为 Pipelines 设置跨账户支持 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Pipelines 设置跨账户支持

Amazon Pipel SageMaker ines 的跨账户支持使您能够与使用不同 Amazon 账户运营的其他团队或组织在机器学习管道上进行协作。通过设置跨账户管道共享,您可以授予对管道的控制访问权限、允许其他账户查看管道详细信息、触发执行和监控运行情况。以下主题介绍如何设置跨账户管道共享、共享资源可用的不同权限策略,以及如何通过直接API调用访问共享管道实体并与之交互。 SageMaker

设置跨账户管道共享

SageMaker 使用 R es Amazon ource Access Manager (Amazon RAM) 来帮助你安全地跨账户共享管道实体。

创建资源共享

  1. 通过 Amazon RAM 控制台选择创建资源共享

  2. 指定资源共享详细信息时,选择 Pipelines 资源类型,然后选择要共享的一个或多个管道。当您与任何其他账户共享管道时,其所有执行也会被隐式共享。

  3. 将权限与资源共享关联。选择默认只读权限策略或扩展的管道执行权限策略。有关更多详细信息,请参阅 管道资源的权限策略

    注意

    如果您选择扩展管道执行策略,请注意共享账户调用的任何启动、停止和重试命令都使用共享管道的 Amazon 账户中的资源。

  4. 使用 Amazon 账户指定IDs要向其授予共享资源访问权限的账户。

  5. 查看您的资源共享配置,然后选择创建资源共享。可能需要几分钟时间来完成资源共享和主体关联。

有关更多信息,请参阅《Resourc e Amazon Access Manager 用户指南》中的共享Amazon资源

获取对资源共享邀请的回复

设置资源共享和委托人关联后,指定的 Amazon 账户将收到加入资源共享的邀请。 Amazon 账户必须接受邀请才能访问任何共享资源。

有关通过接受资源共享邀请的更多信息 Amazon RAM,请参阅 Resource Acc ess Manager 用户指南中的使用共享 Amazon 资源。Amazon

管道资源的权限策略

创建资源共享时,请选择两个支持的权限策略之一,将其与 SageMaker 管道资源类型相关联。这两个策略都授予对任何选定管道及其所有执行的访问权限。

默认只读权限

AWSRAMDefaultPermissionSageMakerPipeline 策略允许执行以下只读操作:

"sagemaker:DescribePipeline" "sagemaker:DescribePipelineDefinitionForExecution" "sagemaker:DescribePipelineExecution" "sagemaker:ListPipelineExecutions" "sagemaker:ListPipelineExecutionSteps" "sagemaker:ListPipelineParametersForExecution" "sagemaker:Search"

扩展的管道执行权限

AWSRAMPermissionSageMakerPipelineAllowExecution 策略包括默认策略中的所有只读权限,还允许共享账户启动、停止和重试管道执行。

注意

使用扩展管道执行权限策略时,请注意 Amazon 资源使用情况。使用此策略时,允许共享账户启动、停止和重试管道执行。用于共享管道执行的所有资源均由拥有者账户使用。

扩展的管道执行权限策略允许执行以下操作:

"sagemaker:DescribePipeline" "sagemaker:DescribePipelineDefinitionForExecution" "sagemaker:DescribePipelineExecution" "sagemaker:ListPipelineExecutions" "sagemaker:ListPipelineExecutionSteps" "sagemaker:ListPipelineParametersForExecution" "sagemaker:StartPipelineExecution" "sagemaker:StopPipelineExecution" "sagemaker:RetryPipelineExecution" "sagemaker:Search"

通过直接API调用访问共享管道实体

跨账户渠道共享设置完成后,您可以使用管道ARN调用以下 SageMaker API操作:

注意

只有当API命令包含在与您的资源共享关联的权限中时,您才能调用这些命令。如果您选择AWSRAMPermissionSageMakerPipelineAllowExecution策略,则启动、停止和重试命令将使用共享管道的 Amazon 账户中的资源。