Amazon SageMaker Stüdyosu ML modellerinizi oluşturmanıza, eğitmenize, hata ayıklamanıza, devreye almanıza ve izlemenize olanak tanıyan, makine öğrenimi (ML) için web tabanlı bir tümleşik geliştirme ortamıdır (IDE). AWS hesabınızda ve Bölgenizde Studio'yu sağlamak için önce bir Amazon Adaçayı Yapıcı etki alanı—ML ortamınızı kapsayan bir yapı. Daha somut olarak, bir SageMaker alanı ilişkili bir Amazon Elastik Dosya Sistemi (Amazon EFS) birimi, yetkili kullanıcıların listesi ve çeşitli güvenlik, uygulama, politika ve Amazon Sanal Özel Bulut (Amazon VPC) yapılandırmaları.
SageMaker etki alanınızı oluştururken ikisinden birini kullanmayı seçebilirsiniz. AWS IAM Kimlik Merkezi (AWS Single Sign-On'un halefi) veya AWS Kimlik ve Erişim Yönetimi (IAM) kullanıcı kimlik doğrulama yöntemleri için. Her iki kimlik doğrulama yönteminin de kendi kullanım durumları vardır; bu gönderide, kimlik doğrulama yöntemi olarak IAM Kimlik Merkezi veya çoklu oturum açma (SSO) modu ile SageMaker etki alanlarına odaklanıyoruz.
TOA moduyla, IAM Kimlik Merkezi'nde bir TOA kullanıcısı ve grubu ayarlarsınız ve ardından Studio konsolundan TOA grubuna veya kullanıcıya erişim izni verirsiniz. Şu anda, bir alandaki tüm TOA kullanıcıları, alanın yürütme rolünü devralır. Bu, tüm kuruluşlar için çalışmayabilir. Örneğin yöneticiler, Active Directory (AD) grup üyeliğine dayalı olarak bir Studio SSO kullanıcısı için IAM izinleri ayarlamak isteyebilir. Ayrıca, yöneticilerin TOA kullanıcılarına Studio'ya erişim izni vermeleri gerektiğinden, yüzlerce kullanıcı eklenirken süreç ölçeklenemeyebilir.
Bu gönderide, AD grubu üyeliğine dayalı olarak SSO kullanıcılarını Studio'ya en az ayrıcalık izniyle sağlamaya yönelik çözüm için kuralcı rehberlik sağlıyoruz. Bu kılavuz, yüzlerce kullanıcıyı Studio'ya dahil etmek için hızlı bir şekilde ölçeklendirme yapmanızı ve güvenlik ve uyumluluk duruşunuzu elde etmenizi sağlar.
Çözüme genel bakış
Aşağıdaki şemada çözüm mimarisi gösterilmektedir.
AD kullanıcılarının Studio'da sağlanmasına yönelik iş akışı aşağıdaki adımları içerir:
- Ayarlamak TOA modunda Studio alanı.
- Her AD grubu için:
- Uygun ayrıntılı IAM politikalarıyla Studio yürütme rolünüzü ayarlayın
- AD grup rolü eşlemesinde bir giriş kaydedin Amazon DinamoDB tablo.
Alternatif olarak, IAM rolü ARN'leri için AD grubu adını temel alan bir adlandırma standardı benimseyebilir ve eşlemeyi harici bir veritabanında depolamaya gerek kalmadan IAM rolü ARN'sini türetebilirsiniz.
- AD kullanıcılarınızı, gruplarınızı ve üyeliklerinizi AWS Identity Center ile senkronize edin:
- SCIM'i destekleyen bir kimlik sağlayıcı (IdP) kullanıyorsanız IAM Kimlik Merkezi ile SCIM API entegrasyonunu kullanın.
- Kendi kendini yöneten AD kullanıyorsanız, AD Bağlayıcı kullanabilirsiniz.
- Kurumsal AD'nizde AD grubu oluşturulduğunda, aşağıdaki adımları tamamlayın:
- IAM Kimlik Merkezi'nde karşılık gelen bir TOA grubu oluşturun.
- SageMaker konsolunu kullanarak SSO grubunu Studio etki alanıyla ilişkilendirin.
