Amazon SageMaker Studio er et nettbasert integrert utviklingsmiljø (IDE) for maskinlæring (ML) som lar deg bygge, trene, feilsøke, distribuere og overvåke ML-modellene dine. For å klargjøre Studio i AWS-kontoen din og regionen din, må du først opprette en Amazon SageMaker domene – en konstruksjon som innkapsler ML-miljøet ditt. Mer konkret består et SageMaker-domene av et tilknyttet Amazon elastisk filsystem (Amazon EFS) volum, en liste over autoriserte brukere og en rekke sikkerhet, applikasjoner, retningslinjer og Amazon Virtual Private Cloud (Amazon VPC) konfigurasjoner.
Når du oppretter ditt SageMaker-domene, kan du velge å bruke begge AWS IAM Identity Center (etterfølger til AWS Single Sign-On) eller AWS identitets- og tilgangsadministrasjon (IAM) for brukerautentiseringsmetoder. Begge autentiseringsmetodene har sitt eget sett med brukstilfeller; i dette innlegget fokuserer vi på SageMaker-domener med IAM Identity Center, eller single sign-on (SSO)-modus, som autentiseringsmetode.
Med SSO-modus setter du opp en SSO-bruker og -gruppe i IAM Identity Center og gir deretter tilgang til enten SSO-gruppen eller brukeren fra Studio-konsollen. For øyeblikket arver alle SSO-brukere i et domene domenets utførelsesrolle. Dette fungerer kanskje ikke for alle organisasjoner. For eksempel kan administratorer ønske å sette opp IAM-tillatelser for en Studio SSO-bruker basert på deres Active Directory (AD) gruppemedlemskap. Videre, fordi administratorer er pålagt å manuelt gi SSO-brukere tilgang til Studio, kan det hende at prosessen ikke skaleres når hundrevis av brukere kommer inn.
I dette innlegget gir vi foreskrivende veiledning for løsningen for å levere SSO-brukere til Studio med minst privilegerte tillatelser basert på AD-gruppemedlemskap. Denne veiledningen lar deg raskt skalere for å ta hundrevis av brukere inn i Studio og oppnå din sikkerhets- og samsvarsstilling.
Løsningsoversikt
Følgende diagram illustrerer løsningsarkitekturen.
Arbeidsflyten til klargjøring av AD-brukere i Studio inkluderer følgende trinn:
- Sett opp en Studiodomene i SSO-modus.
- For hver AD-gruppe:
- Sett opp Studio-utførelsesrollen din med passende finmaskede IAM-policyer
- Ta opp en oppføring i AD-grupperolletilordningen Amazon DynamoDB tabellen.
Alternativt kan du ta i bruk en navnestandard for IAM-rolle-ARN-er basert på AD-gruppenavnet og utlede IAM-rollen ARN uten å måtte lagre tilordningen i en ekstern database.
- Synkroniser AD-brukere og -grupper og medlemskap til AWS Identity Center:
- Hvis du bruker en identitetsleverandør (IdP) som støtter SCIM, bruk SCIM API-integrasjon med IAM Identity Center.
- Hvis du bruker selvadministrert AD, kan du bruke AD Connector.
- Når AD-gruppen er opprettet i bedriftens AD, fullfør følgende trinn:
- Opprett en tilsvarende SSO-gruppe i IAM Identity Center.
- Knytt SSO-gruppen til Studio-domenet ved å bruke SageMaker-konsollen.
- Når en AD-bruker opprettes i bedriftens AD, opprettes en tilsvarende SSO-bruker i IAM Identity Center.
- Når AD-brukeren er tilordnet en AD-gruppe, vil en IAM Identity Center API (Opprett gruppemedlemskap) påkalles, og SSO-gruppemedlemskap opprettes.
- Den foregående hendelsen er pålogget AWS CloudTrail med navnet
AddMemberToGroup
. - An Amazon EventBridge regel lytter til CloudTrail-arrangementer og matcher
AddMemberToGroup
regelmønster. - EventBridge-regelen utløser målet AWS Lambda funksjon.
- Denne Lambda-funksjonen vil kalle tilbake IAM Identity Center APIer, hente SSO-bruker- og gruppeinformasjon og utføre følgende trinn for å opprette Studio-brukerprofilen (Opprett brukerprofil) for SSO-brukeren:
- Slå opp DynamoDB-tabellen for å hente IAM-rollen som tilsvarer AD-gruppen.
