Studio Amazon SageMaker to zintegrowane środowisko programistyczne (IDE) oparte na sieci Web do uczenia maszynowego (ML), które umożliwia tworzenie, trenowanie, debugowanie, wdrażanie i monitorowanie modeli uczenia maszynowego. Aby zainicjować obsługę administracyjną Studio na swoim koncie AWS i regionie, musisz najpierw utworzyć plik Amazon Sage Maker domena — konstrukcja, która hermetyzuje twoje środowisko ML. Mówiąc dokładniej, domena SageMaker składa się z powiązanego System plików Amazon Elastic (Amazon EFS), listę autoryzowanych użytkowników oraz różne zabezpieczenia, aplikacje, zasady i Wirtualna prywatna chmura Amazon (Amazon VPC).
Tworząc domenę SageMaker, możesz wybrać jedną z nich Centrum tożsamości AWS IAM (następca AWS Single Sign-On) lub AWS Zarządzanie tożsamością i dostępem (IAM) dla metod uwierzytelniania użytkowników. Obie metody uwierzytelniania mają swój własny zestaw przypadków użycia; w tym poście skupimy się na domenach SageMaker z IAM Identity Center lub trybem pojedynczego logowania (SSO) jako metodą uwierzytelniania.
W trybie SSO konfigurujesz użytkownika i grupę SSO w IAM Identity Center, a następnie udzielasz dostępu grupie SSO lub użytkownikowi z konsoli Studio. Obecnie wszyscy użytkownicy SSO w domenie dziedziczą rolę wykonawczą domeny. To może nie działać we wszystkich organizacjach. Na przykład administratorzy mogą chcieć skonfigurować uprawnienia IAM dla użytkownika Studio SSO na podstawie jego członkostwa w grupie Active Directory (AD). Co więcej, ponieważ administratorzy muszą ręcznie przyznawać użytkownikom SSO dostęp do Studio, proces ten może nie być skalowalny w przypadku dołączania setek użytkowników.
W tym poście przedstawiamy wskazówki dotyczące rozwiązania umożliwiającego obsługę administracyjną użytkowników SSO w Studio z uprawnieniami o najniższych uprawnieniach na podstawie członkostwa w grupie AD. Te wskazówki umożliwiają szybkie skalowanie w celu dołączenia setek użytkowników do programu Studio i osiągnięcie stanu bezpieczeństwa i zgodności.
Omówienie rozwiązania
Poniższy schemat ilustruje architekturę rozwiązania.
Przepływ pracy dotyczący obsługi administracyjnej użytkowników AD w Studio obejmuje następujące kroki:
- Ustawić Domena Studio w trybie logowania jednokrotnego.
- Dla każdej grupy AD:
- Skonfiguruj swoją rolę wykonawczą w Studio z odpowiednimi szczegółowymi zasadami IAM
- Zarejestruj wpis w mapowaniu ról grupowych AD Amazon DynamoDB tabela.
Alternatywnie możesz przyjąć standard nazewnictwa dla ARN ról IAM na podstawie nazwy grupy AD i wyprowadzić ARN roli IAM bez konieczności przechowywania mapowania w zewnętrznej bazie danych.
- Synchronizuj użytkowników AD, grupy i członkostwa z AWS Identity Center:
- Jeśli korzystasz z dostawcy tożsamości (dostawcy tożsamości), który obsługuje standard scim, użyj integracji interfejsu scim API z usługą IAM Identity Center.
- Jeśli korzystasz z samodzielnie zarządzanej usługi AD, możesz użyć łącznika usługi AD.
- Po utworzeniu grupy AD w firmowej usłudze AD wykonaj następujące czynności:
- Utwórz odpowiednią grupę SSO w IAM Identity Center.
- Powiąż grupę SSO z domeną Studio za pomocą konsoli SageMaker.
- Kiedy użytkownik AD jest tworzony w firmowym AD, odpowiedni użytkownik SSO jest tworzony w IAM Identity Center.
