Xưởng sản xuất Amazon SageMaker là một môi trường phát triển tích hợp (IDE) dựa trên web dành cho máy học (ML) cho phép bạn xây dựng, đào tạo, gỡ lỗi, triển khai và giám sát các mô hình ML của mình. Để cung cấp Studio trong tài khoản AWS và Khu vực của bạn, trước tiên bạn cần tạo một Amazon SageMaker miền—một cấu trúc gói gọn môi trường ML của bạn. Cụ thể hơn, một miền SageMaker bao gồm một liên kết Hệ thống tệp đàn hồi Amazon (Amazon EFS), danh sách người dùng được ủy quyền và nhiều loại bảo mật, ứng dụng, chính sách và Đám mây riêng ảo Amazon (Amazon VPC) cấu hình.
Khi tạo miền SageMaker, bạn có thể chọn sử dụng một trong hai Trung tâm nhận dạng AWS IAM (kế thừa AWS Single Sign-On) hoặc Quản lý truy cập và nhận dạng AWS (IAM) cho các phương thức xác thực người dùng. Cả hai phương thức xác thực đều có các trường hợp sử dụng riêng; trong bài đăng này, chúng tôi tập trung vào các miền SageMaker có Trung tâm nhận dạng IAM hoặc chế độ đăng nhập một lần (SSO) làm phương thức xác thực.
Với chế độ SSO, bạn thiết lập nhóm và người dùng SSO trong Trung tâm nhận dạng IAM, sau đó cấp quyền truy cập cho nhóm SSO hoặc người dùng từ bảng điều khiển Studio. Hiện tại, tất cả người dùng SSO trong miền kế thừa vai trò thực thi của miền. Điều này có thể không làm việc cho tất cả các tổ chức. Chẳng hạn, quản trị viên có thể muốn thiết lập quyền IAM cho người dùng Studio SSO dựa trên tư cách thành viên nhóm Active Directory (AD) của họ. Ngoài ra, do quản trị viên bắt buộc phải cấp cho người dùng SSO quyền truy cập Studio theo cách thủ công nên quá trình này có thể không mở rộng quy mô khi giới thiệu hàng trăm người dùng.
Trong bài đăng này, chúng tôi cung cấp hướng dẫn theo quy định về giải pháp cấp phép cho người dùng SSO cho Studio với các quyền đặc quyền tối thiểu dựa trên tư cách thành viên nhóm AD. Hướng dẫn này cho phép bạn nhanh chóng mở rộng quy mô để giới thiệu hàng trăm người dùng vào Studio cũng như đạt được trạng thái tuân thủ và bảo mật của mình.
Tổng quan về giải pháp
Sơ đồ sau minh họa kiến trúc giải pháp.
Quy trình cấp phép cho người dùng AD trong Studio bao gồm các bước sau:
- Thiết lập một Miền studio ở chế độ SSO.
- Đối với mỗi nhóm AD:
- Thiết lập vai trò thực thi Studio của bạn với các chính sách IAM chi tiết phù hợp
- Ghi lại một mục trong ánh xạ vai trò nhóm AD Máy phát điện Amazon bảng.
Ngoài ra, bạn có thể áp dụng tiêu chuẩn đặt tên cho ARN vai trò IAM dựa trên tên nhóm AD và lấy ARN vai trò IAM mà không cần lưu trữ ánh xạ trong cơ sở dữ liệu bên ngoài.
- Đồng bộ hóa người dùng và nhóm AD của bạn cũng như tư cách thành viên với AWS Identity Center:
- Nếu bạn đang sử dụng nhà cung cấp danh tính (IdP) hỗ trợ SCIM, hãy sử dụng tích hợp API SCIM với Trung tâm nhận dạng IAM.
- Nếu bạn đang sử dụng AD tự quản lý, bạn có thể sử dụng AD Connector.
- Khi nhóm AD được tạo trong AD công ty của bạn, hãy hoàn thành các bước sau:
- Tạo nhóm SSO tương ứng trong Trung tâm nhận dạng IAM.
- Liên kết nhóm SSO với miền Studio bằng bảng điều khiển SageMaker.
- Khi một người dùng AD được tạo trong AD công ty của bạn, một người dùng SSO tương ứng sẽ được tạo trong Trung tâm nhận dạng IAM.
- Khi người dùng AD được gán cho một nhóm AD, API Trung tâm nhận dạng IAM (TạoNhómTư cách thành viên) được gọi và tư cách thành viên nhóm SSO được tạo.