- Opprett en brukerprofil med SSO-brukeren og IAM-rollen hentet fra oppslagstabellen.
- SSO-brukeren får tilgang til Studio.
- SSO-brukeren blir omdirigert til Studio IDE via Studio-domenets URL.
Merk at i skrivende stund må trinn 4b (knytte SSO-gruppen til Studio-domenet) utføres manuelt av en administrator som bruker SageMaker-konsollen på SageMaker-domenenivå.
Sett opp en Lambda-funksjon for å lage brukerprofilene
Løsningen bruker en Lambda-funksjon for å lage Studio-brukerprofilene. Vi tilbyr følgende eksempel Lambda-funksjon som du kan kopiere og endre for å møte dine behov for å automatisere opprettelsen av Studio-brukerprofilen. Denne funksjonen utfører følgende handlinger:
- Motta CloudTrail
AddMemberToGroup
hendelse fra EventBridge. - Hent Studioet
DOMAIN_ID
fra miljøvariabelen (du kan alternativt hardkode domene-ID-en eller bruke en DynamoDB-tabell også hvis du har flere domener). - Les fra en dummy markup-tabell for å matche AD-brukere til utførelsesroller. Du kan endre dette for å hente fra DynamoDB-tabellen hvis du bruker en tabelldrevet tilnærming. Hvis du bruker DynamoDB, trenger Lambda-funksjonens utførelsesrolle tillatelser til å lese fra tabellen også.
- Hent informasjon om SSO-bruker og AD-gruppemedlemskap fra IAM Identity Center, basert på CloudTrail-hendelsesdataene.
- Opprett en Studio-brukerprofil for SSO-brukeren, med SSO-detaljene og den matchende utførelsesrollen.
Merk at Lambda-utførelsesrollen som standard ikke har tilgang til å opprette brukerprofiler eller liste SSO-brukere. Etter at du har opprettet Lambda-funksjonen, får du tilgang til funksjonens utførelsesrolle på IAM og legger ved følgende policy som en integrert policy etter å ha redusert omfanget etter behov basert på organisasjonens krav.
Sett opp EventBridge-regelen for CloudTrail-arrangementet
EventBridge er en serverløs hendelsesbusstjeneste som du kan bruke til å koble applikasjonene dine med data fra en rekke kilder. I denne løsningen lager vi en regelbasert trigger: EventBridge lytter til hendelser og matcher mot det oppgitte mønsteret og utløser en Lambda-funksjon hvis mønstermatchen er vellykket. Som forklart i løsningsoversikten lytter vi til AddMemberToGroup
begivenhet. For å sette opp, fullfør følgende trinn:
- På EventBridge-konsollen velger du Regler i navigasjonsruten.
- Velg Lag regel.
- Oppgi et regelnavn, for eksempel
AddUserToADGroup
. - Skriv eventuelt inn en beskrivelse.
- Plukke ut standard~~POS=TRUNC for arrangementsbussen.
- Under Regeltype, velg Regel med et hendelsesmønster, velg deretter neste.
- På Bygg hendelsesmønster side, velg Hendelse kilde as AWS-arrangementer eller EventBridge-partnerarrangementer.
- Under Arrangementsmønster, Velg Egendefinerte mønstre (JSON-editor) fanen og skriv inn følgende mønster:
- Velg neste.
- På Velg mål siden, velg AWS-tjenesten for måltypen, Lambda-funksjonen som mål og funksjonen du opprettet tidligere, og velg deretter neste.
- Velg neste på Konfigurer tagger side, og velg deretter Lag regel på Gjennomgå og opprett side.
Etter at du har satt Lambda-funksjonen og EventBridge-regelen, kan du teste ut denne løsningen. For å gjøre det, åpne IdP-en og legg til en bruker i en av AD-gruppene med Studio-utførelsesrollen kartlagt. Når du har lagt til brukeren, kan du bekrefte Lambda-funksjonsloggene for å inspisere hendelsen og også se Studio-brukeren klargjort automatisk. I tillegg kan du bruke Beskriv brukerprofil API-kall for å bekrefte at brukeren er opprettet med passende tillatelser.
Støtter flere Studio-kontoer
For å støtte flere Studio-kontoer med den foregående arkitekturen, anbefaler vi følgende endringer:
- Sett opp en AD-gruppe tilordnet hvert Studio-kontonivå.
- Sett opp en IAM-rolle på gruppenivå i hver Studio-konto.
- Sett opp eller utled gruppen til IAM-rollekartlegging.
