使用角色管理器(控制台) - Amazon SageMaker
先决条件第 1 步。输入角色信息第 2 步。配置机器学习活动步骤 3:添加其他策略和标签审核角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用角色管理器(控制台)

您可以从 Amazon SageMaker 控制台左侧导航栏的以下位置使用 Amazon SageMaker 角色管理器:

  • 入门 - 快速为您的用户添加权限策略。

  • - 为 Amazon SageMaker 域中的用户添加权限策略。

  • 笔记本 - 为创建和运行笔记本的用户添加最低权限。

  • 训练 - 为创建和管理训练作业的用户添加最低权限。

  • 推理 - 为部署和管理推理模型的用户添加最低权限。

您可以使用以下步骤从 SageMaker 控制台的不同位置开始创建角色的过程。

如果是首次使用 SageMaker,建议您从入门部分创建角色。

要使用 Amazon SageMaker 角色管理器创建角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择角色管理器

  4. 选择创建角色

开始创建 Amazon SageMaker 域的过程时,可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon SageMaker 角色管理器创建角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择

  4. 选择创建域

  5. 选择使用角色创建向导创建角色

开始创建笔记本的过程时,您可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon SageMaker 角色管理器创建角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航栏中,选择笔记本

  3. 选择 Notebook instance (笔记本实例)

  4. 选择创建笔记本实例

  5. 选择使用角色创建向导创建角色

开始创建训练作业的过程时,您可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon SageMaker 角色管理器创建角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航栏中,选择训练

  3. 选择训练作业

  4. 选择 Create training job (创建训练作业)

  5. 选择使用角色创建向导创建角色

开始部署推理模型的过程时,您可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon SageMaker 角色管理器创建角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航栏中,选择推理

  3. 选择模型

  4. 选择 Create model (创建模型)

  5. 选择使用角色创建向导创建角色

完成上述过程之一后,使用以下部分中的信息来帮助创建角色。

先决条件

要使用 Amazon SageMaker 角色管理器,您必须拥有创建 IAM 角色的权限。该权限通常提供给机器学习管理员和拥有机器学习从业者最低权限的角色。

您可以通过切换角色,在 Amazon Web Services Management Console 中暂时代入 IAM 角色。有关使用角色的方法的更多信息,请参阅《IAM 用户指南》中的 使用 IAM 角色

第 1 步。输入角色信息

提供一个名称以用作新 SageMaker 角色的唯一后缀。默认情况下,每个角色名称都会添加前缀 "sagemaker-",以便于在 IAM 控制台中搜索。例如,如果您在创建角色时将角色命名为 test-123,则您的角色将在 IAM 控制台中显示为 sagemaker-test-123。您也可以添加对角色的描述,以提供更多详细信息。

然后,从可用角色中选择一种角色,以获取数据科学家、数据工程师或机器学习操作 (MLOps) 工程师等角色的建议权限。有关可用角色及其建议权限的信息,请参阅角色参考。要在没有任何建议权限的情况下创建角色,请选择自定义角色设置

注意

建议您首先使用角色管理器创建 SageMaker 计算角色,以便 SageMaker 计算资源能够执行训练和推理等任务。使用“SageMaker 计算角色”角色通过角色管理器创建此角色。创建 SageMaker 计算角色后,请记下其 ARN 以备将来使用。

网络和加密条件

我们建议您激活 VPC 自定义以使用 VPC 配置、子网和安全组,以及与您的新角色关联的 IAM 策略。激活 VPC 自定义后,与 VPC 资源交互的机器学习活动的 IAM 策略的范围将缩小为最低权限访问权限。默认情况下不激活 VPC 自定义。有关推荐的网络架构的更多详细信息,请参阅《Amazon 技术指南》中的网络架构

对于包含高度敏感数据的受监管工作负载,您还可以使用 KMS 密钥对数据进行加密、解密和重新加密。激活 Amazon KMS 自定义后,支持自定义加密密钥的机器学习活动的 IAM 策略的范围将缩小为最低权限访问权限。有关更多信息,请参阅《Amazon 技术指南》中的使用 Amazon KMS 进行加密

第 2 步。配置机器学习活动

每项 Amazon SageMaker 角色管理器机器学习活动都包含建议的 IAM 权限,用于提供对相关 Amazon 资源的访问权限。某些机器学习活动需要您添加服务角色 ARN 才能完成设置。有关预定义的机器学习活动及其权限的信息,请参阅 机器学习活动参考。有关添加服务角色的信息,请参阅服务角色

根据所选角色,已经选择了某些机器学习活动。您可以取消选择任何建议的机器学习活动,也可以选择其他活动来创建自己的角色。如果您选择了“自定义角色设置”角色,则在此步骤中不会预先选择任何机器学习活动。

您可以在步骤 3:添加其他策略和标签中向角色添加任何其他 Amazon 或由客户托管的 IAM 策略。

服务角色

某些 Amazon 服务需要服务角色才能代表您执行操作。如果所选的机器学习活动要求您传递服务角色,则必须提供该服务角色的 ARN。

您既可以创建新的服务角色,也可以使用现有服务角色,例如通过“SageMaker 计算角色”角色创建的服务角色。您可以通过在 IAM 控制台的“角色”部分选择角色名称来找到现有角色的 ARN。要了解有关服务角色的更多信息,请参阅为 Amazon 服务创建角色

步骤 3:添加其他策略和标签

您可以向新角色添加任何现有 Amazon 或由客户托管的 IAM 策略。有关现有 SageMaker 策略的信息,请参阅适用于 Amazon SageMaker 的 Amazon 托管式策略。您也可以在 IAM 控制台角色部分查看现有策略。

或者,使用基于标签的策略条件来分配元数据信息,以便对 Amazon 资源进行分类和管理。每个标签都由一个键值对表示。有关更多信息,请参阅使用标签控制对 Amazon 资源的访问

审核角色

花点时间查看与您的新角色相关的所有信息。选择上一步可返回并编辑任何信息。当您准备好创建角色时,选择创建角色。这将生成一个角色,该角色具有您选择的机器学习活动的权限。您可以在 IAM 控制台角色部分查看新角色。