Amazon SageMaker Studio je spletno integrirano razvojno okolje (IDE) za strojno učenje (ML), ki vam omogoča gradnjo, usposabljanje, odpravljanje napak, uvajanje in spremljanje vaših modelov ML. Za zagotavljanje programa Studio v vašem računu AWS in regiji morate najprej ustvariti Amazon SageMaker domena—konstrukt, ki zajema vaše okolje ML. Natančneje, domeno SageMaker sestavlja povezana Elastični datotečni sistem Amazon (Amazon EFS), seznam pooblaščenih uporabnikov in vrsto varnosti, aplikacij, pravilnikov in Navidezni zasebni oblak Amazon (Amazon VPC) konfiguracije.
Ko ustvarjate svojo domeno SageMaker, se lahko odločite za uporabo enega ali drugega AWS IAM Identity Center (naslednik AWS Single Sign-On) oz AWS upravljanje identitete in dostopa (IAM) za metode avtentikacije uporabnikov. Oba načina preverjanja pristnosti imata svoj niz primerov uporabe; v tej objavi se osredotočamo na domene SageMaker s središčem identitete IAM ali načinom enotne prijave (SSO) kot metodo preverjanja pristnosti.
Z načinom SSO nastavite uporabnika in skupino SSO v centru za identiteto IAM in nato omogočite dostop skupini ali uporabniku SSO s konzole Studio. Trenutno vsi uporabniki SSO v domeni podedujejo izvršilno vlogo domene. To morda ne bo delovalo pri vseh organizacijah. Na primer, skrbniki bodo morda želeli nastaviti dovoljenja IAM za uporabnika Studio SSO glede na njihovo članstvo v skupini Active Directory (AD). Poleg tega, ker morajo skrbniki uporabnikom SSO ročno odobriti dostop do Studia, se postopek morda ne bo povečal pri vključitvi na stotine uporabnikov.
V tej objavi nudimo predpisane smernice za rešitev za zagotavljanje SSO uporabnikom Studiu z dovoljenji najmanj privilegijev na podlagi članstva v skupini AD. Ta navodila vam omogočajo hitro prilagajanje za vključitev več sto uporabnikov v Studio ter doseganje varnosti in skladnosti.
Pregled rešitev
Naslednji diagram prikazuje arhitekturo rešitev.
Potek dela za zagotavljanje uporabnikov AD v Studiu vključuje naslednje korake:
- Nastavite a Domena Studio v načinu SSO.
- Za vsako skupino AD:
- Nastavite svojo izvajalsko vlogo Studio z ustreznimi podrobnimi pravilniki IAM
- Posnemite vnos v preslikavo vlog skupine AD Amazon DynamoDB miza.
Druga možnost je, da sprejmete standard poimenovanja za ARN vloge IAM na podlagi imena skupine AD in izpeljete ARN vloge IAM, ne da bi morali preslikavo shraniti v zunanjo bazo podatkov.
- Sinhronizirajte svoje uporabnike AD in skupine ter članstva v AWS Identity Center:
- Če uporabljate ponudnika identitete (IdP), ki podpira SCIM, uporabite integracijo SCIM API s središčem identitete IAM.
- Če uporabljate samoupravljani AD, lahko uporabite AD Connector.
- Ko je skupina AD ustvarjena v vašem podjetju AD, dokončajte naslednje korake:
- Ustvarite ustrezno skupino SSO v centru za identiteto IAM.
- S konzolo SageMaker povežite skupino SSO z domeno Studio.
- Ko je uporabnik AD ustvarjen v vašem poslovnem AD, je ustrezen uporabnik SSO ustvarjen v centru za identiteto IAM.
- Ko je uporabnik AD dodeljen skupini AD, API centra za identiteto IAM (CreateGroupMembership) je priklican in ustvarjeno je članstvo v skupini SSO.
- Prejšnji dogodek je prijavljen AWS CloudTrail z imenom
AddMemberToGroup
. - An Amazon EventBridge pravilo posluša dogodke CloudTrail in se ujema z
AddMemberToGroup
vzorec pravila. - Pravilo EventBridge sproži cilj AWS Lambda Funkcija.
- Ta funkcija Lambda bo priklicala API-je središča identitete IAM, pridobila informacije o uporabniku in skupini SSO ter izvedla naslednje korake za ustvarjanje uporabniškega profila Studio (CreateUserProfile) za uporabnika SSO:
- Poiščite tabelo DynamoDB, da pridobite vlogo IAM, ki ustreza skupini AD.
- Ustvarite uporabniški profil z uporabnikom SSO in vlogo IAM, pridobljeno iz iskalne tabele.
- Uporabnik SSO ima dostop do Studia.
