Maskininlärningsadministratörer (ML) spelar en avgörande roll för att upprätthålla säkerheten och integriteten för ML-arbetsbelastningar. Deras primära fokus är att säkerställa att användarna arbetar med största möjliga säkerhet och följer principen om minsta privilegium. Men att tillgodose olika behov hos olika användare och skapa lämpliga behörighetspolicyer kan ibland hindra smidigheten. För att möta denna utmaning introducerade AWS Amazon SageMaker Roll Manager i december 2022. SageMaker Role Manager är ett kraftfullt verktyg som du kan använda för att snabbt utveckla personbaserade roller, som enkelt kan anpassas för att möta specifika krav.
Med SageMaker Role Manager kan administratörer effektivt definiera personbaserade roller skräddarsydda för distinkta användargrupper. Detta tillvägagångssätt säkerställer att individer endast har tillgång till de resurser och åtgärder som är nödvändiga för deras uppgifter, vilket minskar risken för obehöriga åtgärder eller intrång. SageMaker Role Manager möjliggör också finkornig anpassning. ML-administratörer kan skräddarsy rollerna för att möta specifika krav genom att ändra behörigheterna för varje persona. Denna flexibilitet säkerställer att behörigheterna överensstämmer exakt med enskilda användares uppgifter och ansvar, vilket ger ett robust säkerhetsramverk samtidigt som det tar emot unika användningsfall.
SageMaker Role Manager är för närvarande tillgänglig på Amazon SageMaker konsol för alla kommersiella regioner. Idag lanserar vi möjligheten att definiera anpassade behörigheter på några minuter med SageMaker Role Manager via AWS Cloud Development Kit (AWS CDK). Detta löser ett kritiskt hinder för en bredare användning eftersom ML-administratörer nu kan automatisera sina uppgifter programmatiskt. Med kraften i AWS CDK kan ML-administratörer effektivisera arbetsflöden, minska manuella ansträngningar och säkerställa konsekvens i hanteringen av behörigheter för sin ML-infrastruktur.
Lösningsöversikt
Med lanseringen av SageMaker Role Manager CDK lanserar vi två nya infrastrukturer som kodfunktioner (IaC):
Du kan skapa finkorniga AWS identitets- och åtkomsthantering (IAM) roller för ML-personas som datavetare, ML-ingenjör eller dataingenjör. SageMaker Role Manager erbjuder fördefinierade personas och ML-aktiviteter kombinerade för att effektivisera din tillståndsgenereringsprocess, vilket gör att dina ML-utövare kan utföra sitt ansvar med minsta behörighet. För säker åtkomst till dina ML-resurser låter SageMaker Role Manager dig ange nätverks- och krypteringsbehörigheter för Amazon Virtual Private Cloud (Amazon VPC) resurser och AWS nyckelhanteringstjänst (AWS KMS) krypteringsnycklar. Dessutom kan du anpassa behörigheter genom att bifoga dina egna kundhanterade policyer.
SageMaker Role Manager CDK låter dig definiera anpassade behörigheter för SageMaker-användare på några minuter. Den levereras med en uppsättning fördefinierade policymallar för olika personas och ML-aktiviteter. Personas representerar de olika typerna av användare som behöver tillstånd för att utföra ML-aktiviteter i SageMaker, såsom datavetare eller MLOps-ingenjörer. ML-aktiviteter är en uppsättning behörigheter för att utföra en vanlig ML-uppgift, som att köra Amazon SageMaker Studio applikationer eller hantering av experiment, modeller eller pipelines. Efter att du har valt personatyp och uppsättningen ML-aktiviteter, skapar SageMaker Role Manager CDK automatiskt den nödvändiga IAM-rollen och policyerna som du kan tilldela SageMaker-användare. På samma sätt kan du också skapa IAM-roller med finkorniga behörigheter för automatiserade jobb som att köra SageMaker Pipelines.
Förutsättningar
För att börja använda SageMaker Role Manager CDK måste du slutföra följande förutsättningssteg:
- Ställ in en roll för din ML-administratör för att skapa och hantera personas, samt IAM-behörigheterna för dessa användare. För ett exempel på administratörspolicy, se avsnittet förutsättning i Definiera anpassade behörigheter på några minuter med Amazon SageMaker Role Manager blogginlägg.
- Skapa en personroll som endast kan beräknas (om du inte har någon) för att gå vidare till jobb och slutpunkter. För instruktioner om hur du ställer in den rollen, se Använder rollchefen.
- Konfigurera din AWS CDK-utvecklingsmiljö. För instruktioner, se Komma igång med AWS CDK.
