角色管理器常见问题
有关 Amazon SageMaker 角色管理器的常见问题解答,请参阅以下常见问题解答项。
答:您可以通过 Amazon SageMaker 控制台中的多个位置访问 Amazon SageMaker 角色管理器。有关访问角色管理器并使用它来创建角色的信息,请参阅使用角色管理器(控制台)。
答:角色是基于常见机器学习 (ML) 责任的预配置权限组。例如,数据科学家角色建议拥有在 SageMaker 环境中进行一般机器学习开发和实验的权限,而 MLOps 角色则建议拥有与运营相关的机器学习活动的权限。
答:机器学习活动是与 SageMaker 机器学习相关的常见 Amazon 任务,需要特定的 IAM 权限。使用 Amazon SageMaker 角色管理器创建角色时,每个角色都会建议相关的机器学习活动。机器学习活动包括 Amazon S3 完全访问权限或搜索和可视化实验等任务。有关更多信息,请参阅 机器学习活动参考。
答:是。使用 Amazon SageMaker 角色管理器创建的角色是具有自定义访问策略的 IAM 角色。您可以在 IAM 控制台
答:您可以在 IAM 控制台"sagemaker-",以便于在 IAM 控制台中搜索。例如,如果您在创建角色时将角色命名为 test-123,则您的角色将在 IAM 控制台中显示为 sagemaker-test-123。
答:是。您可以通过 IAM 控制台
答:是。您可以将账户中的任何 Amazon 或客户托管的 IAM 策略附加到使用 Amazon SageMaker 角色管理器创建的角色中。
答:最多可向 IAM 角色或用户附加 20 个托管策略。托管策略的最大字符数限制为 6144。有关更多信息,请参阅 IAM 对象配额和 IAM 与 Amazon Security Token Service 配额、名称要求和字符限制。
答:您在 Amazon SageMaker 角色管理器的第 1 步。输入角色信息中提供的任何条件(如子网、安全组或 KMS 密钥)都会自动传递给第 2 步。配置机器学习活动中选定的任何机器学习活动。如有必要,您还可以将其他条件添加到机器学习活动。例如,您也可以向“管理训练作业”活动添加 InstanceTypes 或 IntercontainerTrafficEncryption 条件。
答:您可以在 Amazon SageMaker 角色管理器的步骤 3:添加其他策略和标签中为自己的角色添加标签。要使用标签成功管理 Amazon 资源,必须为角色和所有关联策略添加相同的标签。例如,可以将标签添加到角色和 Amazon S3 存储桶。然后,由于该角色将标签传递给 SageMaker 会话,因此只有具有该角色的用户才能访问 S3 存储桶。您可以通过 IAM 控制台
答:不能。但是,在角色管理器中创建服务角色后,您可以前往 IAM 控制台编辑该角色并在 IAM 控制台中添加人工访问角色。
答:用户直接代入用户联合身份验证角色来访问 Amazon 资源,例如访问 Amazon Web Services Management Console。SageMaker 服务代入 SageMaker 执行角色,代表用户或自动化工具执行某项功能。例如,当用户打开 Studio 实例时,Studio 将代入与用户配置文件关联的执行角色,以便代表该用户访问 Amazon 资源。如果用户配置文件未指定执行角色,则将在 Amazon SageMaker 域级别指定执行角色。
答:如果您使用自定义 Web 应用程序访问 Studio,则需要混合用户联合身份验证角色和 SageMaker 执行角色。请确保此角色对用户可执行的操作和 Studio 可代表关联用户执行的操作都具有最低权限。
答:Amazon IAM Identity Center Studio 云应用程序使用 Studio 执行角色向联合用户授予权限。可以在 Studio IAM Identity Center 用户配置文件级别或默认域级别指定此执行角色。必须将用户身份和组同步到 IAM Identity Center,并且必须使用 CreateUserProfile 通过 IAM Identity Center 用户分配创建 Studio 用户配置文件。有关更多信息,请参阅 通过 IAM Identity Center 启动 Studio。