机器学习 (ML) 管理员在维护 ML 工作负载的安全性和完整性方面发挥着关键作用。 他们的主要重点是确保用户以最大的安全性进行操作,遵守最小权限原则。 然而,满足不同用户角色的不同需求并创建适当的权限策略有时会阻碍敏捷性。 为了应对这一挑战,AWS 推出了 Amazon SageMaker 角色管理器 2022 年 XNUMX 月。SageMaker Role Manager 是一款功能强大的工具,您可以使用它来快速开发基于角色的角色,并且可以轻松自定义角色以满足特定要求。
借助 SageMaker Role Manager,管理员可以高效地定义针对不同用户组量身定制的基于角色的角色。 这种方法确保个人只能访问对其任务至关重要的资源和操作,从而降低未经授权的操作或违规的风险。 SageMaker Role Manager 还允许进行细粒度的自定义。 ML 管理员可以通过修改与每个角色关联的权限来定制角色以满足特定要求。 这种灵活性确保权限与各个用户的任务和职责精确匹配,提供强大的安全框架,同时适应独特的用例。
SageMaker Role Manager 目前可在 亚马逊SageMaker 所有商业区域的控制台。 今天,我们通过 SageMaker Role Manager 推出了在几分钟内定义自定义权限的功能 AWS云开发套件 (AWS CDK)。 这解决了更广泛采用的一个关键障碍,因为机器学习管理员现在可以以编程方式自动执行任务。 借助 AWS CDK 的强大功能,机器学习管理员可以简化工作流程、减少手动工作并确保机器学习基础设施权限管理的一致性。
解决方案概述
随着 SageMaker Role Manager CDK 的发布,我们将推出两项新的基础架构即代码 (IaC) 功能:
您可以创建细粒度的 AWS身份和访问管理 (IAM) ML 角色的角色,例如数据科学家、ML 工程师或数据工程师。 SageMaker Role Manager 提供预定义的角色和 ML 活动,以简化您的权限生成流程,使您的 ML 从业人员能够以最少的权限履行其职责。 为了安全访问您的 ML 资源,SageMaker Role Manager 允许您指定网络和加密权限 亚马逊虚拟私有云 (Amazon VPC)资源和 AWS密钥管理服务 (AWS KMS) 加密密钥。 此外,您可以通过附加您自己的客户管理策略来自定义权限。
SageMaker Role Manager CDK 可让您在几分钟内为 SageMaker 用户定义自定义权限。 它附带了一组针对不同角色和机器学习活动的预定义策略模板。 角色代表需要权限才能在 SageMaker 中执行 ML 活动的不同类型的用户,例如数据科学家或 MLOps 工程师。 ML 活动是完成常见 ML 任务的一组权限,例如运行 亚马逊SageMaker Studio 应用程序或管理实验、模型或管道。 选择角色类型和 ML 活动集后,SageMaker Role Manager CDK 会自动创建您可以分配给 SageMaker 用户的所需 IAM 角色和策略。 同样,您还可以为自动化作业(例如运行 SageMaker Pipelines)创建具有细粒度权限的 IAM 角色。
先决条件
要开始使用 SageMaker Role Manager CDK,您需要完成以下先决步骤:
- 为 ML 管理员设置角色以创建和管理角色,以及这些用户的 IAM 权限。 有关示例管理策略,请参阅先决条件部分 使用 Amazon SageMaker 角色管理器在几分钟内定义自定义权限 博客文章
- 创建仅计算角色(如果没有)用于传递到作业和端点。 有关设置该角色的说明,请参阅 使用角色管理器.
- 设置您的 AWS CDK 开发环境。 有关说明,请参阅 开始使用 AWS CDK.
安装并运行 SageMaker Role Manager CDK
请完成以下步骤来设置 SageMaker Role Manager CDK:
- 创建您的 AWS CDK 应用程序 并给它一个名字; 例如,
RoleManager
. - 导航到
RoleManager
文件夹并运行以下命令来创建一个空白的 typescript AWS CDK 项目: - 可选
package.json
并添加突出显示的包,如以下代码所示: - 运行以下命令来安装新的
cdk-aws-sagemaker-role-manager
包装: - 导航到 lib 文件夹并替换
role_manager_stack.ts
使用以下代码: - 更换
passRoleId
,passRoleName
,newRoleId
,newRoleName
及newRoleDescription
根据您对角色创建的要求。 - 导航回您的 AWS CDK 应用程序主文件夹并运行以下命令来验证生成的 AWS CloudFormation 模板:
- 最后,运行以下命令在您的 AWS 账户中运行 CloudFormation 堆栈:
您应该会看到类似于以下屏幕截图中的 AWS CDK 部署输出。
以下提供了更多 SageMaker Role Manager CDK 示例 GitHub回购.