- Kurumsal AD'nizde bir AD kullanıcısı oluşturulduğunda, IAM Kimlik Merkezi'nde karşılık gelen bir SSO kullanıcısı oluşturulur.
- AD kullanıcısı bir AD grubuna atandığında, bir IAM Kimlik Merkezi API'si (Grup Üyeliği Oluştur) çağrılır ve SSO grubu üyeliği oluşturulur.
- Önceki etkinlik oturum açtı AWS CloudTrail isimle
AddMemberToGroup
. - An Amazon EventBridge kuralı, CloudTrail olaylarını dinler ve
AddMemberToGroup
kural kalıbı. - EventBridge kuralı hedefi tetikler AWS Lambda fonksiyonu.
- Bu Lambda işlevi, IAM Kimlik Merkezi API'lerini geri arayacak, SSO kullanıcı ve grup bilgilerini alacak ve Studio kullanıcı profilini oluşturmak için aşağıdaki adımları gerçekleştirecektir (Kullanıcı Profili Oluştur) TOA kullanıcısı için:
- AD grubuna karşılık gelen IAM rolünü almak için DynamoDB tablosuna bakın.
- SSO kullanıcısı ve arama tablosundan elde edilen IAM rolü ile bir kullanıcı profili oluşturun.
- TOA kullanıcısına Studio erişimi verilir.
- TOA kullanıcısı, Studio etki alanı URL'si aracılığıyla Studio IDE'ye yönlendirilir.
Yazma sırasında, Adım 4b'nin (SSO grubunu Studio alanıyla ilişkilendirin), SageMaker etki alanı düzeyinde SageMaker konsolu kullanılarak bir yönetici tarafından manuel olarak gerçekleştirilmesi gerektiğini unutmayın.
Kullanıcı profillerini oluşturmak için bir Lambda işlevi kurun
Çözüm, Studio kullanıcı profillerini oluşturmak için bir Lambda işlevi kullanır. Studio kullanıcı profilinin oluşturulmasını otomatikleştirme ihtiyaçlarınızı karşılamak için kopyalayabileceğiniz ve değiştirebileceğiniz aşağıdaki örnek Lambda işlevini sağlıyoruz. Bu işlev aşağıdaki eylemleri gerçekleştirir:
- CloudTrail'i alın
AddMemberToGroup
EventBridge'den olay. - Studio'yu geri al
DOMAIN_ID
ortam değişkeninden (alternatif olarak, alan kimliğini sabit kodlayabilir veya birden çok etki alanınız varsa bir DynamoDB tablosu da kullanabilirsiniz). - AD kullanıcılarını yürütme rolleriyle eşleştirmek için sahte bir biçimlendirme tablosundan okuyun. Tablo güdümlü bir yaklaşım kullanıyorsanız, bunu DynamoDB tablosundan almak için değiştirebilirsiniz. DynamoDB kullanıyorsanız, Lambda işlevinizin yürütme rolünün de tablodan okumak için izinlere ihtiyacı vardır.
- CloudTrail olay verilerine dayalı olarak IAM Kimlik Merkezi'nden SSO kullanıcı ve AD grubu üyelik bilgilerini alın.
- TOA kullanıcısı için SSO ayrıntıları ve eşleşen yürütme rolü ile bir Studio kullanıcı profili oluşturun.
Varsayılan olarak, Lambda yürütme rolünün kullanıcı profilleri oluşturma veya SSO kullanıcılarını listeleme erişimi olmadığını unutmayın. Lambda işlevini oluşturduktan sonra, işlevin IAM'deki yürütme rolüne erişin ve kuruluşunuzun gereksinimlerine göre kapsamı daralttıktan sonra aşağıdaki ilkeyi bir satır içi ilke olarak ekleyin.
CloudTrail olayı için EventBridge kuralını ayarlayın
EventBridge, uygulamalarınızı çeşitli kaynaklardan gelen verilerle bağlamak için kullanabileceğiniz sunucusuz bir olay veri yolu hizmetidir. Bu çözümde, kural tabanlı bir tetikleyici oluşturuyoruz: EventBridge olayları dinler ve sağlanan kalıba göre eşleşir ve kalıp eşleşmesi başarılı olursa bir Lambda işlevini tetikler. Çözüme genel bakışta açıklandığı gibi, AddMemberToGroup
etkinlik. Ayarlamak için aşağıdaki adımları tamamlayın:
- EventBridge konsolunda seçin kurallar Gezinti bölmesinde.
