Адміністратори машинного навчання (ML) відіграють вирішальну роль у підтримці безпеки та цілісності робочих навантажень ML. Їх основна мета полягає в тому, щоб гарантувати, що користувачі працюють із максимальною безпекою, дотримуючись принципу найменших привілеїв. Однак пристосування до різноманітних потреб різних користувачів і створення відповідних політик дозволів іноді може перешкоджати гнучкості. Щоб вирішити цю проблему, запроваджено AWS Менеджер ролей Amazon SageMaker у грудні 2022 року. Менеджер ролей SageMaker — це потужний інструмент, за допомогою якого можна швидко розробляти ролі на основі персон, які можна легко налаштувати відповідно до конкретних вимог.
За допомогою диспетчера ролей SageMaker адміністратори можуть ефективно визначати ролі на основі персон, адаптовані до окремих груп користувачів. Цей підхід гарантує, що особи мають доступ лише до ресурсів і дій, необхідних для виконання їхніх завдань, зменшуючи ризик несанкціонованих дій або порушень. Менеджер ролей SageMaker також дозволяє виконувати детальне налаштування. Адміністратори ML можуть адаптувати ролі відповідно до конкретних вимог, змінюючи дозволи, пов’язані з кожною особою. Ця гнучкість гарантує, що дозволи точно узгоджуються із завданнями та обов’язками окремих користувачів, забезпечуючи надійну структуру безпеки та враховуючи унікальні випадки використання.
SageMaker Role Manager наразі доступний на Amazon SageMaker консоль всіх комерційних регіонів. Сьогодні ми запускаємо можливість визначення індивідуальних дозволів за лічені хвилини за допомогою SageMaker Role Manager через Набір хмарних розробок AWS (AWS CDK). Це усуває критичну перешкоду для більш широкого впровадження, оскільки адміністратори ML тепер можуть програмно автоматизувати свої завдання. Завдяки можливостям AWS CDK адміністратори ML можуть оптимізувати робочі процеси, зменшити ручні зусилля та забезпечити послідовність керування дозволами для своєї інфраструктури ML.
Огляд рішення
З випуском SageMaker Role Manager CDK ми запускаємо дві нові можливості інфраструктури як код (IaC):
Можна створювати дрібнозернисті Управління ідентифікацією та доступом AWS (IAM) ролі для персон ML, наприклад спеціаліста з обробки даних, інженера ML або інженера з обробки даних. Менеджер ролей SageMaker пропонує об’єднання попередньо визначених персонажів і дій машинного навчання, щоб оптимізувати процес створення дозволів, дозволяючи вашим фахівцям ML виконувати свої обов’язки з найменшими дозволами привілеїв. Для безпечного доступу до ваших ресурсів ML SageMaker Role Manager дозволяє вказати дозволи на підключення до мережі та шифрування для Віртуальна приватна хмара Amazon (Amazon VPC) ресурси та Служба управління ключами AWS (AWS KMS) ключі шифрування. Крім того, ви можете налаштувати дозволи, додавши власні політики, керовані клієнтом.
CDK SageMaker Role Manager дозволяє за лічені хвилини визначати власні дозволи для користувачів SageMaker. Він поставляється з набором попередньо визначених шаблонів політики для різних персонажів і дій машинного навчання. Персони представляють різні типи користувачів, яким потрібні дозволи для виконання дій машинного навчання в SageMaker, наприклад спеціалісти з обробки даних або інженери MLOps. Дії ML – це набір дозволів для виконання звичайного завдання ML, наприклад запуску Студія Amazon SageMaker програми або керування експериментами, моделями чи конвеєрами. Після того, як ви виберете тип особистості та набір дій ML, SageMaker Role Manager CDK автоматично створює необхідну роль і політики IAM, які ви можете призначити користувачам SageMaker. Подібним чином ви також можете створювати ролі IAM із детальними дозволами для автоматизованих завдань, таких як запуск SageMaker Pipelines.
Передумови
Щоб почати використовувати SageMaker Role Manager CDK, потрібно виконати наступні передумови:
- Налаштуйте роль для свого адміністратора ML, щоб створювати персоналії та керувати ними, а також дозволи IAM для цих користувачів. Зразок політики адміністратора див. у розділі передумов Визначте персоналізовані дозволи за лічені хвилини за допомогою Amazon SageMaker Role Manager повідомлення в блозі.
- Створіть особисту роль лише для обчислень (якщо у вас її немає) для передачі на завдання та кінцеві точки. Інструкції щодо налаштування цієї ролі див Використання менеджера ролей.
- Налаштуйте середовище розробки AWS CDK. Інструкції див Початок роботи з AWS CDK.