- Sự kiện trước được đăng nhập Đường mòn đám mây AWS với cái tên
AddMemberToGroup
. - An Sự kiện Amazon quy tắc lắng nghe các sự kiện CloudTrail và khớp với
AddMemberToGroup
mẫu quy tắc. - Quy tắc EventBridge kích hoạt mục tiêu AWS Lambda chức năng.
- Hàm Lambda này sẽ gọi lại API Trung tâm nhận dạng IAM, lấy thông tin nhóm và người dùng SSO, đồng thời thực hiện các bước sau để tạo hồ sơ người dùng Studio (Tạo hồ sơ người dùng) cho người dùng SSO:
- Tra cứu bảng DynamoDB để tìm nạp vai trò IAM tương ứng với nhóm AD.
- Tạo hồ sơ người dùng với người dùng SSO và vai trò IAM thu được từ bảng tra cứu.
- Người dùng SSO được cấp quyền truy cập vào Studio.
- Người dùng SSO được chuyển hướng đến Studio IDE thông qua URL miền Studio.
Lưu ý rằng khi viết, Bước 4b (liên kết nhóm SSO với miền Studio) cần được quản trị viên thực hiện thủ công bằng bảng điều khiển SageMaker ở cấp miền SageMaker.
Thiết lập hàm Lambda để tạo hồ sơ người dùng
Giải pháp sử dụng hàm Lambda để tạo hồ sơ người dùng Studio. Chúng tôi cung cấp hàm Lambda mẫu sau đây mà bạn có thể sao chép và sửa đổi để đáp ứng nhu cầu tự động hóa việc tạo hồ sơ người dùng Studio của mình. Chức năng này thực hiện các hành động sau:
- Nhận CloudTrail
AddMemberToGroup
sự kiện từ EventBridge. - Truy xuất Studio
DOMAIN_ID
từ biến môi trường (bạn cũng có thể mã hóa cứng ID miền hoặc sử dụng bảng DynamoDB nếu bạn có nhiều miền). - Đọc từ bảng đánh dấu giả để khớp người dùng AD với vai trò thực thi. Bạn có thể thay đổi điều này để tìm nạp từ bảng DynamoDB nếu bạn đang sử dụng phương pháp tiếp cận dựa trên bảng. Nếu bạn sử dụng DynamoDB, thì vai trò thực thi hàm Lambda của bạn cũng cần có quyền đọc từ bảng.
- Truy xuất thông tin thành viên nhóm AD và người dùng SSO từ Trung tâm nhận dạng IAM, dựa trên dữ liệu sự kiện CloudTrail.
- Tạo hồ sơ người dùng Studio cho người dùng SSO, với thông tin chi tiết về SSO và vai trò thực thi phù hợp.
Lưu ý rằng theo mặc định, vai trò thực thi Lambda không có quyền truy cập để tạo hồ sơ người dùng hoặc liệt kê người dùng SSO. Sau khi bạn tạo hàm Lambda, hãy truy cập vai trò thực thi của hàm trên IAM và đính kèm chính sách sau dưới dạng chính sách nội tuyến sau khi thu hẹp phạm vi khi cần dựa trên yêu cầu của tổ chức bạn.
Thiết lập quy tắc EventBridge cho sự kiện CloudTrail
EventBridge là dịch vụ xe buýt sự kiện không có máy chủ mà bạn có thể sử dụng để kết nối các ứng dụng của mình với dữ liệu từ nhiều nguồn khác nhau. Trong giải pháp này, chúng tôi tạo trình kích hoạt dựa trên quy tắc: EventBridge lắng nghe các sự kiện và khớp với mẫu được cung cấp, đồng thời kích hoạt hàm Lambda nếu khớp mẫu thành công. Như đã giải thích trong phần tổng quan về giải pháp, chúng tôi lắng nghe AddMemberToGroup
sự kiện. Để thiết lập nó, hãy hoàn thành các bước sau:
- Trên bảng điều khiển EventBridge, chọn Nội quy trong khung điều hướng.
- Chọn Tạo quy tắc.
- Cung cấp tên quy tắc, ví dụ:
AddUserToADGroup
. - Theo tùy chọn, nhập mô tả.
- Chọn mặc định cho xe buýt sự kiện.
- Theo Loại quy tắc, chọn Quy tắc có mẫu sự kiện, sau đó chọn Sau.