Installera och kör SageMaker Role Manager CDK
Slutför följande steg för att konfigurera SageMaker Role Manager CDK:
- Skapa din AWS CDK-app och ge den ett namn; till exempel,
RoleManager
. - Navigera till
RoleManager
mapp och kör följande kommando för att skapa ett tomt typscript AWS CDK-projekt: - Öppen
package.json
och lägg till det markerade paketet som visas i följande kod: - Kör följande kommando för att installera det nya
cdk-aws-sagemaker-role-manager
paket: - Navigera till mappen lib och ersätt
role_manager_stack.ts
med följande kod: - ersätta
passRoleId
,passRoleName
,newRoleId
,newRoleName
ochnewRoleDescription
utifrån dina krav på rollskapande. - Navigera tillbaka till din AWS CDK-apps hemmapp och kör följande kommando för att verifiera den genererade AWS molnformation mall:
- Slutligen, kör följande kommando för att köra CloudFormation-stacken i ditt AWS-konto:
Du bör se en AWS CDK-distributionsutgång som liknar den i följande skärmdump.
Fler SageMaker Role Manager CDK-exempel finns i följande GitHub repo.
ML persona och aktivitet CDK referens
Administratörer kan definiera ML-aktiviteter med en av de statiska ML-aktivitetsfunktionerna i ML-aktivitetsklassen. För en lista över de senaste versionerna, se ML aktivitetsreferens.
ML persona-klassen stöder följande metoder:
- anpassaVPC (undernät, säkerhetsgrupper) – Anpassar VPC för alla aktiviteter som stödjer VPC-anpassning av personas.
- anpassaKMS(datanycklar, volymnycklar) – Anpassar KMS-nycklar för alla aktiviteter som stöder KMS-nyckelanpassning av personas.
- createRole(omfattning, id, rollnamnsuffix, rollbeskrivning) – Skapar en roll med personans aktiviteters behörigheter som liknar användargränssnittet i omfånget med ID, med namnet
SageMaker-${roleNameSuffix}
och eventuellt med godkänd rollbeskrivning. - grantPermissionsTo(identity) – Ger personans aktiviteter tillstånd till identiteten. Den passerade identiteten kan vara en roll eller en AWS-resurs associerad med en roll (till exempel en lambdafunktion med rollen som lambdafunktionen som beskriver vilka resurser lambdafunktionen kan komma åt).
- grantPermissionsTo() – Uppdaterar rollen för den passerade identiteten så att den har de behörigheter som anges i ML-aktiviteten.
ML-aktivitetsklassen stöder samma uppsättning funktioner som ML-personas; skillnaden är dock att en ML-aktivitet är begränsad till en enskild aktivitet när det här gränssnittet används för att skapa IAM-roller.
Slutsats
SageMaker Role Manager gör att du kan skapa skräddarsydda roller baserade på personas, förbyggda ML-aktiviteter och anpassade policyer, vilket avsevärt minskar den tid som krävs. Nu, med detta senaste AWS CDK-stöd, utökas möjligheten att definiera roller ytterligare för att stödja infrastruktur som kod. Detta ger ML-utövare möjlighet att arbeta programmatiskt i SageMaker, vilket ökar effektiviteten och möjliggör sömlös integrering i deras arbetsflöden.
Vi skulle vilja höra från dig om hur den här nya funktionen hjälper dig. Prova det nya AWS CDK-stödet för SageMaker Role Manager och skicka oss din feedback!
För att lära dig mer om hur du använder SageMaker Role Manager, se SageMaker Role Manager Utvecklarguide.
Om Författarna
Akash Bhatia är en huvudlösningsarkitekt med erfarenhet från flera branscher, inklusive tillverkning, fordon, detaljhandel och rymd och teknik. Akash arbetar för närvarande i Amazon Web Services Enterprise Segments och arbetar nära med en mängd olika kunder, inklusive Fortune 100-företag och nystartade företag, för att underlätta deras migreringsresa till molnet. Utöver sin tekniska expertis har Akash lett produkt- och programledning, efter att ha framgångsrikt övervakat många storskaliga initiativ under sin karriär.
Ram Vittal är Principal ML Solutions Architect på AWS. Han har över 20 års erfarenhet av att bygga och bygga distribuerade, hybrid- och molnapplikationer. Han brinner för att bygga säkra och skalbara AI/ML- och big data-lösningar för att hjälpa företagskunder med deras molnintroduktion och optimeringsresa för att förbättra deras affärsresultat. På fritiden tycker han om att köra motorcykel, spela tennis och fotografera.
