共享特征组目录 - 亚马逊 SageMaker AI
使用共享功能组目录 适用于 Python (Boto3) 的 Amazon SDK
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享特征组目录

特征组目录 DefaultFeatureGroupCatalog 包含资源拥有者账户拥有的所有 特征组实体。目录可由资源所有者账户共享,以便向单个或多个资源用户账户授予可发现性。具体方法是在 Amazon Resource Access Manager (Amazon RAM) 中创建一个资源共享。功能组是 Amazon SageMaker Feature Store 中的主要资源,由功能定义和记录组成,由功能商店管理。有关特征组的更多信息,请参阅 Feature Store 概念

可发现性是指资源用户账户可以搜索可发现的资源。可发现资源的查看方式就像在自己的账户中一样(不包括标签)。当允许特征组目录可被发现时,默认情况下不向资源使用者账户授予访问权限(只读、读写或管理员权限)。访问权限是在资源级别授予,而不是在账户级别授予。有关授予访问权限的信息,请参阅启用跨账户访问

要启用跨账户可发现性,您需要使用 Amazon RAM 开发者指南中的Amazon RAM 创建资源共享说明指定 SageMaker AI 资源目录和功能组目录。在下文中,我们给出了使用 Amazon RAM 控制台说明的规范。

  1. 指定资源共享详细信息

    • 资源类型:选择 SageMaker AI 资源目录

    • ARN:选择具有如下格式的特征组目录 ARN:arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog

      us-east-1 是资源所在的区域,111122223333 是资源拥有者账户 ID。

    • 资源 ID:选择 DefaultFeatureGroupCatalog

  2. 关联托管权限

    • 托管权限:选择 AWSRAMPermissionSageMakerCatalogResourceSearch

  3. 向主体授予访问权限

    • 选择主体类型(Amazon Web Services 账户、组织或组织部门),然后输入相应的 ID。

      如果您是一个组织,您可能需要利用 Amazon Organizations。通过 Organization Amazon Web Services 账户 s,您可以与个人、组织中的所有账户或组织单位 (OU) 共享资源。这就简化了权限的应用,而无需为每个账户应用权限。有关共享资源和在其中授予权限的更多信息 Amazon,请参阅《 Amazon Resource Access Manager 开发人员指南》Amazon Organizations中的启用资源共享

  4. 审核和创建

    • 审核,然后选择创建资源共享

可能需要花几分钟时间,才能完成资源共享和主体(或资源使用者账户)关联。设置资源共享和主体关联后,指定的资源使用者账户会收到加入资源共享的邀请。资源使用者帐户可以通过在 Amazon RAM 控制台中打开 “与我共享:资源共享” 页面来查看和接受邀请。有关接受和查看中资源的更多信息 Amazon RAM,请参阅访问与您共享的 Amazon 资源。在以下情况下不会发送邀请:

  • 如果您是组织中的一员, Amazon Organizations 并且在您的组织中共享已启用。在这种情况下,组织中的主体无需邀请即可自动访问共享资源。

  • 如果您与拥有 Amazon Web Services 账户 该资源的用户共享,则该账户中的委托人无需邀请即可自动访问共享资源。

有关接受和使用资源共享的更多信息,请参阅搜索可发现资源

使用共享功能组目录 适用于 Python (Boto3) 的 Amazon SDK

您可以使用 fo 适用于 Python (Boto3) 的 Amazon SDK r Amazon RAM APIs 来创建资源共享。以下代码是该区域111122223333内资源所有者账户 ID 的示例us-east-1。资源所有者正在创建名为 test-cross-account-catalog 的资源共享。它们与资源用户账户 ID 444455556666 共享特征组目录。要将 Python 开发工具包用于 Amazon RAM APIs,请将AWSRAMPermissionSageMakerCatalogResourceSearch策略与执行角色挂钩。有关更多信息,请参阅Amazon RAM APIs

#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()

# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
    name='test-cross-account-catalog', # Change to your custom resource share name
    resourceArns=[
        'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
    ],
    principals=[
        '444455556666', # Change 444455556666 to the resource consumer account ID
    ],
    permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)

主体是安全系统的参与者。在基于资源的策略中,允许的委托人是 IAM 用户、IAM 角色、根账户或其他 Amazon 服务。