- Klinik Kural koy.
- Bir kural adı girin, örneğin,
AddUserToADGroup
. - İsteğe bağlı olarak bir açıklama girin.
- seç varsayılan etkinlik otobüsü için.
- Altında Kural türü, seçmek Etkinlik düzenine sahip kural, Daha sonra seçmek Sonraki.
- Üzerinde Etkinlik modeli oluştur sayfasını seçin Olay kaynağı as AWS etkinlikleri veya EventBridge iş ortağı etkinlikleri.
- Altında Olay düzeni, seç Özel kalıplar (JSON editörü) sekmesine gidin ve aşağıdaki kalıbı girin:
- Klinik Sonraki.
- Üzerinde hedef(ler) seçin sayfasında, hedef türü için AWS hizmetini, hedef olarak Lambda işlevini ve daha önce oluşturduğunuz işlevi seçin, ardından Sonraki.
- Klinik Sonraki üzerinde Etiketleri yapılandır sayfa, ardından seçin Kural koy üzerinde İnceleyin ve oluşturun gidin.
Lambda işlevini ve EventBridge kuralını ayarladıktan sonra bu çözümü test edebilirsiniz. Bunu yapmak için IdP'nizi açın ve Studio yürütme rolü eşlenmiş olarak AD gruplarından birine bir kullanıcı ekleyin. Kullanıcıyı ekledikten sonra, olayı incelemek için Lambda işlevi günlüklerini doğrulayabilir ve ayrıca Studio kullanıcısının otomatik olarak sağlandığını görebilirsiniz. Ek olarak, Kullanıcı Profilini Tanımla Kullanıcının uygun izinlerle oluşturulduğunu doğrulamak için API çağrısı.
Birden çok Studio hesabını destekleme
Önceki mimariye sahip birden çok Studio hesabını desteklemek için aşağıdaki değişiklikleri öneririz:
- Her Studio hesap düzeyine eşlenen bir AD grubu kurun.
- Her Studio hesabında grup düzeyinde bir IAM rolü ayarlayın.
- Grubu IAM rol eşlemesine ayarlayın veya türetin.
- Gerçekleştirmek için bir Lambda işlevi kurun hesaplar arası rol varsayımı, IAM rol eşleme ARN'sine ve oluşturulan kullanıcı profiline dayalıdır.
Kullanıcıların temel hazırlığı kaldırılıyor
Bir kullanıcı AD grubundan kaldırıldığında, erişimini Studio etki alanından da kaldırmalısınız. SSO ile, bir kullanıcı kaldırıldığında, AD'den IAM Kimlik Merkezi'ne senkronizasyon mevcutsa, kullanıcı IAM Kimlik Merkezi'nde otomatik olarak devre dışı bırakılır ve Studio uygulamasına erişimi hemen iptal edilir.
Ancak, Studio'daki kullanıcı profili hala devam etmektedir. Kullanıcı profilini Studio'dan kaldırmak için CloudTrail ve bir Lambda işlevi ile benzer bir iş akışı ekleyebilirsiniz. EventBridge tetikleyicisi şimdi şunu dinlemelidir: Grup Üyeliğini Sil etkinlik. Lambda işlevinde aşağıdaki adımları tamamlayın:
- Kullanıcı ve grup kimliğinden kullanıcı profili adını alın.
- kullanarak kullanıcı profili için çalışan tüm uygulamaları listeleyin. Uygulamaları Listele API çağrısı, şuna göre filtreleme:
UserProfileNameEquals
parametre. Kullanıcı için tüm uygulamaları listelemek üzere sayfalandırılmış yanıtı kontrol ettiğinizden emin olun. - Kullanıcı için çalışan tüm uygulamaları silin ve tüm uygulamalar silinene kadar bekleyin. kullanabilirsiniz Uygulamayı Tanımla Uygulamanın durumunu görüntülemek için API.
- Tüm uygulamalar bir Silindi durum (veya başarısız), kullanıcı profilini silin.