- trên Xây dựng mô hình sự kiện trang, chọn Nguồn sự kiện as Sự kiện AWS hoặc sự kiện của đối tác EventBridge.
- Theo mẫu sự kiện, chọn Các mẫu tùy chỉnh (trình chỉnh sửa JSON) tab và nhập mẫu sau:
- Chọn Sau.
- trên Chọn (các) mục tiêu trang, chọn dịch vụ AWS cho loại mục tiêu, hàm Lambda làm mục tiêu và hàm bạn đã tạo trước đó, sau đó chọn Sau.
- Chọn Sau trên Định cấu hình thẻ trang, sau đó chọn Tạo quy tắc trên Xem lại và tạo .
Sau khi đã đặt hàm Lambda và quy tắc EventBridge, bạn có thể thử nghiệm giải pháp này. Để làm như vậy, hãy mở IdP của bạn và thêm người dùng vào một trong các nhóm AD với vai trò thực thi Studio được ánh xạ. Sau khi thêm người dùng, bạn có thể xác minh nhật ký hàm Lambda để kiểm tra sự kiện, đồng thời xem người dùng Studio được cung cấp tự động. Ngoài ra, bạn có thể sử dụng các Mô tả Hồ sơ người dùng Lệnh gọi API để xác minh rằng người dùng được tạo với các quyền phù hợp.
Hỗ trợ nhiều tài khoản Studio
Để hỗ trợ nhiều tài khoản Studio với kiến trúc trước đó, chúng tôi khuyên bạn nên thực hiện các thay đổi sau:
- Thiết lập một nhóm QUẢNG CÁO liên kết với từng cấp tài khoản Studio.
- Thiết lập vai trò IAM cấp nhóm trong từng tài khoản Studio.
- Thiết lập hoặc đưa nhóm vào ánh xạ vai trò IAM.
- Thiết lập hàm Lambda để thực hiện giả định vai trò liên tài khoản, dựa trên ARN ánh xạ vai trò IAM và tạo hồ sơ người dùng.
Hủy cấp phép người dùng
Khi một người dùng bị xóa khỏi nhóm AD của họ, bạn cũng nên xóa quyền truy cập của họ khỏi miền Studio. Với SSO, khi người dùng bị xóa, người dùng đó sẽ tự động bị vô hiệu hóa trong Trung tâm nhận dạng IAM nếu có đồng bộ hóa Trung tâm nhận dạng AD với IAM và quyền truy cập ứng dụng Studio của họ sẽ bị thu hồi ngay lập tức.
Tuy nhiên, hồ sơ người dùng trên Studio vẫn tồn tại. Bạn có thể thêm quy trình làm việc tương tự với CloudTrail và chức năng Lambda để xóa hồ sơ người dùng khỏi Studio. Trình kích hoạt EventBridge bây giờ sẽ lắng nghe XóaNhómTư cách thành viên sự kiện. Trong hàm Lambda, hãy hoàn tất các bước sau:
- Lấy tên hồ sơ người dùng từ ID người dùng và nhóm.
- Liệt kê tất cả các ứng dụng đang chạy cho hồ sơ người dùng bằng cách sử dụng Danh sách ứng dụng lệnh gọi API, lọc theo
UserProfileNameEquals
tham số. Đảm bảo kiểm tra phản hồi được phân trang để liệt kê tất cả các ứng dụng cho người dùng. - Xóa tất cả ứng dụng đang chạy cho người dùng và đợi cho đến khi tất cả ứng dụng bị xóa. Bạn có thể dùng Mô tả ứng dụng API để xem trạng thái của ứng dụng.
- Khi tất cả các ứng dụng ở trong một Xóa trạng thái (hoặc thất bại), xóa hồ sơ người dùng.
Với giải pháp này, quản trị viên nền tảng ML có thể duy trì tư cách thành viên nhóm ở một vị trí trung tâm và tự động hóa việc quản lý hồ sơ người dùng Studio thông qua các chức năng EventBridge và Lambda.