Встановіть і запустіть SageMaker Role Manager CDK
Виконайте наступні дії, щоб налаштувати CDK SageMaker Role Manager:
- Створіть свою програму AWS CDK і дайте йому назву; наприклад,
RoleManager
. - перейдіть до
RoleManager
і виконайте таку команду, щоб створити порожній проект AWS CDK: - відкритий
package.json
і додайте виділений пакет, як показано в наступному коді: - Виконайте таку команду, щоб інсталювати новий
cdk-aws-sagemaker-role-manager
пакет: - Перейдіть до папки lib і замініть
role_manager_stack.ts
з таким кодом: - заміщати
passRoleId
,passRoleName
,newRoleId
,newRoleName
таnewRoleDescription
на основі ваших вимог до створення ролі. - Поверніться до домашньої папки програми AWS CDK і виконайте таку команду, щоб перевірити згенерований файл AWS CloudFormation шаблон:
- Нарешті, виконайте таку команду, щоб запустити стек CloudFormation у вашому обліковому записі AWS:
Ви маєте побачити результат розгортання AWS CDK, подібний до того, що на знімку екрана нижче.
Більше прикладів CDK SageMaker Role Manager доступні нижче GitHub репо.
Довідка CDK про персону та діяльність ML
Адміністратори можуть визначати дії ML за допомогою однієї зі статичних функцій діяльності ML класу діяльності ML. Список останніх версій див Довідка про діяльність ML.
Клас persona ML підтримує такі методи:
- налаштувати VPC (підмережі, групи безпеки) – Налаштовує VPC для всіх дій, які підтримують налаштування VPC персон.
- customizeKMS(dataKeys, volumeKeys) – Налаштовує ключі KMS для всіх дій, які підтримують налаштування персоналізацій ключа KMS.
- createRole(scope, id, roleNameSuffix, roleDescription) – Створює роль із дозволами на діяльність персони, подібними до інтерфейсу користувача в області з ідентифікатором, з назвою
SageMaker-${roleNameSuffix}
і необов'язково з переданим описом ролі. - grantPermissionsTo(identity) – Надає дозволи на діяльність персони щодо особи. Переданий ідентифікатор може бути роллю або ресурсом AWS, пов’язаним із роллю (наприклад, функція Lambda з роллю функції Lambda, що описує, до яких ресурсів функція Lambda може отримати доступ).
- grantPermissionsTo() – Оновлює роль переданого ідентифікатора, щоб мати дозволи, указані в діяльності ML.
Клас діяльності ML підтримує той самий набір функцій, що й персонажі ML; однак різниця полягає в тому, що діяльність ML обмежена однією діяльністю під час використання цього інтерфейсу для створення ролей IAM.
Висновок
Менеджер ролей SageMaker дає змогу створювати персоналізовані ролі на основі персонажів, попередньо створених дій машинного навчання та спеціальних політик, значно скорочуючи необхідний час. Тепер, з цією останньою підтримкою AWS CDK, можливість визначати ролі ще більше розширена для підтримки інфраструктури як коду. Це дає можливість фахівцям з машинного навчання програмно працювати в SageMaker, підвищуючи ефективність і забезпечуючи бездоганну інтеграцію в робочі процеси.
Ми хотіли б почути від вас, як ця нова функція допомагає вам. Спробуйте нову підтримку AWS CDK для SageMaker Role Manager і надішліть нам свій відгук!
Щоб дізнатися більше про використання SageMaker Role Manager, зверніться до Посібник розробника SageMaker Role Manager.
Про авторів
Акаш Бхатія є головним архітектором рішень із досвідом роботи в багатьох галузях, включаючи виробництво, автомобільну промисловість, роздрібну торгівлю, космос і технології. На даний момент Akash працює в корпоративних сегментах Amazon Web Services і тісно співпрацює з різними клієнтами, включаючи компанії зі списку Fortune 100 і стартапи, щоб полегшити їхню подорож до хмарної міграції. Окрім свого технічного досвіду, Акаш очолював управління продуктами та програмами, успішно керуючи численними великомасштабними ініціативами протягом своєї кар’єри.
Рам Віттал є головним архітектором рішень ML в AWS. Він має понад 20 років досвіду розробки та створення розподілених, гібридних і хмарних програм. Він захоплений розробкою безпечних і масштабованих рішень штучного інтелекту/ML і великих даних, які допомагають корпоративним клієнтам перейти до впровадження хмарних технологій і оптимізувати їх для покращення бізнес-результатів. У вільний час він любить кататися на мотоциклі, грати в теніс і фотографувати.