- Gdy użytkownik AD jest przypisany do grupy AD, interfejs API IAM Identity Center (Utwórz członkostwo w grupie) jest wywoływana i tworzone jest członkostwo w grupie SSO.
- Poprzednie zdarzenie jest rejestrowane Chmura AWS z nazwą
AddMemberToGroup
. - An Most zdarzeń Amazona reguła nasłuchuje zdarzeń CloudTrail i dopasowuje
AddMemberToGroup
wzór reguły. - Reguła EventBridge wyzwala element docelowy AWS Lambda funkcja.
- Ta funkcja lambda wywoła zwrotnie interfejsy API IAM Identity Center, pobierze informacje o użytkowniku i grupie logowania jednokrotnego oraz wykona następujące czynności w celu utworzenia profilu użytkownika Studio (Utwórz profil użytkownika) dla użytkownika SSO:
- Wyszukaj tabelę DynamoDB, aby pobrać rolę IAM odpowiadającą grupie AD.
- Utwórz profil użytkownika z użytkownikiem SSO i rolą IAM uzyskaną z tabeli przeglądowej.
- Użytkownik SSO uzyskuje dostęp do Studio.
- Użytkownik logowania jednokrotnego jest przekierowywany do środowiska IDE Studio przez adres URL domeny Studio.
Pamiętaj, że w chwili pisania tego tekstu krok 4b (powiązanie grupy logowania jednokrotnego z domeną Studio) musi być wykonany ręcznie przez administratora przy użyciu konsoli SageMaker na poziomie domeny SageMaker.
Skonfiguruj funkcję Lambda, aby utworzyć profile użytkowników
Rozwiązanie wykorzystuje funkcję Lambda do tworzenia profili użytkowników Studio. Udostępniamy następującą przykładową funkcję Lambda, którą możesz skopiować i zmodyfikować, aby spełniała Twoje potrzeby w zakresie automatyzacji tworzenia profilu użytkownika Studio. Ta funkcja wykonuje następujące czynności:
- Odbierz CloudTrail
AddMemberToGroup
zdarzenie z EventBridge. - Odzyskaj Studio
DOMAIN_ID
ze zmiennej środowiskowej (możesz alternatywnie zakodować identyfikator domeny lub użyć tabeli DynamoDB, jeśli masz wiele domen). - Czytaj z fikcyjnej tabeli znaczników, aby dopasować użytkowników AD do ról wykonawczych. Możesz to zmienić, aby pobierać z tabeli DynamoDB, jeśli używasz podejścia opartego na tabeli. Jeśli używasz DynamoDB, rola wykonywania funkcji Lambda również wymaga uprawnień do odczytu z tabeli.
- Pobierz informacje o użytkowniku SSO i członkostwie grupy AD z IAM Identity Center na podstawie danych zdarzenia CloudTrail.
- Utwórz profil użytkownika Studio dla użytkownika SSO ze szczegółami logowania jednokrotnego i pasującą rolą wykonawczą.
Pamiętaj, że domyślnie rola Lambda nie ma dostępu do tworzenia profili użytkowników ani wyświetlania listy użytkowników SSO. Po utworzeniu funkcji Lambda uzyskaj dostęp do roli wykonawczej funkcji w IAM i dołącz następujące zasady jako zasady wbudowane po określeniu zakresu zgodnie z wymaganiami Twojej organizacji.
Skonfiguruj regułę EventBridge dla zdarzenia CloudTrail
EventBridge to bezserwerowa usługa magistrali zdarzeń, której można używać do łączenia aplikacji z danymi z różnych źródeł. W tym rozwiązaniu tworzymy wyzwalacz oparty na regułach: EventBridge nasłuchuje zdarzeń i dopasowuje się do podanego wzorca oraz uruchamia funkcję Lambda, jeśli dopasowanie wzorca zakończy się pomyślnie. Jak wyjaśniono w omówieniu rozwiązania, słuchamy pliku AddMemberToGroup
wydarzenie. Aby go skonfigurować, wykonaj następujące czynności:
- W konsoli EventBridge wybierz Zasady w okienku nawigacji.
