport og rolletilknytning ved å kalle Boto3 APIer. Denne funksjonen kalles en gang i løpet av Opprettelse av CloudFormation-stabel.
- LambdaIAMRole rolle – Brukes av funksjonen
setup_solutions_tests_portfolio
for å kalle AWS Service Catalog og SageMaker APIer. - SetupPortfolioInvoker – Starter funksjonen
setup_solutions_tests_portfolio
.
Etter at Lambda-funksjonen kjører som en del av CloudFormation-distribusjonen, ettermonterer den alle eksisterende SageMaker Domain-brukere for å aktivere JumpStart og Projects for dem. For mer informasjon om å opprette og overvåke en CloudFormation-stabel, se Hvordan fungerer AWS CloudFormation.
Brukstilfelle 2: Aktiver JumpStart for en enkelt domenebruker med en egendefinert rolle
Mange kunder foretrekker å skalere innføringsprosessen for domenebrukere ved å automatisere den programmatisk. I denne delen gir vi en Python-skriptreferanse som du kan bruke som en del av onboarding-prosessen for å aktivere JumpStart for en ny bruker med en tilpasset rolle. Dette Python-skriptet utfører den nødvendige assosiasjonen for den gitte brukerrollen. Den automatiserte prosessen som kaller dette skriptet må ha tillatelse til å bruke AWS Service Catalog og SageMaker APIer. Se følgende kode:
Du kan enten kalle skriptet uavhengig eller bygge det inn som et trinn i en automatisert prosess for å opprette en brukerprofil for onboarding til Studio. For mer informasjon om bruk av Boto3, se Boto3-referanse.
Rydd opp
Etter at alle de egendefinerte rollene er aktivert for å bruke JumpStart, kan vi rydde opp i ressursene som ikke lenger trengs. Du kan slette Lambda-funksjonen setup_solutions_tests_portfolio
og IAM-rollen LambdaIAMRole
opprettet av CloudFormation-malen. De to andre IAM-rollene, AmazonSageMakerServiceCatalogProductsLaunchRole
og AmazonSageMakerServiceCatalogProductsUseRole
, og den tilknyttede policyen 1PProductUseRolePolicy (hvis opprettet) må ikke slettes fordi de må eksistere for å få tilgang til JumpStart.
konklusjonen
I dette innlegget delte vi trinnene for å aktivere JumpStart for en tilpasset rolle for eksisterende brukere så vel som nye brukere programmatisk. Som alltid, sørg for å validere trinnene nevnt i denne løsningen i et ikke-produksjonsmiljø før du distribuerer til produksjon.
Prøv det og gi oss beskjed hvis du har spørsmål i kommentarfeltet!
Tilleggsressurser
For mer informasjon, se følgende:
- Amazon SageMaker-ressurser
- Automatiser en sentralisert distribusjon av Amazon SageMaker Studio med AWS Service Catalog
- Konfigurerer Amazon SageMaker Studio for team og grupper med fullstendig ressursisolasjon
Om forfatterne
Nikhil Jha er Senior Technical Account Manager hos Amazon Web Services. Fokusområdene hans inkluderer AI/ML og analyse. På fritiden liker han å spille badminton med datteren og utforske naturen.
Evan Kravitz er programvareingeniør hos Amazon Web Services, og jobber med SageMaker JumpStart. Han liker å lage mat og gå på løpetur i New York City.
- "
- 100
- adgang
- Logg inn
- adresse
- Alle
- allerede
- Amazon
- Amazon Web Services
- analytics
- APIer
- tilnærming
- apps
- tildelt
- Association
- Autentisering
- Automatisert
- AWS
- BEST
- grensen
- ring
- saker
- Årsak
- City
- klassifisering
- kode
- kommentarer
- kontroll
- skaper
- Opprette
- Kunder
- dato
- datavitenskap
- utplasserings
- distribusjon
- Gjenkjenning
- forskjellig
- ikke
- domene
- lett
- muliggjør
- ingeniør
- Miljø
- alt
- gjennomføring
- forventninger
- Trekk
- Først
- Fokus
- etter
- funksjon
- general
- skal
- hjelpe
- hjelper
- Hvordan
- Hvordan
- HTTPS
- Identitet
- bilde
- inkludere
- individuelt
- informasjon
- utstedelse
- IT
- Språk
- lansere
- læring
- maskin
- maskinlæring
- Making
- leder
- manuelt
- ML
- modeller
- overvåking
- Naturlig
- New York
- New York City
- onboarding
- drift
- rekkefølge
- organisasjon
- Annen
- utendørs
- Politikk
- politikk
- Populær
- portefølje
- prosess
- Produksjon
- produktivitet
- Produkter
- Profil
- prosjekt
- prosjekter
- gi
- raskt
- anbefaler
- påkrevd
- ressurs
- Ressurser
- Kjør
- Skala
- Vitenskap
- tjeneste
- Tjenester
- innstilling
- delt
- So
- Software
- Software Engineer
- Solutions
- LØSE
- stable
- startet
- Stater
- studio
- lag
- Teknisk
- Testing
- tester
- Gjennom
- tid
- tidkrevende
- us
- bruke
- Brukere
- web
- webtjenester
- innenfor
- arbeid