- Uporabnik SSO je preusmerjen v Studio IDE prek URL-ja domene Studio.
Upoštevajte, da mora v času pisanja korak 4b (povežite skupino SSO z domeno Studio) ročno izvesti skrbnik s konzolo SageMaker na ravni domene SageMaker.
Nastavite funkcijo Lambda za ustvarjanje uporabniških profilov
Rešitev uporablja funkcijo Lambda za ustvarjanje uporabniških profilov Studio. Ponujamo naslednjo vzorčno funkcijo Lambda, ki jo lahko kopirate in spremenite, da ustreza vašim potrebam po avtomatiziranem ustvarjanju uporabniškega profila Studio. Ta funkcija izvaja naslednja dejanja:
- Prejmite CloudTrail
AddMemberToGroup
dogodek iz EventBridge. - Pridobite Studio
DOMAIN_ID
iz spremenljivke okolja (lahko tudi trdo kodirate ID domene ali uporabite tabelo DynamoDB, če imate več domen). - Preberite iz navidezne označevalne tabele, da povežete uporabnike AD z izvajalskimi vlogami. To lahko spremenite tako, da pridobiva iz tabele DynamoDB, če uporabljate pristop, ki temelji na tabeli. Če uporabljate DynamoDB, potrebuje vloga izvajanja vaše funkcije Lambda tudi dovoljenja za branje iz tabele.
- Pridobite podatke o uporabniku SSO in članstvu v skupini AD iz centra za identiteto IAM na podlagi podatkov o dogodkih CloudTrail.
- Ustvarite uporabniški profil Studio za uporabnika SSO s podrobnostmi o SSO in ujemajočo se izvršilno vlogo.
Upoštevajte, da izvajalska vloga Lambda privzeto nima dostopa za ustvarjanje uporabniških profilov ali seznama uporabnikov SSO. Ko ustvarite funkcijo Lambda, dostopajte do vloge izvajanja funkcije na IAM in priložite naslednji pravilnik kot vgrajeni pravilnik, potem ko po potrebi zmanjšate obseg glede na zahteve vaše organizacije.
Nastavite pravilo EventBridge za dogodek CloudTrail
EventBridge je storitev vodila dogodkov brez strežnika, ki jo lahko uporabite za povezovanje svojih aplikacij s podatki iz različnih virov. V tej rešitvi ustvarimo sprožilec, ki temelji na pravilih: EventBridge posluša dogodke in se ujema s podanim vzorcem ter sproži funkcijo Lambda, če je ujemanje vzorca uspešno. Kot je pojasnjeno v pregledu rešitve, poslušamo AddMemberToGroup
dogodek. Če ga želite nastaviti, izvedite naslednje korake:
- Na konzoli EventBridge izberite Pravila v podoknu za krmarjenje.
- Izberite Ustvari pravilo.
- Navedite ime pravila, npr.
AddUserToADGroup
. - Po želji vnesite opis.
- Izberite privzeto za prireditveni avtobus.
- Pod Vrsta pravila, izberite Pravilo z vzorcem dogodka, nato izberite Naslednji.
- o Zgradite vzorec dogodka stran, izberite Vir dogodek as Dogodki AWS ali partnerski dogodki EventBridge.
- Pod Vzorec dogodka, izberite Vzorci po meri (urejevalnik JSON) in vnesite naslednji vzorec:
- Izberite Naslednji.
- o Izberite cilj(e) izberite storitev AWS za ciljno vrsto, funkcijo Lambda kot cilj in funkcijo, ki ste jo ustvarili prej, nato izberite Naslednji.
- Izberite Naslednji o Konfigurirajte oznake stran, nato izberite Ustvari pravilo o Preglejte in ustvarite stran.
Ko nastavite funkcijo Lambda in pravilo EventBridge, lahko preizkusite to rešitev. To storite tako, da odprete svoj IdP in dodate uporabnika v eno od skupin AD s preslikano izvajalsko vlogo Studio. Ko dodate uporabnika, lahko preverite dnevnike funkcije Lambda, da pregledate dogodek in tudi vidite, da je uporabnik Studio samodejno omogočen. Poleg tega lahko uporabite Opišite uporabniški profil Klic API-ja za preverjanje, ali je uporabnik ustvarjen z ustreznimi dovoljenji.
Podpora za več računov Studio
Za podporo več računov Studio s prejšnjo arhitekturo priporočamo naslednje spremembe:
- Nastavite skupino AD, preslikano na vsako raven računa Studio.
- V vsakem računu Studio nastavite vlogo IAM na ravni skupine.
- Nastavite ali izpeljite skupino v preslikavo vlog IAM.
- Nastavite funkcijo Lambda za izvajanje prevzem vloge med računi, na podlagi preslikave vlog IAM ARN in ustvarjenega uporabniškega profila.
