Студия Amazon SageMaker — это интегрированная веб-среда разработки (IDE) для машинного обучения (ML), которая позволяет создавать, обучать, отлаживать, развертывать и отслеживать модели ML. Для инициализации Studio в вашей учетной записи AWS и регионе сначала необходимо создать Создатель мудреца Амазонки домен — конструкция, которая инкапсулирует вашу среду машинного обучения. Более конкретно, домен SageMaker состоит из связанного Эластичная файловая система Amazon (Amazon EFS), список авторизованных пользователей и различные параметры безопасности, приложений, политик и Виртуальное частное облако Amazon (Amazon VPC).
При создании домена SageMaker вы можете использовать либо Центр идентификации AWS IAM (преемник AWS Single Sign-On) или Управление идентификацией и доступом AWS (IAM) для методов аутентификации пользователей. Оба метода аутентификации имеют свой собственный набор вариантов использования; в этом посте мы сосредоточимся на доменах SageMaker с IAM Identity Center или режимом единого входа (SSO) в качестве метода аутентификации.
В режиме единого входа вы настраиваете пользователя и группу единого входа в IAM Identity Center, а затем предоставляете доступ либо группе единого входа, либо пользователю из консоли Studio. В настоящее время все пользователи системы единого входа в домене наследуют роль выполнения домена. Это может не сработать для всех организаций. Например, администраторы могут захотеть настроить разрешения IAM для пользователя Studio SSO на основе его членства в группе Active Directory (AD). Кроме того, поскольку администраторы должны вручную предоставлять пользователям SSO доступ к Studio, процесс может не масштабироваться при подключении сотен пользователей.
В этом посте мы даем рекомендации по решению для предоставления пользователям единого входа в Studio с минимальными привилегиями на основе членства в группе AD. Это руководство позволит вам быстро масштабироваться для подключения сотен пользователей к Studio и достичь уровня безопасности и соответствия требованиям.
Обзор решения
Следующая диаграмма иллюстрирует архитектуру решения.
Рабочий процесс подготовки пользователей AD в Studio включает следующие шаги:
- Настройка Домен Studio в режиме единого входа.
- Для каждой группы объявлений:
- Настройте роль выполнения Studio с соответствующими детализированными политиками IAM.
- Запишите запись в сопоставлении групповых ролей AD. Amazon DynamoDB таблице.
Кроме того, вы можете принять стандарт именования для ARN ролей IAM на основе имени группы AD и получить ARN роли IAM без необходимости сохранять сопоставление во внешней базе данных.
- Синхронизируйте пользователей и группы AD, а также членство в AWS Identity Center:
- Если вы используете поставщика удостоверений (IdP), который поддерживает SCIM, используйте интеграцию SCIM API с IAM Identity Center.
- Если вы используете AD с самостоятельным управлением, вы можете использовать AD Connector.
- Когда группа AD создана в вашей корпоративной AD, выполните следующие шаги:
- Создайте соответствующую группу SSO в IAM Identity Center.
- Свяжите группу единого входа с доменом Studio с помощью консоли SageMaker.
- Когда пользователь AD создается в вашей корпоративной AD, соответствующий пользователь SSO создается в IAM Identity Center.
- Когда пользователь AD назначается группе AD, API IAM Identity Center (Создать членство в группе) вызывается, и создается членство в группе SSO.
- Предыдущее событие регистрируется AWS CloudTrail с именем
AddMemberToGroup
. - An Amazon EventBridge правило прослушивает события CloudTrail и сопоставляет
AddMemberToGroup
образец правила. - Правило EventBridge запускает цель AWS Lambda функции.
- Эта функция Lambda будет вызывать API-интерфейсы IAM Identity Center, получать информацию о пользователе и группе SSO и выполнять следующие шаги для создания профиля пользователя Studio (Создать профиль пользователя) для пользователя системы единого входа:
- Найдите в таблице DynamoDB роль IAM, соответствующую группе AD.
- Создайте профиль пользователя с пользователем SSO и ролью IAM, полученной из таблицы поиска.
- Пользователю SSO предоставляется доступ к Studio.
- Пользователь системы единого входа перенаправляется в Studio IDE через URL-адрес домена Studio.