- Sett opp en Lambda-funksjon som skal utføres rolleantakelse på tvers av kontoer, basert på IAM rollekartlegging ARN og opprettet brukerprofil.
Avregistrering av brukere
Når en bruker fjernes fra AD-gruppen sin, bør du også fjerne tilgangen fra Studio-domenet. Med SSO, når en bruker fjernes, deaktiveres brukeren automatisk i IAM Identity Center hvis AD til IAM Identity Center-synkroniseringen er på plass, og Studio-applikasjonstilgangen tilbakekalles umiddelbart.
Brukerprofilen på Studio består imidlertid fortsatt. Du kan legge til en lignende arbeidsflyt med CloudTrail og en Lambda-funksjon for å fjerne brukerprofilen fra Studio. EventBridge-utløseren skal nå lytte etter Slett gruppemedlemskap begivenhet. I Lambda-funksjonen, fullfør følgende trinn:
- Få brukerprofilnavnet fra bruker- og gruppe-IDen.
- Liste alle kjørende apper for brukerprofilen ved å bruke ListApps API-kall, filtrering etter
UserProfileNameEquals
parameter. Sørg for å se etter det paginerte svaret, for å vise alle appene for brukeren. - Slett alle apper som kjører for brukeren og vent til alle apper er slettet. Du kan bruke Beskriv appen API for å se appens status.
- Når alle apper er i en Slettet stat (eller Mislyktes), slett brukerprofilen.
Med denne løsningen på plass kan ML-plattformadministratorer opprettholde gruppemedlemskap på ett sentralt sted og automatisere Studio-brukerprofiladministrasjonen gjennom EventBridge- og Lambda-funksjoner.
Følgende kode viser et eksempel på CloudTrail-hendelse:
Følgende kode viser et eksempel på en Studio-brukerprofil-API-forespørsel:
konklusjonen
I dette innlegget diskuterte vi hvordan administratorer kan skalere Studio onboarding for hundrevis av brukere basert på deres AD-gruppemedlemskap. Vi demonstrerte en ende-til-ende-løsningsarkitektur som organisasjoner kan ta i bruk for å automatisere og skalere onboarding-prosessen for å møte deres smidighet, sikkerhet og samsvarsbehov. Hvis du leter etter en skalerbar løsning for å automatisere brukeronboarding, prøv denne løsningen og gi tilbakemelding nedenfor! For mer informasjon om onboarding til Studio, se Ombord på Amazon SageMaker Domain.
Om forfatterne
Ram Vittal er en ML Specialist Solutions Architect hos AWS. Han har over 20 års erfaring med å bygge og bygge distribuerte, hybride og skyapplikasjoner. Han brenner for å bygge sikre og skalerbare AI/ML- og big data-løsninger for å hjelpe bedriftskunder med deres skyadopsjon og optimaliseringsreise for å forbedre forretningsresultatene deres. På fritiden kjører han motorsykkel og går med sin 2 år gamle sheep-a-doodle!
Durga Sury er en ML Solutions Architect i Amazon SageMaker Service SA-teamet. Hun brenner for å gjøre maskinlæring tilgjengelig for alle. I løpet av sine 4 år i AWS har hun vært med på å sette opp AI/ML-plattformer for bedriftskunder. Når hun ikke jobber, elsker hun motorsykkelturer, mysterieromaner og fotturer med sin 5 år gamle husky.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- EVM Finans. Unified Interface for desentralisert økonomi. Tilgang her.