- Dodaj Stwórz zasadę.
- Podaj nazwę reguły, np.
AddUserToADGroup
. - Opcjonalnie wprowadź opis.
- Wybierz domyślnym do autobusu imprezy.
- Pod Typ reguływybierz Reguła z wzorcem zdarzeń, A następnie wybierz Następna.
- Na Zbuduj wzorzec zdarzenia wybierz stronę Źródło zdarzenia as Zdarzenia AWS lub wydarzenia partnerskie EventBridge.
- Pod Wzór zdarzenia, Wybierz Niestandardowe wzorce (edytor JSON) zakładkę i wprowadź następujący wzór:
- Dodaj Następna.
- Na Wybierz cele wybierz usługę AWS jako typ celu, funkcję Lambda jako cel oraz funkcję, którą utworzyłeś wcześniej, a następnie wybierz Następna.
- Dodaj Następna na Skonfiguruj tagi stronę, a następnie wybierz Stwórz zasadę na Przejrzyj i utwórz strona.
Po ustawieniu funkcji Lambda i reguły EventBridge możesz przetestować to rozwiązanie. Aby to zrobić, otwórz dostawcę tożsamości i dodaj użytkownika do jednej z grup AD z mapowaną rolą wykonawczą Studio. Po dodaniu użytkownika możesz zweryfikować dzienniki funkcji Lambda, aby sprawdzić zdarzenie, a także zobaczyć, czy użytkownik Studio został automatycznie zainicjowany. Dodatkowo możesz skorzystać z tzw Opisz profil użytkownika Wywołanie interfejsu API w celu sprawdzenia, czy użytkownik został utworzony z odpowiednimi uprawnieniami.
Obsługa wielu kont Studio
Aby obsługiwać wiele kont Studio z poprzednią architekturą, zalecamy następujące zmiany:
- Skonfiguruj grupę AD zmapowaną na każdym poziomie konta Studio.
- Skonfiguruj rolę uprawnień na poziomie grupy na każdym koncie Studio.
- Skonfiguruj lub wyprowadź mapowanie roli grupy na uprawnienia.
- Skonfiguruj funkcję Lambda do wykonania założenie roli cross-account, w oparciu o mapowanie ról IAM ARN i utworzony profil użytkownika.
Wyrejestrowywanie użytkowników
Gdy użytkownik zostanie usunięty z grupy AD, należy usunąć jego dostęp również z domeny Studio. W przypadku logowania jednokrotnego po usunięciu użytkownika użytkownik jest automatycznie wyłączany w IAM Identity Center, jeśli synchronizacja AD z IAM Identity Center jest na miejscu, a jego dostęp do aplikacji Studio jest natychmiast odbierany.
Jednak profil użytkownika w Studio nadal istnieje. Możesz dodać podobny przepływ pracy z CloudTrail i funkcją Lambda, aby usunąć profil użytkownika ze Studio. Wyzwalacz EventBridge powinien teraz nasłuchiwać Usuń członkostwo w grupie wydarzenie. W funkcji Lambda wykonaj następujące kroki:
- Uzyskaj nazwę profilu użytkownika z identyfikatora użytkownika i grupy.
- Wyświetl listę wszystkich uruchomionych aplikacji dla profilu użytkownika za pomocą ListaAplikacji Wywołanie API, filtrowanie według
UserProfileNameEquals
parametr. Pamiętaj, aby sprawdzić odpowiedź podzieloną na strony, aby wyświetlić listę wszystkich aplikacji dla użytkownika. - Usuń wszystkie uruchomione aplikacje użytkownika i poczekaj, aż wszystkie aplikacje zostaną usunięte. Możesz użyć Opisz aplikację API, aby wyświetlić stan aplikacji.
- Gdy wszystkie aplikacje znajdują się w Usunięte stan (lub Failed), usuń profil użytkownika.
Dzięki temu rozwiązaniu administratorzy platformy ML mogą utrzymywać członkostwo w grupach w jednej centralnej lokalizacji i automatyzować zarządzanie profilami użytkowników Studio za pomocą funkcji EventBridge i Lambda.