Ozan Eken är senior produktchef på Amazon Web Services. Han har över 15 års erfarenhet av rådgivning och produktledning. Han brinner för att bygga styrningsprodukter och administratörskapacitet inom maskininlärning för företagskunder. Utanför jobbet gillar han att utforska olika utomhusaktiviteter och titta på fotboll.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://aws.amazon.com/blogs/machine-learning/define-customized-permissions-in-minutes-with-amazon-sagemaker-role-manager-via-the-aws-cdk/
- : har
- :är
- $UPP
- 100
- 11
- 15 år
- 15%
- 20
- 20 år
- 2022
- 22
- 7
- a
- förmåga
- Om Oss
- tillgång
- åstadkomma
- Konto
- åtgärder
- aktiviteter
- aktivitet
- lägga till
- Dessutom
- adress
- adresser
- administration
- administratörer
- Antagande
- Efter
- AI / ML
- rikta
- Alla
- tillåta
- tillåter
- också
- amason
- Amazon SageMaker
- Amazon Web Services
- an
- och
- vilken som helst
- app
- tillämpningar
- tillvägagångssätt
- lämpligt
- ÄR
- AS
- associerad
- At
- automatisera
- Automatiserad
- automatiskt
- fordonsindustrin
- tillgänglig
- AWS
- tillbaka
- baserat
- BE
- därför att
- Stor
- Stora data
- Blogg
- överträdelser
- Byggnad
- företag
- by
- KAN
- kapacitet
- Karriär
- fall
- utmanar
- klass
- klienter
- nära
- cloud
- moln adoption
- koda
- kombinerad
- kommer
- kommersiella
- Gemensam
- Företag
- fullborda
- Konsol
- konstruera
- rådgivning
- skapa
- skapar
- Skapa
- skapande
- kritisk
- För närvarande
- beställnings
- kund
- Kunder
- anpassning
- skräddarsy
- kundanpassad
- datum
- datavetare
- December
- utplacering
- beskrivning
- utveckla
- Utvecklare
- Utveckling
- Skillnaden
- olika
- distinkt
- distribueras
- flera
- inte
- varje
- lätt
- effektivitet
- effektivt
- ansträngningar
- bemyndigar
- möjliggör
- möjliggör
- kryptering
- ingenjör
- Ingenjörer
- förbättra
- säkerställa
- säkerställer
- Företag
- Miljö
- väsentlig
- exempel
- exempel
- expanderade
- erfarenhet
- experiment
- expertis
- Utforska
- export
- sträcker
- främja
- Leverans
- Flexibilitet
- Fokus
- efter
- För
- Förmögenhet
- Ramverk
- från
- fungera
- funktioner
- ytterligare
- Vidare
- genereras
- generering
- Ge
- styrning
- bidrag
- Gruppens
- styra
- Har
- har
- he
- höra
- hjälpa
- hjälpa
- Markerad
- hans
- Hem
- Hur ser din drömresa ut
- How To
- Men
- html
- http
- HTTPS
- Hybrid
- ID
- Identitet
- if
- importera
- förbättra
- in
- Inklusive
- individuellt
- individer
- industrier
- Infrastruktur
- initiativ
- installera
- instruktioner
- integrering
- integritet
- Gränssnitt
- in
- introducerade
- IT
- Lediga jobb
- resa
- jpg
- Nyckel
- nycklar
- storskalig
- senaste
- lansera
- LÄRA SIG
- inlärning
- t minst
- Led
- Lets
- tycka om
- gillar
- Lista
- Maskinen
- maskininlärning
- upprätthålla
- hantera
- förvaltade
- ledning
- chef
- hantera
- manuell
- Produktion
- Möt
- metoder
- migration
- minuter
- ML
- MLOps
- modeller
- mer
- mc
- multipel
- namn
- Behöver
- behov
- nätverk
- Nya
- nu
- talrik
- hinder
- of
- Erbjudanden
- on
- ONE
- endast
- driva
- optimering
- or
- ut
- utfall
- produktion
- utanför
- över
- egen
- paket
- Godkänd
- Förbi
- brinner
- Utföra
- tillstånd
- behörigheter
- fotografi
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- i
- Strategier
- policy
- Inlägg
- kraft
- den mäktigaste
- exakt
- primär
- Principal
- Principen
- privat
- privilegium
- process
- Produkt
- produktledning
- produktchef
- Produkter
- Program
- projektet
- tillhandahålla
- RAM
- område
- minska
- reducerande
- regioner
- frigöra
- ersätta
- representerar
- Obligatorisk
- Krav
- resurs
- Resurser
- ansvar
- detaljhandeln
- rider
- Risk
- robusta
- Roll
- roller
- Körning
- rinnande
- sagemaker
- SageMaker-rörledningar
- Samma
- skalbar
- Forskare
- vetenskapsmän
- omfattning
- sömlös
- §
- säkra
- säkerhet
- se
- segment
- vald
- sända
- senior
- Tjänster
- in
- skall
- visas
- signifikant
- liknande
- Liknande
- enda
- Fotboll
- lösning
- Lösningar
- Utrymme
- specifik
- specificerade
- stapel
- starta
- nystartade företag
- igång
- Steg
- effektivisera
- Sträng
- subnät
- Framgångsrikt
- sådana
- stödja
- Stöder
- snabbt
- skräddarsydd
- uppgift
- uppgifter
- Teknisk
- Teknologi
- mall
- mallar
- den där
- Smakämnen
- deras
- detta
- de
- hela
- tid
- till
- i dag
- verktyg
- prova
- två
- Typ
- typer
- skrivmaskin
- ui
- unika
- Uppdateringar
- us
- användning
- Användare
- användare
- med hjälp av
- verifiera
- via
- Virtuell
- tittar
- we
- webb
- webbservice
- VÄL
- när
- som
- medan
- bredare
- med
- Arbete
- arbetsflöden
- arbetssätt
- fungerar
- skulle
- år
- Om er
- Din
- zephyrnet