本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管道跨账户 Support SageMaker
您可以使用 Amazon SageMaker 模型构建管道的跨账户支持,跨 Amazon 账户共享管道实体,并通过直接 API 调用访问共享管道。
设置跨账户管道共享
SageMaker 使用 R es Amazon ource Access Manager (Amazon RAM) 来帮助您安全地跨账户共享管道实体。
创建资源共享
-
通过 Amazon RAM 控制台
选择创建资源共享。 -
指定资源共享详细信息时,选择 Pipelin SageMaker es 资源类型,然后选择要共享的一个或多个管道。当您与任何其他账户共享管道时,其所有执行也会被隐式共享。
-
将权限与资源共享关联。选择默认只读权限策略或扩展的管道执行权限策略。有关更多详细信息,请参阅 SageMaker 管道资源的权限策略。
注意
如果您选择扩展管道执行策略,请注意共享账户调用的任何启动、停止和重试命令都使用共享管道的 Amazon 账户中的资源。
-
使用 Amazon 账户 ID 指定要向其授予共享资源访问权限的账户。
-
查看您的资源共享配置,然后选择创建资源共享。可能需要几分钟时间来完成资源共享和主体关联。
有关更多信息,请参阅《Resourc e Amazon Access Manager 用户指南》中的共享Amazon资源。
获取对资源共享邀请的回复
设置资源共享和委托人关联后,指定的 Amazon 账户将收到加入资源共享的邀请。 Amazon 账户必须接受邀请才能访问任何共享资源。
有关通过接受资源共享邀请的更多信息 Amazon RAM,请参阅 Resource Acc ess Manager 用户指南中的使用共享 Amazon 资源。Amazon
SageMaker 管道资源的权限策略
创建资源共享时,请选择两个支持的权限策略之一,将其与 SageMaker 管道资源类型相关联。这两个策略都授予对任何选定管道及其所有执行的访问权限。
默认只读权限
AWSRAMDefaultPermissionSageMakerPipeline 策略允许执行以下只读操作:
"sagemaker:DescribePipeline" "sagemaker:DescribePipelineDefinitionForExecution" "sagemaker:DescribePipelineExecution" "sagemaker:ListPipelineExecutions" "sagemaker:ListPipelineExecutionSteps" "sagemaker:ListPipelineParametersForExecution" "sagemaker:Search"
扩展的管道执行权限
AWSRAMPermissionSageMakerPipelineAllowExecution 策略包括默认策略中的所有只读权限,还允许共享账户启动、停止和重试管道执行。
注意
使用扩展管道执行权限策略时,请注意 Amazon 资源使用情况。使用此策略时,允许共享账户启动、停止和重试管道执行。用于共享管道执行的所有资源均由拥有者账户使用。
扩展的管道执行权限策略允许执行以下操作:
"sagemaker:DescribePipeline" "sagemaker:DescribePipelineDefinitionForExecution" "sagemaker:DescribePipelineExecution" "sagemaker:ListPipelineExecutions" "sagemaker:ListPipelineExecutionSteps" "sagemaker:ListPipelineParametersForExecution" "sagemaker:StartPipelineExecution" "sagemaker:StopPipelineExecution" "sagemaker:RetryPipelineExecution" "sagemaker:Search"
通过直接 API 调用访问共享管道实体
跨账户渠道共享设置完成后,您可以使用管道 ARN 调用以下 SageMaker API 操作:
注意
只有当 API 命令包含在与资源共享关联的权限中时,才能调用这些命令。如果您选择AWSRAMPermissionSageMakerPipelineAllowExecution策略,则启动、停止和重试命令将使用共享管道的 Amazon 账户中的资源。