Обратите внимание, что на момент написания шаг 4b (связывание группы SSO с доменом Studio) должен выполняться вручную администратором с помощью консоли SageMaker на уровне домена SageMaker.
Настройте функцию Lambda для создания профилей пользователей.
Решение использует функцию Lambda для создания профилей пользователей Studio. Мы предоставляем следующий пример функции Lambda, которую вы можете скопировать и изменить в соответствии с вашими потребностями для автоматизации создания профиля пользователя Studio. Эта функция выполняет следующие действия:
- Получите CloudTrail
AddMemberToGroup
событие от EventBridge. - Получить студию
DOMAIN_ID
из переменной среды (вы также можете жестко закодировать идентификатор домена или использовать таблицу DynamoDB, если у вас несколько доменов). - Считайте фиктивную таблицу разметки, чтобы сопоставить пользователей AD с ролями выполнения. Вы можете изменить это на выборку из таблицы DynamoDB, если вы используете подход на основе таблиц. Если вы используете DynamoDB, роль выполнения вашей функции Lambda также требует разрешения на чтение из таблицы.
- Получите информацию о пользователе единого входа и членстве в группе AD из IAM Identity Center на основе данных о событиях CloudTrail.
- Создайте профиль пользователя Studio для пользователя единого входа с данными единого входа и соответствующей ролью выполнения.
Обратите внимание, что по умолчанию роль выполнения Lambda не имеет доступа для создания профилей пользователей или списка пользователей единого входа. После создания функции Lambda получите доступ к роли выполнения функции в IAM и присоедините следующую политику в качестве встроенной политики после уменьшения области действия по мере необходимости в соответствии с требованиями вашей организации.
Настройте правило EventBridge для события CloudTrail.
EventBridge — это бессерверная служба шины событий, которую можно использовать для подключения приложений к данным из различных источников. В этом решении мы создаем триггер на основе правил: EventBridge прослушивает события и сопоставляет их с предоставленным шаблоном и запускает лямбда-функцию, если сопоставление с шаблоном успешно. Как объяснялось в обзоре решения, мы прислушиваемся к AddMemberToGroup
событие. Чтобы настроить его, выполните следующие шаги:
- В консоли EventBridge выберите Правила в навигационной панели.
- Выберите Создать правило.
- Укажите имя правила, например,
AddUserToADGroup
. - При желании введите описание.
- Выберите по умолчанию для автобуса мероприятия.
- Под Тип правила, выберите Правило с шаблоном события, а затем выберите Следующая.
- На Построить шаблон события выберите страницу Источник события as События AWS или партнерские мероприятия EventBridge.
- Под Схема событий, выбрать Пользовательские шаблоны (редактор JSON) вкладку и введите следующий шаблон:
- Выберите Следующая.
- На Выберите цель(и) выберите сервис AWS для целевого типа, функцию Lambda в качестве цели и функцию, которую вы создали ранее, затем выберите Следующая.
- Выберите Следующая на Настроить теги страницу, затем выберите Создать правило на Просмотрите и создайте стр.
После настройки функции Lambda и правила EventBridge можно протестировать это решение. Для этого откройте своего поставщика удостоверений и добавьте пользователя в одну из групп AD с сопоставленной ролью выполнения Studio. После добавления пользователя вы можете проверить журналы функции Lambda, чтобы проверить событие, а также увидеть, что пользователь Studio подготовлен автоматически. Кроме того, вы можете использовать Описать профиль пользователя Вызов API для проверки того, что пользователь создан с соответствующими разрешениями.
Поддержка нескольких учетных записей Studio
Для поддержки нескольких учетных записей Studio с предыдущей архитектурой мы рекомендуем внести следующие изменения:
- Настройте группу AD, сопоставленную с каждым уровнем учетной записи Studio.
- Настройте роль IAM на уровне группы в каждой учетной записи Studio.
- Настройте или создайте сопоставление группы с ролями IAM.
- Настройте лямбда-функцию для выполнения предположение о роли между учетными записями, на основе сопоставления ролей IAM ARN и созданного профиля пользователя.
