本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予用户执行时间序列预测的权限
要在 Amazon SageMaker Canvas 中执行时间序列预测,您的用户必须拥有必要的权限。向您的用户授予这些权限的首选方法是在设置 Amazon SageMaker 域名或编辑域名或用户个人资料的设置时开启时间序列预测选项。您也可以使用手动方法将 Amazon Forecast 的策略和信任关系附加到 Amazon Identity and Access Management (IAM) 角色。
如果您想使用自己的密钥对时间序列预测进行加密,则必须使用密 Amazon KMS 钥并修改密钥策略,以便向 Amazon Forecast 使用的角色授予权限。KMS有关设置KMS密钥和修改时间序列预测策略的更多信息,请参阅时间序列预测的先决条件。
SageMaker 域名设置方法
SageMaker 为您提供了通过域设置向用户授予时间序列预测权限的选项。您可以切换网域中所有用户的权限,并 SageMaker 设法为您附加所需的IAM策略和信任关系。
如果您已有域并且想要为该域中的所有用户开启时间序列预测权限,请按以下步骤操作:
-
打开 SageMaker 控制台,网址为https://console.aws.amazon.com/sagemaker/
。 -
在左侧导航窗格中,选择 域。
-
从域名列表中选择您的域名。
-
在域名设置页面上,选择应用程序配置选项卡。
-
在 “画布” 部分中,选择编辑。
-
编辑画布设置页面打开。在时间序列预测配置部分,打开启用时间序列预测开关。
-
对于 Amazon Forecast 角色,选择创建并使用新的执行角色或使用现有执行角色。
-
根据您在上一步中的选择,输入新IAM角色的后缀,或者选择现有IAM角色。
注意
如果您想使用现有IAM角色,请确保该角色已Amazon 托管策略: AmazonSageMakerCanvasForecastAccess附加IAM政策,并且具有确立 Amazon Forecast 作为服务委托人的信任关系。有关更多信息,请参阅 IAM角色设置方法 一节。
-
选择提交。
现在,您的用户应该拥有在 C SageMaker anvas 中执行时间序列预测所需的权限。
用户设置方法
您可以为现有域中的单个用户配置时间序列预测权限。用户配置文件设置会覆盖常规域设置,因此您可以向特定用户授予权限,而无需向所有用户授予权限。要向还没有权限的特定用户授予时间序列预测权限,请使用以下过程。
-
打开 SageMaker 控制台,网址为https://console.aws.amazon.com/sagemaker/
。 -
在左侧导航窗格中,选择 域。
-
从域名列表中选择您的域名。
-
选择 “用户个人资料” 选项卡。
-
在用户详细信息页面上,选择应用程序配置选项卡。
-
在 “画布” 部分中,选择编辑。
-
画布设置页面打开。在时间序列预测配置部分,打开启用时间序列预测开关。
-
对于 Amazon Forecast 角色,选择创建并使用新的执行角色或使用现有执行角色。
-
根据您在上一步中的选择,输入新IAM角色的后缀,或者选择现有IAM角色。
注意
如果您想使用现有IAM角色,请确保该角色已Amazon 托管策略: AmazonSageMakerCanvasForecastAccess附加IAM政策,并且具有确立 Amazon Forecast 作为服务委托人的信任关系。有关更多信息,请参阅 IAM角色设置方法 一节。
-
选择提交。
现在,您的用户应该有权在 C SageMaker anvas 中进行时间序列预测。
您也可以使用上述过程并关闭启用时间序列预测选项来移除用户的权限。
IAM角色设置方法
您可以通过向为用户个人资料指定的 Amazon Identity and Access Management (IAM) 角色添加额外权限,手动授予用户在 Amazon SageMaker Canvas 中执行时间序列预测的权限。该IAM角色必须与 Amazon Forecast 建立信任关系,并附有授予 Forecast 权限的策略。
以下部分向您展示如何创建信任关系以及如何将AmazonSageMakerCanvasForecastAccess
托管策略附加到您的IAM角色,这将授予在 C SageMaker anvas 中使用时间序列预测所需的最低权限。
注意
该AmazonSageMakerCanvasForecastAccess
策略授予访问 SageMaker 创建的 Amazon S3 存储桶的权限,该存储桶是 Canvas 应用程序数据的默认存储位置。如果您为 Canvas 应用程序数据指定了自定义 Amazon S3 存储位置,则必须将策略中的权限更新为您自己的 Amazon S3 存储桶。有关 Canvas 的自定义 Amazon S3 存储位置的更多信息,请参阅 配置 Amazon S3 存储。
要使用手动方法配置IAM角色,请按以下步骤操作。
-
打开 SageMaker 控制台,网址为https://console.aws.amazon.com/sagemaker/
。 -
在左侧导航窗格中,选择管理员配置。
-
在管理员配置下,选择域。
-
在域名页面上,选择您的域名。
-
从用户配置文件列表中,选择要向其授予时间序列预测权限的用户的配置文件。
-
在详细信息下,复制或记下用户执行角色的名称。IAM角色的名称应类似于以下内容:
111122223333
. -
获得用户IAM角色的名称后,转到IAM控制台
。 -
选择角色。
-
从IAM角色列表中按名称搜索用户的角色并将其选中。
-
在权限下,选择添加权限。
-
选择附加策略。
-
搜索
AmazonSageMakerCanvasForecastAccess
托管策略并将其选中。选择附加策略将策略附加到该角色。附加策略后,该角色的权限部分现在应包括
AmazonSageMakerCanvasForecastAccess
。 -
返回IAM角色页面,在 “信任关系” 下,选择 “编辑信任策略”。
-
在编辑信任策略编辑器中,更新信任策略以将 Forecast 添加为服务主体。该策略应类似于以下示例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com", "forecast.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
编辑信任策略后,选择更新策略。
现在,您应该拥有一个AmazonSageMakerCanvasForecastAccess
附有策略并与 Amazon Forecast 建立信任关系的IAM角色,允许用户在 SageMaker Canvas 中执行时间序列预测。有关 Amazon 托管策略的信息,请参阅托管策略和内联策略。
注意
如果您使用此方法来设置时间序列预测并希望对预测使用 Amazon KMS 加密,则必须配置KMS密钥的策略以授予其他权限。有关更多信息,请参阅 时间序列预测的先决条件。