Озан Екен є старшим менеджером із продуктів Amazon Web Services. Він має понад 15 років досвіду в консалтингу та управлінні продуктами. Він захоплений розробкою продуктів управління та можливостями адміністратора в машинному навчанні для корпоративних клієнтів. Поза роботою він любить досліджувати різні види активного відпочинку та дивитися футбол.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://aws.amazon.com/blogs/machine-learning/define-customized-permissions-in-minutes-with-amazon-sagemaker-role-manager-via-the-aws-cdk/
- : має
- :є
- $UP
- 100
- 11
- 15 роки
- 15%
- 20
- 20 роки
- 2022
- 22
- 7
- a
- здатність
- МЕНЮ
- доступ
- виконувати
- рахунки
- дії
- діяльності
- діяльність
- додавати
- доповнення
- адреса
- адреси
- адмін
- Адміністратори
- Прийняття
- після
- AI / ML
- вирівнювати
- ВСІ
- Дозволити
- дозволяє
- Також
- Amazon
- Amazon SageMaker
- Amazon Web Services
- an
- та
- будь-який
- додаток
- застосування
- підхід
- відповідний
- ЕСТЬ
- AS
- асоційований
- At
- автоматизувати
- Автоматизований
- автоматично
- автомобільний
- доступний
- AWS
- назад
- заснований
- BE
- оскільки
- Великий
- Великий даних
- Блог
- порушення
- Створюємо
- бізнес
- by
- CAN
- можливості
- кар'єра
- випадків
- виклик
- клас
- клієнтів
- тісно
- хмара
- прийняття хмари
- код
- комбінований
- приходить
- комерційний
- загальний
- Компанії
- повний
- Консоль
- будувати
- консалтинг
- створювати
- створює
- створення
- створення
- критичний
- В даний час
- виготовлений на замовлення
- клієнт
- Клієнти
- настройка
- налаштувати
- налаштувати
- дані
- вчений даних
- Грудень
- розгортання
- description
- розвивати
- Розробник
- розробка
- різниця
- різний
- чіткий
- розподілений
- Різне
- Не знаю
- кожен
- легко
- ефективність
- продуктивно
- зусилля
- повноваження
- дозволяє
- дозволяє
- шифрування
- інженер
- Інженери
- підвищення
- забезпечувати
- гарантує
- підприємство
- Навколишнє середовище
- істотний
- приклад
- Приклади
- розширений
- досвід
- Експерименти
- експертиза
- Дослідження
- експорт
- продовжується
- фасилітувати
- особливість
- Гнучкість
- Сфокусувати
- після
- для
- стан
- Рамки
- від
- функція
- Функції
- далі
- Крім того
- генерується
- покоління
- Давати
- управління
- гранти
- Групи
- керівництво
- Мати
- має
- he
- чути
- допомога
- допомогу
- Виділено
- його
- Головна
- Як
- How To
- Однак
- HTML
- HTTP
- HTTPS
- гібрид
- ID
- Особистість
- if
- імпорт
- удосконалювати
- in
- У тому числі
- індивідуальний
- осіб
- промисловості
- Інфраструктура
- ініціативи
- встановлювати
- інструкції
- інтеграція
- цілісність
- інтерфейс
- в
- введені
- IT
- Джобс
- подорож
- JPG
- ключ
- ключі
- масштабний
- останній
- запуск
- УЧИТЬСЯ
- вивчення
- найменш
- Led
- дозволяє
- як
- Сподобалося
- список
- машина
- навчання за допомогою машини
- Підтримка
- управляти
- вдалося
- управління
- менеджер
- управління
- керівництво
- виробництво
- Зустрічатися
- методика
- міграція
- хвилин
- ML
- MLOps
- Моделі
- більше
- мотоцикл
- множинний
- ім'я
- Необхідність
- потреби
- мережа
- Нові
- зараз
- численний
- перешкода
- of
- Пропозиції
- on
- ONE
- тільки
- працювати
- оптимізація
- or
- з
- Результати
- вихід
- поза
- над
- власний
- пакет
- Пройшов
- Проходження
- пристрасний
- Виконувати
- дозвіл
- Дозволи
- малюнок
- plato
- Інформація про дані Платона
- PlatoData
- Play
- ігри
- Політика
- політика
- пошта
- влада
- потужний
- точно
- первинний
- Головний
- принцип
- приватний
- привілей
- процес
- Product
- Управління продуктом
- менеджер по продукції
- Продукти
- програма
- проект
- забезпечення
- Оперативна пам'ять
- діапазон
- зменшити
- зниження
- райони
- звільнити
- замінювати
- представляти
- вимагається
- Вимога
- ресурс
- ресурси
- обов'язки
- роздрібна торгівля
- верхова їзда
- Risk
- міцний
- Роль
- ролі
- прогін
- біг
- мудрець
- Трубопроводи SageMaker
- то ж
- масштабовані
- вчений
- Вчені
- сфера
- безшовні
- розділ
- безпечний
- безпеку
- побачити
- сегменти
- обраний
- послати
- старший
- Послуги
- комплект
- Повинен
- показаний
- істотно
- аналогічний
- Аналогічно
- один
- Футбол
- рішення
- Рішення
- Простір
- конкретний
- зазначений
- стек
- старт
- стартапів
- почалася
- заходи
- раціоналізувати
- рядок
- підмережі
- Успішно
- такі
- підтримка
- Опори
- швидко
- з урахуванням
- Завдання
- завдання
- технічний
- Технологія
- шаблон
- Шаблони
- Що
- Команда
- їх
- це
- ті
- по всьому
- час
- до
- сьогодні
- інструмент
- намагатися
- два
- тип
- Типи
- Машинопис
- ui
- створеного
- Updates
- us
- використання
- користувач
- користувачі
- використання
- перевірити
- через
- Віртуальний
- спостереження
- we
- Web
- веб-сервіси
- ДОБРЕ
- коли
- який
- в той час як
- ширше
- з
- Work
- Робочі процеси
- робочий
- працює
- б
- років
- Ти
- вашу
- зефірнет