Đoạn mã sau hiển thị một sự kiện CloudTrail mẫu:
Đoạn mã sau hiển thị một yêu cầu API hồ sơ người dùng Studio mẫu:
Kết luận
Trong bài đăng này, chúng tôi đã thảo luận về cách quản trị viên có thể mở rộng quy mô giới thiệu Studio cho hàng trăm người dùng dựa trên tư cách thành viên nhóm AD của họ. Chúng tôi đã trình diễn một kiến trúc giải pháp toàn diện mà các tổ chức có thể áp dụng để tự động hóa và mở rộng quy trình tích hợp nhằm đáp ứng các nhu cầu về tính linh hoạt, bảo mật và tuân thủ của họ. Nếu bạn đang tìm kiếm một giải pháp có thể mở rộng để tự động hóa quá trình giới thiệu người dùng của mình, hãy thử giải pháp này và để lại phản hồi cho bạn bên dưới! Để biết thêm thông tin về cách làm quen với Studio, hãy xem Tích hợp vào Miền Amazon SageMaker.
Giới thiệu về tác giả
Ram Vittal là một Kiến trúc sư giải pháp chuyên gia ML tại AWS. Ông có hơn 20 năm kinh nghiệm kiến trúc và xây dựng các ứng dụng phân tán, kết hợp và đám mây. Anh ấy đam mê xây dựng các giải pháp dữ liệu lớn và AI/ML an toàn và có thể mở rộng để giúp khách hàng doanh nghiệp trong hành trình tối ưu hóa và áp dụng đám mây nhằm cải thiện kết quả kinh doanh của họ. Khi rảnh rỗi, anh ấy lái xe máy và đi dạo cùng chú cừu vẽ nguệch ngoạc 2 tuổi của mình!
Durga Sury là Kiến trúc sư giải pháp ML trong nhóm Amazon SageMaker Service SA. Cô ấy đam mê làm cho máy học có thể tiếp cận được với mọi người. Trong 4 năm làm việc tại AWS, cô đã giúp thiết lập các nền tảng AI/ML cho khách hàng doanh nghiệp. Khi không làm việc, cô ấy thích đi xe máy, tiểu thuyết bí ẩn và đi bộ đường dài với chú chó husky 5 tuổi của mình.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- EVM tài chính. Giao diện hợp nhất cho tài chính phi tập trung. Truy cập Tại đây.
- Tập đoàn truyền thông lượng tử. Khuếch đại IR/PR. Truy cập Tại đây.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- nguồn: https://aws.amazon.com/blogs/machine-learning/onboard-users-to-amazon-sagemaker-studio-with-active-directory-group-specific-iam-roles/
- : có
- :là
- :không phải
- $ LÊN
- 1
- 11
- 116
- 20
- 20 năm
- 200
- 22
- 24
- 7
- 9
- a
- Giới thiệu
- Chấp nhận
- truy cập
- có thể truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- Đạt được
- Hoạt động
- hành động
- hoạt động
- Ad
- thêm vào
- thêm
- Ngoài ra
- quản trị viên
- quản trị
- nhận nuôi
- Nhận con nuôi
- Sau
- chống lại
- AI / ML
- Tất cả
- cho phép
- Ngoài ra
- đàn bà gan dạ
- Amazon SageMaker
- Xưởng sản xuất Amazon SageMaker
- Amazon Web Services
- an
- và
- api
- API
- Các Ứng Dụng
- các ứng dụng
- phương pháp tiếp cận
- thích hợp
- ứng dụng
- kiến trúc
- LÀ
- AS
- giao
- Liên kết
- liên kết
- giả định
- At
- đính kèm
- Xác thực
- ủy quyền
- tự động hóa
- tự động
- tự động hóa
- AWS
- trở lại
- dựa
- BE
- bởi vì
- được
- lớn
- Dữ Liệu Lớn.