- Quantum Media Group. IR/PR forsterket. Tilgang her.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- : har
- :er
- :ikke
- $OPP
- 1
- 11
- 116
- 20
- 20 år
- 200
- 22
- 24
- 7
- 9
- a
- Om oss
- Aksepterer
- adgang
- tilgjengelig
- Logg inn
- kontoer
- Oppnå
- Handling
- handlinger
- aktiv
- Ad
- legge til
- la til
- I tillegg
- admin
- administratorer
- adoptere
- Adopsjon
- Etter
- mot
- AI / ML
- Alle
- tillate
- også
- Amazon
- Amazon SageMaker
- Amazon SageMaker Studio
- Amazon Web Services
- an
- og
- api
- APIer
- Søknad
- søknader
- tilnærming
- hensiktsmessig
- apps
- arkitektur
- ER
- AS
- tildelt
- Førsteamanuensis
- assosiert
- forutsetningen
- At
- feste
- Autentisering
- autorisert
- automatisere
- automatisk
- Automatisere
- AWS
- tilbake
- basert
- BE
- fordi
- vært
- Stor
- Store data
- kroppen
- både
- bygge
- Bygning
- buss
- virksomhet
- by
- ring
- CAN
- saker
- sentrum
- sentral
- endring
- Endringer
- karakter
- sjekk
- Velg
- kunde
- Cloud
- skyadopsjon
- kode
- COM
- fullføre
- samsvar
- Koble
- består
- Konsoll
- konstruere
- kontekst
- Bedriftens
- Tilsvarende
- skape
- opprettet
- Opprette
- skaperverket
- I dag
- Kunder
- dato
- Database
- Misligholde
- demonstrert
- utplassere
- beskrivelse
- detalj
- detaljer
- Utvikling
- deaktivert
- diskutert
- distribueres
- do
- ikke
- gjør
- domene
- domener
- ikke
- ned
- hver enkelt
- Tidligere
- redaktør
- effekt
- enten
- ellers
- emalje
- muliggjør
- ende til ende
- Enter
- Enterprise
- entry
- Miljø
- Event
- hendelser
- alle
- eksempel
- gjennomføring
- erfaring
- forklarte
- utvendig
- falsk
- tilbakemelding
- filet
- filtrering
- Først
- Fokus
- etter
- Til
- fra
- funksjon
- funksjoner
- Dess
- få
- innvilge
- innvilget
- Gruppe
- Gruppens
- veiledning
- håndtere
- Ha
- he
- hjelpe
- hjulpet
- her
- hans
- Hvordan
- HTML
- http
- HTTPS
- Hundrevis
- Hybrid
- ID
- Identitet
- if
- illustrerer
- umiddelbart
- importere
- forbedre
- in
- inkluderer
- informasjon
- f.eks
- integrert
- integrering
- påkalt
- IT
- reise
- JSON
- læring
- minst
- Permisjon
- Lar
- Nivå
- Liste
- plassering
- logget
- logikk
- ser
- oppslag
- elsker
- maskin
- maskinlæring
- vedlikeholde
- gjøre
- Making
- ledelse
- manuelt
- kartlegging
- Match
- matchende
- Kan..
- Møt
- medlem
- medlemskap
- medlemskap
- metode
- metoder
- ML
- Mote
- modeller
- modifisere
- Overvåke
- mer
- motorsykkel
- flere
- Mystery
- navn
- navngiving
- Navigasjon
- Trenger
- nødvendig
- trenger
- behov
- ingenting
- nå
- innhentet
- of
- OKTA
- on
- Ombord
- onboarding
- gang
- ONE
- åpen
- optimalisering
- or
- organisasjon
- organisasjoner
- OS
- ut
- utfall
- enn
- oversikt
- egen
- side
- brød
- parameter
- partner
- lidenskapelig
- Mønster
- mønstre
- Utfør
- utført
- utfører
- tillatelser
- vedvarer
- Sted
- plattform
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- politikk
- Post
- privat
- privilegium
- prosess
- Profil
- Profiler
- gi
- forutsatt
- leverandør
- forsyning
- raskt
- Lese
- anbefaler
- region
- fjerne
- fjernet
- anmode
- påkrevd
- Krav
- ressurs
- svar
- retur
- Rolle
- roller
- Regel
- rennende
- s
- SA
- sagemaker
- skalerbar
- Skala
- Omfang
- sikre
- sikkerhet
- se
- server~~POS=TRUNC
- tjeneste
- Tjenester
- sett
- hun
- bør
- Viser
- lignende
- siden
- enkelt
- So
- løsning
- Solutions
- kilde
- Kilder
- spesialist
- Standard
- Tilstand
- Uttalelse
- status
- Trinn
- Steps
- Still
- oppbevare
- studio
- vellykket
- støtte
- Støtter
- bord
- Target
- lag
- test
- Det
- De
- deres
- deretter
- denne
- Gjennom
- tid
- til
- Tog
- utløse
- sant
- prøve
- typen
- ukjent
- til
- URL
- bruke
- Bruker
- Brukere
- bruker
- ved hjelp av
- verdi
- variasjon
- verifisere
- versjon
- av
- Se
- virtuelle
- volum
- vente
- ønsker
- we
- web
- webtjenester
- Web-basert
- VI VIL
- når
- vil
- med
- uten
- Arbeid
- arbeidsflyt
- arbeid
- skriving
- år
- Du
- Din
- zephyrnet