Bu çözüm sayesinde, makine öğrenimi platformu yöneticileri, grup üyeliklerini tek bir merkezi konumda tutabilir ve EventBridge ve Lambda işlevleri aracılığıyla Studio kullanıcı profili yönetimini otomatikleştirebilir.
Aşağıdaki kod, örnek bir CloudTrail olayını gösterir:
Aşağıdaki kod, örnek bir Studio kullanıcı profili API isteğini gösterir:
Sonuç
Bu gönderide, yöneticilerin AD grubu üyeliklerine göre yüzlerce kullanıcı için Studio katılımını nasıl ölçeklendirebileceklerini tartıştık. Kuruluşların çeviklik, güvenlik ve uyumluluk ihtiyaçlarını karşılamak için işe alım süreçlerini otomatikleştirmek ve ölçeklendirmek için benimseyebilecekleri uçtan uca bir çözüm mimarisini gösterdik. Kullanıcı katılımınızı otomatikleştirmek için ölçeklenebilir bir çözüm arıyorsanız, bu çözümü deneyin ve geri bildiriminizi aşağıda bırakın! Studio'ya katılım hakkında daha fazla bilgi için bkz. Amazon SageMaker Etki Alanında Yerleşik.
yazarlar hakkında
Ram Hayati AWS'de Makine Öğrenimi Uzmanı Çözüm Mimarıdır. Dağıtılmış, hibrit ve bulut uygulamaları tasarlama ve oluşturma konusunda 20 yılı aşkın deneyime sahiptir. Kurumsal müşterilerin iş sonuçlarını iyileştirmeye yönelik bulut benimseme ve optimizasyon yolculuklarında yardımcı olacak güvenli ve ölçeklenebilir AI/ML ve büyük veri çözümleri oluşturma konusunda tutkulu. Boş zamanlarında motosikletine biniyor ve 2 yaşındaki koyun-a-doodle'ıyla yürüyor!
Durga Suri Amazon SageMaker Service SA ekibinde bir Makine Öğrenimi Çözümleri Mimarıdır. Makine öğrenimini herkes için erişilebilir hale getirme konusunda tutkulu. AWS'de geçirdiği 4 yılda, kurumsal müşteriler için AI/ML platformlarının kurulmasına yardımcı oldu. Çalışmadığı zamanlarda 5 yaşındaki husky ile motosiklet gezintilerini, gizemli romanları ve doğa yürüyüşlerini seviyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- EVM Finans. Merkezi Olmayan Finans için Birleşik Arayüz. Buradan Erişin.
- Kuantum Medya Grubu. IR/PR Güçlendirilmiş. Buradan Erişin.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Kaynak: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 1
- 11
- 116
- 20
- 20 yıl
- 200
- 22
- 24
- 7
- 9
- a
- Hakkımızda
- Kabul et
- erişim
- ulaşılabilir
- Hesap
- Hesaplar
- Başarmak
- Action
- eylemler
- aktif
- Ad
- eklemek
- katma
- Ayrıca
- Gizem
- yöneticiler
- benimsemek
- Benimseme
- Sonra
- karşı
- AI / ML
- Türkiye
- izin vermek
- Ayrıca
- Amazon
- Amazon Adaçayı Yapıcı
- Amazon SageMaker Stüdyosu
- Amazon Web Servisleri
- an
- ve
- api
- API'ler
- Uygulama
- uygulamaları
- yaklaşım
- uygun
- uygulamalar
- mimari
- ARE
- AS
- atanmış
- Ortak
- ilişkili
- varsayımı
- At
- iliştirmek
- Doğrulama
- yetkili
- otomatikleştirmek
- otomatik olarak
- ayrıca otomasyonun
- AWS
- Arka
- merkezli
- BE
- Çünkü
- olmuştur
- Büyük
- büyük Veri
- vücut
- her ikisi de
- inşa etmek
- bina
- otobüs
- iş
- by
- çağrı
- CAN
- durumlarda
- Merkez
- merkezi
- değişiklik
- değişiklikler
- karakter
- Kontrol
- Klinik
- müşteri