- thân hình
- cả hai
- xây dựng
- Xây dựng
- xe buýt
- kinh doanh
- by
- cuộc gọi
- CAN
- trường hợp
- Trung tâm
- trung tâm
- thay đổi
- Những thay đổi
- tính cách
- kiểm tra
- Chọn
- khách hàng
- đám mây
- áp dụng đám mây
- mã
- COM
- hoàn thành
- tuân thủ
- Kết nối
- bao gồm
- An ủi
- xây dựng
- bối cảnh
- Doanh nghiệp
- Tương ứng
- tạo
- tạo ra
- Tạo
- tạo
- Hiện nay
- khách hàng
- dữ liệu
- Cơ sở dữ liệu
- Mặc định
- chứng minh
- triển khai
- Mô tả
- chi tiết
- chi tiết
- Phát triển
- bị vô hiệu hóa
- thảo luận
- phân phối
- do
- Không
- làm
- miền
- lĩnh vực
- dont
- xuống
- mỗi
- Sớm hơn
- biên tập viên
- hiệu lực
- hay
- khác
- cho phép
- Cuối cùng đến cuối
- đăng ký hạng mục thi
- Doanh nghiệp
- nhập
- Môi trường
- Sự kiện
- sự kiện
- mọi người
- ví dụ
- thực hiện
- kinh nghiệm
- Giải thích
- ngoài
- sai
- thông tin phản hồi
- Tập tin
- lọc
- Tên
- Tập trung
- tiếp theo
- Trong
- từ
- chức năng
- chức năng
- Hơn nữa
- được
- cấp
- cấp
- Nhóm
- Các nhóm
- hướng dẫn
- xử lý
- Có
- he
- giúp đỡ
- đã giúp
- cô
- của mình
- Độ đáng tin của
- HTML
- http
- HTTPS
- Hàng trăm
- Hỗn hợp
- ID
- Bản sắc
- if
- minh họa
- ngay
- nhập khẩu
- nâng cao
- in
- bao gồm
- thông tin
- ví dụ
- tích hợp
- hội nhập
- viện dẫn
- IT
- cuộc hành trình
- json
- học tập
- ít nhất
- Rời bỏ
- cho phép
- Cấp
- Danh sách
- địa điểm thư viện nào
- đăng nhập
- logic
- tìm kiếm
- tra cứu
- yêu
- máy
- học máy
- duy trì
- làm cho
- Làm
- quản lý
- thủ công
- lập bản đồ
- Trận đấu
- phù hợp
- Có thể..
- Gặp gỡ
- hội viên
- thành viên
- thành viên
- phương pháp
- phương pháp
- ML
- Chế độ
- mô hình
- sửa đổi
- Màn Hình
- chi tiết
- xe mô tô
- nhiều
- Trinh thám
- tên
- đặt tên
- THÔNG TIN
- Cần
- cần thiết
- cần
- nhu cầu
- không
- tại
- thu được
- of
- OKTA
- on
- onboard
- Tiếp nhận nhận việc
- hàng loạt
- ONE
- mở
- tối ưu hóa
- or
- cơ quan
- tổ chức
- OS
- ra
- kết quả
- kết thúc
- tổng quan
- riêng
- trang
- cửa sổ
- tham số
- đối tác
- đam mê
- Họa tiết
- mô hình
- Thực hiện
- thực hiện
- thực hiện
- quyền
- vẫn tồn tại
- Nơi
- nền tảng
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điều luật
- Bài đăng
- riêng
- đặc quyền
- quá trình
- Hồ sơ
- Profiles
- cho
- cung cấp
- nhà cung cấp dịch vụ
- cung cấp
- Mau
- Đọc
- giới thiệu
- khu
- tẩy
- Đã loại bỏ
- yêu cầu
- cần phải
- Yêu cầu
- tài nguyên
- phản ứng
- trở lại
- Vai trò
- vai trò
- Quy tắc
- chạy
- s
- SA
- nhà làm hiền triết
- khả năng mở rộng
- Quy mô
- Xác định phạm vi
- an toàn
- an ninh
- xem
- Không có máy chủ
- dịch vụ
- DỊCH VỤ
- định
- chị ấy
- nên
- Chương trình
- tương tự
- kể từ khi
- duy nhất
- So
- giải pháp
- Giải pháp
- nguồn
- nguồn
- chuyên gia
- Tiêu chuẩn
- Tiểu bang
- Tuyên bố
- Trạng thái
- Bước
- Các bước
- Vẫn còn
- hàng
- phòng thu
- thành công
- hỗ trợ
- Hỗ trợ
- bàn
- Mục tiêu
- nhóm
- thử nghiệm
- việc này
- Sản phẩm
- cung cấp their dịch
- sau đó
- điều này
- Thông qua
- thời gian
- đến
- Train
- kích hoạt
- đúng
- thử
- kiểu
- không xác định
- cho đến khi
- URL
- sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- giá trị
- nhiều
- xác minh
- phiên bản
- thông qua
- Xem
- ảo
- khối lượng
- chờ đợi
- muốn
- we
- web
- các dịch vụ web
- Dựa trên web
- TỐT
- khi nào
- sẽ
- với
- không có
- Công việc
- quy trình làm việc
- đang làm việc
- viết
- năm
- Bạn
- trên màn hình
- zephyrnet