ML 角色和活动 CDK 参考
管理员可以使用 ML 活动类的 ML 活动静态函数之一定义 ML 活动。 有关最新版本的列表,请参阅 机器学习活动参考.
ML角色类支持以下方法:
- 自定义VPC(子网、安全组) – 自定义支持 VPC 角色自定义的所有活动的 VPC。
- 定制KMS(数据密钥,卷密钥) – 自定义支持角色 KMS 密钥自定义的所有活动的 KMS 密钥。
- createRole(范围、id、角色名称后缀、角色描述) – 创建一个角色,其角色的活动权限类似于 ID 范围内的 UI,名称为
SageMaker-${roleNameSuffix}
以及可选的传递的角色描述。 - grantPermissionsTo(身份) – 授予角色对身份的活动权限。 传递的身份可以是角色或与角色关联的 AWS 资源(例如,Lambda 函数的角色描述了 Lambda 函数可以访问哪些资源)。
- grantPermissionsTo() – 更新传递的身份的角色以具有 ML 活动中指定的权限。
ML 活动类支持与 ML 角色相同的功能集; 然而,不同之处在于,使用此接口创建 IAM 角色时,ML 活动仅限于单个活动。
结论
SageMaker Role Manager 使您能够根据角色、预构建的 ML 活动和自定义策略创建自定义角色,从而显着减少所需的时间。 现在,借助最新的 AWS CDK 支持,定义角色的能力得到进一步扩展,以支持基础设施即代码。 这使得 ML 从业者能够在 SageMaker 中以编程方式工作,从而提高效率并能够无缝集成到他们的工作流程中。
我们希望听取您的意见,了解这项新功能如何为您提供帮助。 尝试对 SageMaker Role Manager 的新 AWS CDK 支持并向我们发送您的反馈!
要了解有关如何使用 SageMaker Role Manager 的更多信息,请参阅 SageMaker 角色管理器开发人员指南。
作者简介
阿卡什·巴蒂亚 是一位首席解决方案架构师,拥有跨多个行业的经验,包括制造、汽车、零售以及空间和技术。 Akash 目前在 Amazon Web Services 企业部门工作,与各种客户(包括财富 100 强公司和初创企业)密切合作,以促进他们的云迁移之旅。 除了技术专长之外,阿卡什还领导了产品和项目管理,在他的职业生涯中成功监督了许多大型计划。
拉姆·维塔尔 是 AWS 的首席机器学习解决方案架构师。 他在架构和构建分布式、混合和云应用程序方面拥有 20 多年的经验。 他热衷于构建安全且可扩展的 AI/ML 和大数据解决方案,以帮助企业客户进行云采用和优化之旅,以改善他们的业务成果。 在业余时间,他喜欢骑摩托车、打网球和摄影。
奥赞埃肯 是 Amazon Web Services 的高级产品经理。 他在咨询和产品管理方面拥有超过 15 年的经验。 他热衷于为企业客户构建机器学习的治理产品和管理功能。 工作之余,他喜欢探索不同的户外活动和观看足球比赛。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://aws.amazon.com/blogs/machine-learning/define-customized-permissions-in-minutes-with-amazon-sagemaker-role-manager-via-the-aws-cdk/
- :具有
- :是
- $UP
- 100
- 11
- 15 年
- 15%
- 20
- 20 年
- 2022
- 22
- 7
- a
- 对,能力--
- 关于
- ACCESS
- 完成
- 账号管理
- 行动
- 活动
- 活动
- 加
- 增加
- 地址
- 地址
- 管理员
- 管理员
- 采用
- 后
- AI / ML
- 对齐
- 所有类型
- 允许
- 允许
- 还
- Amazon
- 亚马逊SageMaker
- 亚马逊网络服务
- an
- 和
- 任何
- 应用
- 应用领域
- 的途径
- 适当
- 保健
- AS
- 相关
- At
- 自动化
- 自动化
- 自动
- 汽车
- 可使用
- AWS
- 背部
- 基于
- BE
- 因为
- 大
- 大数据运用
- 博客
- 违规