Удаление пользователей
Когда пользователь удаляется из своей группы AD, вы также должны лишить его доступа к домену Studio. При использовании единого входа при удалении пользователя он автоматически отключается в IAM Identity Center, если выполняется синхронизация между AD и IAM Identity Center, и его доступ к приложению Studio немедленно аннулируется.
Однако профиль пользователя в Studio по-прежнему сохраняется. Вы можете добавить аналогичный рабочий процесс с CloudTrail и функцией Lambda, чтобы удалить профиль пользователя из Studio. Теперь триггер EventBridge должен прослушивать УдалитьГрупповое Членство событие. В функции Lambda выполните следующие шаги:
- Получите имя профиля пользователя из идентификатора пользователя и группы.
- Перечислите все запущенные приложения для профиля пользователя, используя Список приложений Вызов API, фильтрация по
UserProfileNameEquals
параметр. Обязательно проверьте ответ с разбивкой на страницы, чтобы получить список всех приложений для пользователя. - Удалите все запущенные приложения для пользователя и подождите, пока все приложения не будут удалены. Вы можете использовать Описать приложение API для просмотра статуса приложения.
- Когда все приложения находятся в Удаленный государство (или Oшибка), удалите профиль пользователя.
С помощью этого решения администраторы платформы машинного обучения могут централизованно управлять членством в группах и автоматизировать управление профилями пользователей Studio с помощью функций EventBridge и Lambda.
В следующем коде показан пример события CloudTrail:
В следующем коде показан пример запроса API профиля пользователя Studio:
Заключение
В этом посте мы обсудили, как администраторы могут масштабировать адаптацию Studio для сотен пользователей в зависимости от их членства в группе AD. Мы продемонстрировали комплексную архитектуру решения, которую организации могут использовать для автоматизации и масштабирования процесса адаптации в соответствии со своими потребностями в гибкости, безопасности и соответствии требованиям. Если вы ищете масштабируемое решение для автоматизации регистрации пользователей, попробуйте это решение и оставьте отзыв ниже! Дополнительные сведения о подключении к Studio см. Подключение к домену Amazon SageMaker.
Об авторах
Рам Виттал является специалистом по машинному обучению, архитектором решений в AWS. Он имеет более чем 20-летний опыт проектирования и создания распределенных, гибридных и облачных приложений. Он увлечен созданием безопасных и масштабируемых решений AI/ML и больших данных, чтобы помочь корпоративным клиентам в их переходе на облачные технологии и их оптимизации для улучшения их бизнес-результатов. В свободное время он ездит на мотоцикле и гуляет со своей 2-летней овцой-каракулем!
Дурга Сьюри является архитектором решений машинного обучения в команде Amazon SageMaker Service SA. Она увлечена тем, чтобы сделать машинное обучение доступным для всех. За 4 года работы в AWS она помогла настроить платформы AI/ML для корпоративных клиентов. Когда она не работает, она любит поездки на мотоцикле, детективные романы и пешие прогулки со своей 5-летней хаски.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
- Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Источник: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :имеет
- :является
- :нет
- $UP
- 1
- 11
- 116
- 20
- 20 лет
- 200
- 22
- 24
- 7
- 9
- a
- О нас
- Принять
- доступ
- доступной
- Учетная запись
- Учетные записи
- Достигать
- Действие
- действия
- активный
- Ad
- Добавить
- добавленный
- Дополнительно
- Администратор
- администраторы
- принять
- Принятие
- После
- против
- AI / ML
- Все
- позволять
- причислены
- Amazon
- Создатель мудреца Амазонки
- Студия Amazon SageMaker
- Amazon Web Services