Poniższy kod przedstawia przykładowe zdarzenie CloudTrail:
Poniższy kod przedstawia przykładowe żądanie interfejsu API profilu użytkownika Studio:
Wnioski
W tym poście omówiliśmy sposób, w jaki administratorzy mogą skalować wdrażanie Studio dla setek użytkowników na podstawie ich członkostwa w grupie AD. Zademonstrowaliśmy kompleksową architekturę rozwiązania, którą organizacje mogą zastosować, aby zautomatyzować i skalować proces wdrażania w celu spełnienia swoich potrzeb w zakresie elastyczności, bezpieczeństwa i zgodności. Jeśli szukasz skalowalnego rozwiązania do automatyzacji wdrażania użytkowników, wypróbuj to rozwiązanie i zostaw swoją opinię poniżej! Aby uzyskać więcej informacji na temat dołączania do programu Studio, zobacz Na pokładzie do domeny Amazon SageMaker.
O autorach
Rama Vittal jest Architektem Rozwiązań Specjalistycznych ML w AWS. Ma ponad 20-letnie doświadczenie w architekturze i budowaniu aplikacji rozproszonych, hybrydowych i chmurowych. Pasjonuje się tworzeniem bezpiecznych i skalowalnych rozwiązań AI/ML i big data, aby pomóc klientom korporacyjnym w ich wdrażaniu i optymalizacji w chmurze w celu poprawy wyników biznesowych. W wolnym czasie jeździ na motocyklu i spaceruje ze swoją 2-letnią owcą-doodlem!
Durga Sury jest Architektem Rozwiązań ML w zespole Amazon SageMaker Service SA. Jej pasją jest udostępnianie uczenia maszynowego wszystkim. W ciągu 4 lat pracy w AWS pomogła skonfigurować platformy AI/ML dla klientów korporacyjnych. Kiedy nie pracuje, uwielbia przejażdżki motocyklem, powieści kryminalne i wędrówki ze swoim 5-letnim husky.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 1
- 11
- 116
- 20
- 20 roku
- 200
- 22
- 24
- 7
- 9
- a
- O nas
- Akceptuj
- dostęp
- dostępny
- Konto
- Konta
- Osiągać
- Działania
- działania
- aktywny
- Ad
- Dodaj
- w dodatku
- do tego
- Admin
- Administratorzy
- przyjąć
- Przyjęcie
- Po
- przed
- AI / ML
- Wszystkie kategorie
- dopuszczać
- również
- Amazonka
- Amazon Sage Maker
- Studio Amazon SageMaker
- Amazon Web Services
- an
- i
- api
- Pszczoła
- Zastosowanie
- aplikacje
- podejście
- właściwy
- mobilne i webowe
- architektura
- SĄ
- AS
- przydzielony
- Współpracownik
- powiązany
- założenie
- At
- dołączać
- Uwierzytelnianie
- upoważniony
- zautomatyzować
- automatycznie
- automatyzacja
- AWS
- z powrotem
- na podstawie
- BE
- bo
- być
- Duży
- Big Data
- ciało
- obie
- budować
- Budowanie
- autobus
- biznes
- by
- wezwanie
- CAN
- Etui
- Centrum
- centralny
- zmiana
- Zmiany
- charakter
- ZOBACZ
- Dodaj
- klient
- Chmura
- adopcja chmury
- kod
- COM
- kompletny
- spełnienie
- Skontaktuj się
- składa się
- Konsola
- skonstruować
- kontekst
- Korporacyjny
- Odpowiedni
- Stwórz
- stworzony
- Tworzenie
- tworzenie
- Obecnie
- Klientów
- dane
- Baza danych
- Domyślnie
- wykazać
- rozwijać
- opis
- detal
- detale
- oprogramowania
- niepełnosprawny
- omówione
- dystrybuowane
- do
- Nie
- robi
