共享特征组目录 - Amazon SageMaker
使用共享功能组目录 Amazon SDK for Python (Boto3)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享特征组目录

特征组目录 DefaultFeatureGroupCatalog 包含资源拥有者账户拥有的所有 特征组实体。资源所有者账户可以共享目录,以允许单个或多个资源使用者账户被发现。这是通过在 Amazon Resource Access Manager (Amazon RAM) 中创建资源共享来完成的。功能组是 Amazon SageMaker Feature Store 中的主要资源,由功能定义和记录组成,由功能商店管理。有关特征组的更多信息,请参阅 Feature Store 概念

可发现性意味着资源使用者账户可以搜索可发现的资源。可发现的资源被视为在自己的账户中(不包括标签)。当允许特征组目录可被发现时,默认情况下不向资源使用者账户授予访问权限(只读、读写或管理员权限)。访问权限是在资源级别授予,而不是在账户级别授予。有关授予访问权限的信息,请参阅启用跨账户访问

为了启用跨账户可发现性,您需要在使用 Amazon RAM 开发者指南中的Amazon RAM 创建 SageMaker 资源共享说明的同时指定资源目录和功能组目录。在下文中,我们给出了使用 Amazon RAM 控制台说明的规范。

  1. 指定资源共享详细信息

    • 资源类型:选择SageMaker 资源目录

    • ARN:选择具有如下格式的特征组目录 ARN:arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog

      us-east-1 是资源所在的区域,111122223333 是资源拥有者账户 ID。

    • 资源 ID:选择 DefaultFeatureGroupCatalog

  2. 关联托管权限

    • 托管权限:选择 AWSRAMPermissionSageMakerCatalogResourceSearch

  3. 向主体授予访问权限

    • 选择主体类型(Amazon Web Services 账户、组织或组织部门),然后输入相应的 ID。

      如果你是一个组织,你可能想利用 Amazon Organizations。通过 Organization Amazon Web Services 账户 s,您可以与个人、组织中的所有账户或组织单位 (OU) 共享资源。这简化了权限的应用,而不必为每个账户应用权限。有关共享资源和在其中授予权限的更多信息 Amazon,请参阅《 Amazon Resource Access Manager 开发人员指南》Amazon Organizations中的启用资源共享

  4. 审核和创建

    • 审核,然后选择创建资源共享

可能需要花几分钟时间,才能完成资源共享和主体(或资源使用者账户)关联。设置资源共享和主体关联后,指定的资源使用者账户会收到加入资源共享的邀请。资源使用者帐户可以通过在 Amazon RAM 控制台中打开 “与我共享:资源共享” 页面来查看和接受邀请。有关接受和查看中资源的更多信息 Amazon RAM,请参阅访问与您共享的 Amazon 资源。在以下情况下不会发送邀请:

  • 如果您是组织中的一员, Amazon Organizations 并且在您的组织中共享已启用。在这种情况下,组织中的委托人无需邀请即可自动访问共享资源。

  • 如果您与拥有 Amazon Web Services 账户 该资源的用户共享,则该账户中的委托人无需邀请即可自动访问共享资源。

有关接受和使用资源共享的更多信息,请参阅搜索可发现资源

使用共享功能组目录 Amazon SDK for Python (Boto3)

您可以使用 f Amazon SDK for Python (Boto3) or Amazon RAM API 来创建资源共享。以下代码是 us-ea st- 1 区域111122223333内的资源所有者账户 ID 的示例。资源所有者正在创建名为的资源共享test-cross-account-catalog。他们正在使用资源使用者帐户 ID 共享功能组目录444455556666。要使用适用于 Amazon RAM API 的 Python SDK,请附加具有执行角色的 AWSRAMPermissionSageMakerCatalogResourceSearch 策略。有关更多详细信息,请参阅 Amazon RAM API

#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()

# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
    name='test-cross-account-catalog', # Change to your custom resource share name
    resourceArns=[
        'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
    ],
    principals=[
        '444455556666', # Change 444455556666 to the resource consumer account ID
    ],
    permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)

主体是安全系统的参与者。在基于资源的策略中,允许的委托人是 IAM 用户、IAM 角色、根账户或其他 Amazon 服务。