本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
共享特征组目录
特征组目录 DefaultFeatureGroupCatalog
包含资源拥有者账户拥有的所有 特征组实体。资源所有者账户可以共享目录,以允许单个或多个资源使用者账户被发现。这是通过在 Amazon Resource Access Manager
(Amazon RAM) 中创建资源共享来完成的。功能组是 Amazon SageMaker Feature Store 中的主要资源,由功能定义和记录组成,由功能商店管理。有关特征组的更多信息,请参阅 Feature Store 概念。
可发现性意味着资源使用者账户可以搜索可发现的资源。可发现的资源被视为在自己的账户中(不包括标签)。当允许特征组目录可被发现时,默认情况下不向资源使用者账户授予访问权限(只读、读写或管理员权限)。访问权限是在资源级别授予,而不是在账户级别授予。有关授予访问权限的信息,请参阅启用跨账户访问。
为了启用跨账户可发现性,您需要在使用 Amazon RAM 开发者指南中的Amazon RAM 创建 SageMaker 资源共享说明的同时指定资源目录和功能组目录。在下文中,我们给出了使用 Amazon RAM 控制台说明的规范。
-
指定资源共享详细信息:
-
资源类型:选择SageMaker 资源目录。
-
ARN:选择具有如下格式的特征组目录 ARN:
arn:aws:sagemaker:
us-east-1
:111122223333
:sagemaker-catalog/DefaultFeatureGroupCatalog
是资源所在的区域,us-east-1
是资源拥有者账户 ID。111122223333
-
资源 ID:选择
DefaultFeatureGroupCatalog
。
-
-
关联托管权限:
-
托管权限:选择
AWSRAMPermissionSageMakerCatalogResourceSearch
。
-
-
向主体授予访问权限:
-
选择主体类型(Amazon Web Services 账户、组织或组织部门),然后输入相应的 ID。
如果你是一个组织,你可能想利用 Amazon Organizations。通过 Organization Amazon Web Services 账户 s,您可以与个人、组织中的所有账户或组织单位 (OU) 共享资源。这简化了权限的应用,而不必为每个账户应用权限。有关共享资源和在其中授予权限的更多信息 Amazon,请参阅《 Amazon Resource Access Manager 开发人员指南》Amazon Organizations中的启用资源共享。
-
-
审核和创建:
-
审核,然后选择创建资源共享。
-
可能需要花几分钟时间,才能完成资源共享和主体(或资源使用者账户)关联。设置资源共享和主体关联后,指定的资源使用者账户会收到加入资源共享的邀请。资源使用者帐户可以通过在 Amazon RAM 控制台中打开 “与我共享:资源共享
-
如果您是组织中的一员, Amazon Organizations 并且在您的组织中共享已启用。在这种情况下,组织中的委托人无需邀请即可自动访问共享资源。
-
如果您与拥有 Amazon Web Services 账户 该资源的用户共享,则该账户中的委托人无需邀请即可自动访问共享资源。
有关接受和使用资源共享的更多信息,请参阅搜索可发现资源。
使用共享功能组目录 Amazon SDK for Python (Boto3)
您可以使用 f Amazon SDK for Python (Boto3) or Amazon RAM API 来创建资源共享。以下代码是 us-ea st-
1 区域
内的资源所有者账户 ID 的示例。资源所有者正在创建名为的资源共享111122223333
。他们正在使用资源使用者帐户 ID 共享功能组目录test-cross-account-catalog
。要使用适用于 Amazon RAM
API 的 Python SDK,请附加具有执行角色的 444455556666
AWSRAMPermissionSageMakerCatalogResourceSearch
策略。有关更多详细信息,请参阅 Amazon RAM API
#Call list resource catalogs as a prerequisite for RAM share sagemaker_client.list_resource_catalogs() # Share DefaultFeatureGroupCatalog with other account ram_client = boto3.client("ram") response = ram_client.create_resource_share( name='
test-cross-account-catalog
', # Change to your custom resource share name resourceArns=[ 'arn:aws:sagemaker:us-east-1
:111122223333
:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change111122223333
to the resource owner account ID ], principals=[ '444455556666
', # Change444455556666
to the resource consumer account ID ], permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog )
主体是安全系统的参与者。在基于资源的策略中,允许的委托人是 IAM 用户、IAM 角色、根账户或其他 Amazon 服务。