- bulut
- bulut benimseme
- kod
- COM
- tamamlamak
- uyma
- Sosyal medya
- oluşur
- konsolos
- kurmak
- bağlam
- Kurumsal
- uyan
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- Oluşturma
- oluşturma
- Şu anda
- Müşteriler
- veri
- veritabanı
- Varsayılan
- gösterdi
- dağıtmak
- tanım
- ayrıntı
- ayrıntılar
- gelişme
- özürlü
- tartışılan
- dağıtıldı
- do
- Değil
- yapıyor
- domain
- etki
- Dont
- aşağı
- her
- Daha erken
- editör
- Efekt
- ya
- başka
- E-posta
- sağlar
- son uca
- Keşfet
- kuruluş
- giriş
- çevre
- Etkinlikler
- olaylar
- herkes
- örnek
- infaz
- deneyim
- açıkladı
- dış
- yanlış
- geribesleme
- fileto
- süzme
- Ad
- odak
- takip etme
- İçin
- itibaren
- işlev
- fonksiyonlar
- Ayrıca
- almak
- vermek
- verilmiş
- grup
- Grubun
- rehberlik
- sap
- Var
- he
- yardım et
- yardım
- onu
- onun
- Ne kadar
- HTML
- http
- HTTPS
- Yüzlerce
- melez
- ID
- Kimlik
- if
- göstermektedir
- hemen
- ithalat
- iyileştirmek
- in
- içerir
- bilgi
- örnek
- entegre
- bütünleşme
- çağrılan
- IT
- seyahat
- json
- öğrenme
- en az
- Ayrılmak
- Lets
- seviye
- Liste
- yer
- giriş
- mantık
- bakıyor
- arama
- seviyor
- makine
- makine öğrenme
- korumak
- yapmak
- Yapımı
- yönetim
- el ile
- haritalama
- Maç
- uygun
- Mayıs..
- Neden
- üye
- üyelik
- üyelikler
- yöntem
- yöntemleri
- ML
- Moda
- modelleri
- değiştirmek
- izlemek
- Daha
- motosiklet
- çoklu
- Gizem
- isim
- adlandırma
- Navigasyon
- gerek
- gerekli
- gerek
- ihtiyaçlar
- hiçbir şey değil
- şimdi
- elde
- of
- Okta
- on
- Teknede
- Onboarding
- bir Zamanlar
- ONE
- açık
- optimizasyon
- or
- kuruluşlar
- organizasyonlar
- OS
- dışarı
- sonuçlar
- tekrar
- genel bakış
- kendi
- Kanal
- bölmesi
- parametre
- Partner
- tutkulu
- model
- desen
- Yapmak
- yapılan
- gerçekleştirir
- izinleri
- devam
- yer
- platform
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- politika
- Çivi
- özel
- ayrıcalık
- süreç
- Profil
- Profiller
- sağlamak
- sağlanan
- sağlayan
- hüküm
- hızla
- Okumak
- tavsiye etmek
- bölge
- Kaldır
- çıkarıldı
- talep
- gereklidir
- Yer Alan Kurallar
- kaynak
- yanıt
- dönüş
- Rol
- rolleri
- Kural
- koşu
- s
- SA
- sagemaker
- ölçeklenebilir
- ölçek
- Kapsam Belirleme
- güvenli
- güvenlik
- görmek
- Serverless
- hizmet
- Hizmetler
- set
- o
- meli
- Gösteriler
- benzer
- beri
- tek
- So
- çözüm
- Çözümler
- Kaynak
- kaynaklar
- uzman
- standart
- Eyalet
- Açıklama
- Durum
- adım
- Basamaklar
- Yine
- mağaza
- stüdyo
- başarılı
- destek
- Destekler
- tablo
- Hedef
- takım
- test
- o
- The
- ve bazı Asya
- sonra
- Re-Tweet
- İçinden
- zaman
- için
- Tren
- tetikleyebilir
- gerçek
- denemek
- tip
- bilinmeyen
- kadar
- URL
- kullanım
- kullanıcı
- kullanıcılar
- kullanım
- kullanma
- değer
- çeşitlilik
- doğrulamak
- versiyon
- üzerinden
- Görüntüle
- Sanal
- hacim
- beklemek
- istemek
- we
- ağ
- web hizmetleri
- Web tabanlı
- İYİ
- ne zaman
- irade
- ile
- olmadan
- İş
- iş akışı
- çalışma
- yazı yazıyor
- yıl
- Sen
- zefirnet