Onemogočanje uporabe uporabnikov
Ko je uporabnik odstranjen iz svoje skupine AD, mu odstranite tudi dostop do domene Studio. Pri SSO, ko je uporabnik odstranjen, je uporabnik samodejno onemogočen v centru za identiteto IAM, če je vzpostavljena sinhronizacija AD s središčem za identiteto IAM, in njegov dostop do aplikacije Studio je takoj preklican.
Vendar uporabniški profil v Studiu še vedno obstaja. Dodate lahko podoben potek dela z CloudTrail in funkcijo Lambda za odstranitev uporabniškega profila iz Studia. Sprožilec EventBridge bi moral zdaj poslušati Izbriši članstvo v skupini dogodek. V funkciji Lambda izvedite naslednje korake:
- Pridobite ime uporabniškega profila iz ID-ja uporabnika in skupine.
- Navedite vse zagnane aplikacije za uporabniški profil z uporabo ListApps API klic, filtriranje po
UserProfileNameEquals
parameter. Ne pozabite preveriti odgovora s stranmi, da navedete vse aplikacije za uporabnika. - Izbrišite vse zagnane aplikacije za uporabnika in počakajte, da se izbrišejo vse aplikacije. Lahko uporabite DescribeApp API za ogled statusa aplikacije.
- Ko so vse aplikacije v a Izbrisano stanje (oz ni uspelo), izbrišite uporabniški profil.
S to rešitvijo lahko skrbniki platforme ML vzdržujejo članstvo v skupinah na eni osrednji lokaciji in avtomatizirajo upravljanje uporabniškega profila Studio prek funkcij EventBridge in Lambda.
Naslednja koda prikazuje vzorec dogodka CloudTrail:
Naslednja koda prikazuje vzorčno zahtevo API uporabniškega profila Studio:
zaključek
V tej objavi smo razpravljali o tem, kako lahko skrbniki razširijo vkrcanje v Studio za stotine uporabnikov glede na njihovo članstvo v skupini AD. Prikazali smo arhitekturo rešitev od konca do konca, ki jo lahko organizacije sprejmejo za avtomatizacijo in prilagoditev procesa vkrcanja, da bi izpolnile svoje potrebe po agilnosti, varnosti in skladnosti. Če iščete razširljivo rešitev za avtomatizacijo vkrcanja uporabnikov, preizkusite to rešitev in spodaj pustite povratne informacije! Za več informacij o vključitvi v Studio glejte Vkrcajte se na domeno Amazon SageMaker.
O avtorjih
Ram Vittal je specialist za rešitve ML pri AWS. Ima več kot 20 let izkušenj z arhitekturo in gradnjo porazdeljenih, hibridnih in oblačnih aplikacij. Navdušen je nad gradnjo varnih in razširljivih rešitev AI/ML in velikih podatkovnih rešitev, da bi podjetniškim strankam pomagal pri sprejemanju oblaka in optimizaciji za izboljšanje njihovih poslovnih rezultatov. V prostem času se vozi z motorjem in se sprehaja s svojo 2-letno ovco-a-doodle!
Durga Sury je arhitekt rešitev ML v skupini Amazon SageMaker Service SA. Navdušena je nad tem, da bi strojno učenje postalo dostopno vsem. V štirih letih pri AWS je pomagala vzpostaviti platforme AI/ML za poslovne stranke. Ko ni v službi, obožuje vožnje z motorjem, skrivnostne romane in pohodništvo s svojim 4-letnim haskijem.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- EVM Finance. Poenoten vmesnik za decentralizirane finance. Dostopite tukaj.