- domena
- domeny
- nie
- na dół
- każdy
- Wcześniej
- redaktor
- efekt
- bądź
- więcej
- Umożliwia
- koniec końców
- Wchodzę
- Enterprise
- wejście
- Środowisko
- wydarzenie
- wydarzenia
- wszyscy
- przykład
- egzekucja
- doświadczenie
- wyjaśnione
- zewnętrzny
- fałszywy
- informacja zwrotna
- filet
- filtracja
- i terminów, a
- Skupiać
- następujący
- W razie zamówieenia projektu
- od
- funkcjonować
- Funkcje
- Ponadto
- otrzymać
- przyznać
- udzielony
- Zarządzanie
- Grupy
- poradnictwo
- uchwyt
- Have
- he
- pomoc
- pomógł
- jej
- jego
- W jaki sposób
- HTML
- http
- HTTPS
- Setki
- Hybrydowy
- ID
- tożsamość
- if
- ilustruje
- natychmiast
- importować
- podnieść
- in
- obejmuje
- Informacja
- przykład
- zintegrowany
- integracja
- przywołany
- IT
- podróż
- json
- nauka
- najmniej
- Pozostawiać
- pozwala
- poziom
- Lista
- lokalizacja
- zalogowany
- logika
- poszukuje
- wyszukiwania
- kocha
- maszyna
- uczenie maszynowe
- utrzymać
- robić
- Dokonywanie
- i konserwacjami
- ręcznie
- mapowanie
- Mecz
- dopasowywanie
- Może..
- Poznaj nasz
- członek
- członkostwo
- członkostwa
- metoda
- metody
- ML
- Moda
- modele
- modyfikować
- monitor
- jeszcze
- motocykl
- wielokrotność
- Tajemnica
- Nazwa
- nazywania
- Nawigacja
- Potrzebować
- potrzebne
- potrzeba
- wymagania
- nic
- już dziś
- uzyskane
- of
- OK
- on
- Onboard
- Wprowadzenie
- pewnego razu
- ONE
- koncepcja
- optymalizacja
- or
- organizacja
- organizacji
- OS
- na zewnątrz
- wyniki
- koniec
- przegląd
- własny
- strona
- chleb
- parametr
- partnerem
- namiętny
- Wzór
- wzory
- wykonać
- wykonywane
- wykonuje
- uprawnienia
- utrzymuje się
- Miejsce
- Platforma
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- polityka
- Post
- prywatny
- przywilej
- wygląda tak
- Profil
- profile
- zapewniać
- pod warunkiem,
- dostawca
- zaopatrzenie
- szybko
- Czytaj
- polecić
- region
- usunąć
- Usunięto
- zażądać
- wymagany
- wymagania
- Zasób
- odpowiedź
- powrót
- Rola
- role
- Zasada
- bieganie
- s
- SA
- sagemaker
- skalowalny
- Skala
- Zakres
- bezpieczne
- bezpieczeństwo
- widzieć
- Bezserwerowe
- usługa
- Usługi
- zestaw
- ona
- powinien
- Targi
- podobny
- ponieważ
- pojedynczy
- So
- rozwiązanie
- Rozwiązania
- Źródło
- Źródła
- specjalista
- standard
- Stan
- Zestawienie sprzedaży
- Rynek
- Ewolucja krok po kroku
- Cel
- Nadal
- sklep
- studio
- udany
- wsparcie
- podpory
- stół
- cel
- zespół
- test
- że
- Połączenia
- ich
- następnie
- to
- Przez
- czas
- do
- Pociąg
- wyzwalać
- prawdziwy
- próbować
- rodzaj
- nieznany
- aż do
- URL
- posługiwać się
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- wartość
- różnorodność
- zweryfikować
- wersja
- przez
- Zobacz i wysłuchaj
- Wirtualny
- Tom
- czekać
- chcieć
- we
- sieć
- usługi internetowe
- Web-based
- DOBRZE
- jeśli chodzi o komunikację i motywację
- będzie
- w
- bez
- Praca
- workflow
- pracujący
- pisanie
- lat
- You
- Twój
- zefirnet