- an
- и
- API
- API
- Применение
- Приложения
- подхода
- соответствующий
- Программы
- архитектура
- МЫ
- AS
- назначенный
- Юрист
- связанный
- предположение
- At
- прикреплять
- Аутентификация
- уполномоченный
- автоматизировать
- автоматически
- Автоматизация
- AWS
- назад
- основанный
- BE
- , так как:
- было
- большой
- Big Data
- тело
- изоферменты печени
- строить
- Строительство
- автобус
- бизнес
- by
- призывают
- CAN
- случаев
- Центр
- центральный
- изменение
- изменения
- персонаж
- проверка
- Выберите
- клиент
- облако
- принятие облака
- код
- COM
- полный
- Соответствие закону
- Свяжитесь
- состоит
- Консоли
- строить
- контекст
- Корпоративное
- соответствующий
- Создайте
- создали
- Создающий
- создание
- В настоящее время
- Клиенты
- данным
- База данных
- По умолчанию
- убивают
- развертывание
- описание
- подробность
- подробнее
- Развитие
- инвалид
- обсуждается
- распределенный
- do
- не
- дело
- домен
- доменов
- Dont
- вниз
- каждый
- Ранее
- редактор
- эффект
- или
- еще
- позволяет
- впритык
- Enter
- Предприятие
- запись
- Окружающая среда
- События
- События
- все члены
- пример
- выполнение
- опыт
- объяснены
- и, что лучший способ
- ложный
- Обратная связь
- Файл
- фильтрация
- Во-первых,
- Фокус
- после
- Что касается
- от
- функция
- Функции
- Более того
- получить
- предоставлять
- предоставленный
- группы
- Группы
- руководство
- обрабатывать
- Есть
- he
- помощь
- помог
- ее
- его
- Как
- HTML
- HTTP
- HTTPS
- Сотни
- Гибридный
- ID
- Личность
- if
- иллюстрирует
- немедленно
- Импортировать
- улучшать
- in
- включает в себя
- информация
- пример
- интегрированный
- интеграции.
- вызывается
- IT
- путешествие
- JSON
- изучение
- наименее
- Оставлять
- Lets
- уровень
- Список
- расположение
- Войти
- логика
- искать
- поиск
- любит
- машина
- обучение с помощью машины
- поддерживать
- сделать
- Создание
- управление
- вручную
- отображение
- Совпадение
- согласование
- Май..
- Встречайте
- член
- членство
- Членство
- метод
- методы
- ML
- режим
- Модели
- изменять
- монитор
- БОЛЕЕ
- мотоцикл
- с разными
- Тайна
- имя
- именования
- Навигация
- Необходимость
- необходимый
- нуждающихся
- потребности
- ничего
- сейчас
- полученный
- of
- ОКТА
- on
- Onboard
- Вводный
- консолидировать
- ONE
- открытый
- оптимизация
- or
- организация
- организации
- OS
- внешний
- Результаты
- за
- обзор
- собственный
- страница
- хлеб
- параметр
- партнер
- страстный
- шаблон
- паттеранами
- Выполнять
- выполнены
- выполняет
- Разрешения
- сохраняется
- Часть
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- После
- частная
- привилегия
- процесс
- Профиль
- Профили
- обеспечивать
- при условии
- Недвижимости
- обеспечение
- быстро
- Читать
- рекомендовать
- область
- удаление
- удален
- запросить
- обязательный
- Требования
- ресурс
- ответ
- возвращают
- Роли
- роли
- Правило
- Бег
- s
- SA
- sagemaker
- масштабируемые
- Шкала
- Обзорный
- безопасный
- безопасность
- посмотреть
- Serverless
- обслуживание
- Услуги
- набор
- она
- должен
- Шоу
- аналогичный
- с
- одинарной
- So
- Решение
- Решения
- Источник
- Источники
- специалист
- стандарт
- Область
- заявление
- Статус:
- Шаг
- Шаги
- По-прежнему
- магазин
- студия
- успешный
- поддержка
- Поддержка
- ТАБЛИЦЫ
- цель
- команда
- тестXNUMX
- который
- Ассоциация
- их
- тогда
- этой
- Через
- время
- в
- Train
- вызвать
- правда
- стараться
- напишите
- неизвестный
- до
- URL
- использование
- Информация о пользователе
- пользователей
- использования
- через
- ценностное
- разнообразие
- проверить
- версия
- с помощью
- Вид
- Виртуальный
- объем
- ждать
- хотеть
- we
- Web
- веб-сервисы
- Web-Based
- ЧТО Ж
- когда
- будете
- без
- Работа
- рабочий
- работает
- письмо
- лет
- Ты
- ВАШЕ
- зефирнет