授予用户执行时间序列预测的权限 - Amazon SageMaker
域名设置方法用户设置方法IAM 角色设置方法
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予用户执行时间序列预测的权限

要在 Amazon SageMaker Canvas 中执行时间序列预测,您的用户必须拥有必要的权限。向您的用户授予这些权限的首选方法是在设置 Amazon SageMaker 域名或编辑特定用户资料的设置时开启时间序列预测选项。您也可以使用手动方法将 Amazon Forecast 的策略和信任关系附加到 Amazon Identity and Access Management (IAM) 角色。

如果您想用自己的密钥加密时间序列预测,必须使用 Amazon KMS 密钥并修改 KMS 密钥策略,以便向 Amazon Forecast 使用的角色授予权限。有关设置 KMS 密钥和修改时间序列预测策略的更多信息,请参阅 时间序列预测的先决条件

域名设置方法

SageMaker 为您提供了通过域设置向用户授予时间序列预测权限的选项。您可以切换网域中所有用户的权限,并 SageMaker 设法为您附加所需的 IAM 策略和信任关系。

如果您是首次设置您的 Amazon SageMaker 域名,并且想要为该域中的所有用户开启时间序列预测权限,请使用以下步骤。

Quick setup

在为您的域名进行快速设置时,使用以下步骤打开 SageMaker Canvas 时间序列预测权限。

  1. 在 Amazon SageMaker 域名快速设置中,填写 “用户资料” 部分的 “名称” 和 “默认执行角色” 字段。

  2. 保持 “启用 SageMaker 画布权限” 选项处于开启状态。默认情况下,此选项处于打开状态。

  3. 选择 “提交” 以完成域名设置。

Standard setup

在为您的域名进行标准设置时,使用以下步骤打开 SageMaker Canvas 时间序列预测权限。

  1. 在 Amazon SageMaker 域名标准设置中,填写 “常规设置”、“Studio 设置” 和 “RStudio 设置” 页面。

  2. 选择 Canvas 设置页面。

  3. 对于 Canvas 基本权限配置,请保持启用 Canvas 基本权限选项处于打开状态。默认情况下,此选项处于打开状态。这些权限是开启时间序列预测权限所必需的。

  4. 对于时间序列预测配置,请保持启用时间序列预测选项处于打开状态。默认情况下,此选项处于打开状态。

  5. 选择创建并使用新的执行角色,或者,如果您已经拥有附带所需 Amazon Forecast 权限的 IAM 角色,则选择使用现有的执行角色。有关更多信息,请参阅 IAM 角色设置方法

  6. 完成对域名设置的任何其他更改,然后选择提交

现在,您的用户应该拥有在 C SageMaker anvas 中执行时间序列预测所需的权限。

用户设置方法

您可以为现有域中的单个用户配置时间序列预测权限。用户配置文件设置会覆盖常规域设置,因此您可以向特定用户授予权限,而无需向所有用户授予权限。要向还没有权限的特定用户授予时间序列预测权限,请使用以下过程。

  1. 打开 SageMaker 控制台,网址为 https://console.aws.amazon.com/sagemaker/

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择

  4. 域名页面上,选择您的域名。

  5. 用户配置文件选项卡中,选择要编辑其权限的用户的名称。

  6. 用户详细信息页面上,选择编辑

  7. 选择 Canvas 设置页面。

  8. 打开启用 Canvas 基本权限。这些权限是开启时间序列预测权限所必需的。

  9. 打开启用时间序列预测选项。

  10. 如果您想为用户使用与域中指定的角色不同的执行角色,请选择创建并使用新的执行角色,或者如果您已经有可供使用的 IAM 角色,则选择使用现有的执行角色。

    注意

    如果要使用现有的 IAM 角色,请确保该角色已附加 IAM 策略 AmazonSageMakerCanvasForecastAccess,并具有将 Amazon Forecast 作为服务主体的信任关系。有关更多信息,请参阅 IAM 角色设置方法 一节。

  11. Canvas 设置页面应如以下屏幕截图所示。完成对用户配置文件的任何其他更改,然后选择提交以保存更改。

    编辑域名设置时 SageMaker 画布设置页面的屏幕截图。

现在,您的用户应该有权在 C SageMaker anvas 中进行时间序列预测。

您也可以使用上述过程并关闭启用时间序列预测选项来移除用户的权限。

IAM 角色设置方法

您可以通过向为用户个人资料指定的 Amazon Identity and Access Management (IAM) 角色添加额外权限,手动授予用户在 Amazon SageMaker Canvas 中执行时间序列预测的权限。IAM 角色必须与 Amazon Forecast 之间存在信任关系,并附有授予 Forecast 权限的策略。

以下部分向您展示如何创建信任关系并将AmazonSageMakerCanvasForecastAccess托管策略附加到您的 IAM 角色,该角色授予在 C SageMaker anvas 中使用时间序列预测所需的最低权限。

注意

AmazonSageMakerCanvasForecastAccess策略授予访问 SageMaker 创建的 Amazon S3 存储桶的权限,该存储桶是 Canvas 应用程序数据的默认存储位置。如果您为 Canvas 应用程序数据指定了自定义 Amazon S3 存储位置,则必须将策略中的权限更新为您自己的 Amazon S3 存储桶。有关 Canvas 的自定义 Amazon S3 存储位置的更多信息,请参阅 配置 Amazon S3 存储

要使用手动方法配置 IAM 角色,请按以下步骤操作。

  1. 打开 SageMaker 控制台,网址为 https://console.aws.amazon.com/sagemaker/

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择

  4. 域名页面上,选择您的域名。

  5. 用户配置文件列表中,选择要向其授予时间序列预测权限的用户的配置文件。

  6. 详细信息下,复制或记下用户执行角色的名称。IAM 角色的名称应类似于下面的内容:111122223333

    SageMaker 控制台中用户个人资料的屏幕截图。

  7. 获得用户的 IAM 角色名称后,转至 IAM 控制台

  8. 选择角色

  9. 从角色列表中按名称搜索用户的 IAM 角色并将其选中。

  10. 权限下,选择添加权限

  11. 选择附加策略

  12. 搜索 AmazonSageMakerCanvasForecastAccess 托管策略并将其选中。选择附加策略将策略附加到该角色。

    附加策略后,该角色的权限部分现在应包括 AmazonSageMakerCanvasForecastAccess

  13. 返回 IAM 角色页面,在信任关系下,选择编辑信任策略

  14. 编辑信任策略编辑器中,更新信任策略以将 Forecast 添加为服务主体。该策略应类似于以下示例。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "sagemaker.amazonaws.com",
            "forecast.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  15. 编辑信任策略后,选择更新策略

现在,您应该拥有一个AmazonSageMakerCanvasForecastAccess附有策略的 IAM 角色,并与 Amazon Forecast 建立了信任关系,允许用户在 SageMaker Canvas 中执行时间序列预测。有关 Amazon 托管策略的信息,请参阅托管策略和内联策略

注意

如果您使用此方法来设置时间序列预测并希望对预测使用 Amazon KMS 加密,则必须配置 KMS 密钥的策略以授予其他权限。有关更多信息,请参阅 时间序列预测的先决条件