- Quantum Media Group. IR/PR ojačan. Dostopite tukaj.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- vir: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :ima
- : je
- :ne
- $GOR
- 1
- 11
- 116
- 20
- 20 let
- 200
- 22
- 24
- 7
- 9
- a
- O meni
- Sprejmi
- dostop
- dostopen
- Račun
- računi
- Doseči
- Ukrep
- dejavnosti
- aktivna
- Ad
- dodajte
- dodano
- Poleg tega
- admin
- administratorji
- sprejme
- Sprejetje
- po
- proti
- AI / ML
- vsi
- omogočajo
- Prav tako
- Amazon
- Amazon SageMaker
- Amazon SageMaker Studio
- Amazon Web Services
- an
- in
- API
- API-ji
- uporaba
- aplikacije
- pristop
- primerno
- aplikacije
- Arhitektura
- SE
- AS
- dodeljena
- Sodelavec
- povezan
- predpostavka
- At
- pripisujejo
- Preverjanje pristnosti
- pooblaščeni
- avtomatizirati
- samodejno
- avtomatizacija
- AWS
- nazaj
- temeljijo
- BE
- ker
- bilo
- Big
- Big Podatki
- telo
- tako
- izgradnjo
- Building
- avtobus
- poslovni
- by
- klic
- CAN
- primeri
- center
- Osrednji
- spremenite
- Spremembe
- značaja
- preveriti
- Izberite
- stranke
- Cloud
- sprejem v oblak
- Koda
- COM
- dokončanje
- skladnost
- Connect
- vsebuje
- Konzole
- gradnjo
- ozadje
- Corporate
- Ustrezno
- ustvarjajo
- ustvaril
- Ustvarjanje
- Oblikovanje
- Trenutno
- Stranke, ki so
- datum
- Baze podatkov
- privzeto
- Dokazano
- razporedi
- opis
- Podatki
- Podrobnosti
- Razvoj
- onemogočena
- razpravljali
- porazdeljena
- do
- Ne
- tem
- domena
- domen
- dont
- navzdol
- vsak
- prej
- urednik
- učinek
- bodisi
- ostalo
- E-naslov
- omogoča
- konec koncev
- Vnesite
- Podjetje
- Vpis
- okolje
- Event
- dogodki
- vsi
- Primer
- izvedba
- izkušnje
- razložiti
- zunanja
- false
- povratne informacije
- file
- filtriranje
- prva
- Osredotočite
- po
- za
- iz
- funkcija
- funkcije
- Poleg tega
- dobili
- odobri
- odobreno
- skupina
- Skupine
- Navodila
- ročaj
- Imajo
- he
- pomoč
- pomagal
- jo
- njegov
- Kako
- HTML
- http
- HTTPS
- Stotine
- Hybrid
- ID
- identiteta
- if
- ponazarja
- takoj
- uvoz
- izboljšanje
- in
- vključuje
- Podatki
- primer
- integrirana
- integracija
- sklican
- IT
- Potovanje
- json
- učenje
- vsaj
- pustite
- Lets
- Stopnja
- Seznam
- kraj aktivnosti
- prijavljen
- Logika
- si
- iskanje
- ljubi
- stroj
- strojno učenje
- vzdrževati
- Znamka
- Izdelava
- upravljanje
- ročno
- kartiranje
- Stave
- ujemanje
- Maj ..
- Srečati
- član
- članstvo
- članstva
- Metoda
- Metode
- ML
- način
- modeli
- spremenite
- monitor
- več
- motorno kolo
- več
- Mystery
- Ime
- poimenovanje
- ostalo
- Nimate
- potrebna
- potrebujejo
- potrebe
- nič
- zdaj
- pridobljeni
- of
- OKTA
- on
- Na krovu
- Na vkrcanje
- enkrat
- ONE
- odprite
- optimizacija
- or
- Organizacija
- organizacije
- OS
- ven
- rezultatov
- več
- pregled
- lastne
- Stran
- podokno
- parameter
- partner
- strastno
- Vzorec
- vzorci
- Izvedite
- opravljeno
- opravlja
- Dovoljenja
- vztraja
- Kraj
- platforma
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- politika
- Prispevek
- zasebna
- privilegij
- Postopek
- profil
- Profili
- zagotavljajo
- če
- Ponudnik
- zagotavljanje
- hitro
- Preberi
- Priporočamo
- okolica
- odstrani
- Odstranjeno
- zahteva
- obvezna
- Zahteve
- vir
- Odgovor
- vrnitev
- vloga
- vloge
- Pravilo
- tek
- s
- SA
- sagemaker
- razširljive
- Lestvica
- Področje uporabe
- zavarovanje
- varnost
- glej
- Brez strežnika
- Storitev
- Storitve
- nastavite
- je
- shouldnt
- Razstave
- Podoben
- saj
- sam
- So
- Rešitev
- rešitve
- vir
- Viri
- specialist
- standardna
- Država
- Izjava
- Status
- Korak
- Koraki
- Še vedno
- trgovina
- studio
- uspešno
- podpora
- Podpira
- miza
- ciljna
- skupina
- Test
- da
- O
- njihove
- POTEM
- ta
- skozi
- čas
- do
- Vlak
- sprožijo
- Res
- poskusite
- tip
- neznan
- dokler
- URL
- uporaba
- uporabnik
- Uporabniki
- uporablja
- uporabo
- vrednost
- raznolikost
- preverjanje
- različica
- preko
- Poglej
- Virtual
- Obseg
- Počakaj
- želeli
- we
- web
- spletne storitve
- Web-Based
- Dobro
- kdaj
- bo
- z
- brez
- delo
- potek dela
- deluje
- pisanje
- let
- Vi
- Vaša rutina za
- zefirnet