- 建筑物
- 商业
- by
- CAN
- 能力
- 寻找工作
- 例
- 挑战
- 程
- 客户
- 密切
- 云端技术
- 云采用
- 码
- 结合
- 购买的订单均
- 商业的
- 相当常见
- 公司
- 完成
- 安慰
- 建设
- 咨询
- 创建信息图
- 创建
- 创造
- 创建
- 危急
- 目前
- 习俗
- 顾客
- 合作伙伴
- 定制
- 定制
- 定制
- data
- 数据科学家
- 十二月
- 部署
- 描述
- 开发
- 开发商
- 研发支持
- 差异
- 不同
- 不同
- 分布
- 不同
- 别
- 每
- 容易
- 效率
- 有效
- 工作的影响。
- 如虎添翼
- 使
- 使
- 加密
- 工程师
- 工程师
- 加强
- 确保
- 确保
- 企业
- 环境
- 必要
- 例子
- 例子
- 扩大
- 体验
- 实验
- 专门知识
- 探索
- 出口
- 扩展
- 促进
- 专栏
- 高度灵活
- 专注焦点
- 以下
- 针对
- 运气
- 骨架
- 止
- 功能
- 功能
- 进一步
- 此外
- 产生
- 代
- 给
- 治理
- 补助金
- 组的
- 指南
- 有
- 有
- he
- 听
- 帮助
- 帮助
- 突出
- 他的
- 主页
- 创新中心
- How To
- 但是
- HTML
- HTTP
- HTTPS
- 杂交种
- ID
- 身分
- if
- 进口
- 改善
- in
- 包含
- 个人
- 个人
- 行业
- 基础设施
- 项目
- 安装
- 说明
- 积分
- 诚信
- 接口
- 成
- 介绍
- IT
- 工作机会
- 旅程
- JPG
- 键
- 键
- 大规模
- 最新
- 发射
- 学习用品
- 学习
- 最少
- 导致
- 让
- 喜欢
- 喜欢
- 清单
- 机
- 机器学习
- 维护
- 管理
- 管理
- 颠覆性技术
- 经理
- 管理的
- 手册
- 制造业
- 满足
- 方法
- 移民
- 分钟
- ML
- 多播
- 模型
- 更多
- 摩托车
- 多
- 姓名
- 需求
- 需要
- 工业网络
- 全新
- 现在
- 众多
- 障碍
- of
- 优惠精选
- on
- 一
- 仅由
- 操作
- 优化
- or
- 输出
- 结果
- 产量
- 学校以外
- 超过
- 己
- 包
- 通过
- 通过
- 多情
- 演出
- 允许
- 权限
- 摄影
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 播放
- 政策
- 政策
- 帖子
- 功率
- 强大
- 恰恰
- 小学
- 校长
- 原理
- 私立
- 特权
- 过程
- 产品
- 产品管理
- 产品经理
- 核心产品
- 曲目
- 项目
- 优
- 内存
- 范围
- 减少
- 减少
- 地区
- 释放
- 更换
- 代表
- 必须
- 岗位要求
- 资源
- 资源
- 责任
- 零售
- 骑术
- 风险
- 健壮
- 角色
- 角色
- 运行
- 运行
- sagemaker
- SageMaker管道
- 同
- 可扩展性
- 科学家
- 科学家
- 范围
- 无缝的
- 部分
- 安全
- 保安
- 看到
- 中模板
- 选
- 提交
- 前辈
- 特色服务
- 集
- 应该
- 如图
- 显著
- 类似
- 同样
- 单
- 足球
- 方案,
- 解决方案
- 太空
- 具体的
- 指定
- 堆
- 开始
- 初创公司
- 开始
- 步骤
- 精简
- 串
- 子网
- 顺利
- 这样
- SUPPORT
- 支持
- 如飞
- 量身定制
- 任务
- 任务
- 文案
- 专业技术
- 模板
- 模板
- 这
- 其
- Free Introduction
- 那些
- 始终
- 次
- 至
- 今晚
- 工具
- 尝试
- 二
- 类型
- 类型
- 打字稿
- ui
- 独特
- 最新动态
- us
- 使用
- 用户
- 用户
- 运用
- 确认
- 通过
- 在线会议
- 观看
- we
- 卷筒纸
- Web服务
- 井
- ,尤其是
- 这
- 而
- 更宽
- 工作
- 工作流程
- 加工
- 合作
- 将
- 年
- 完全
- 您一站式解决方案
- 和风网