跨账户脱机存储访问 - Amazon SageMaker
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户脱机存储访问

Amazon SageMaker Feature Store 允许用户在一个账户(账户 A)中创建功能组,并使用另一个账户(账户 B)中的 Amazon S3 存储桶使用脱机存储配置该功能组。可以使用以下部分中的步骤进行设置。

步骤 1:在账户 A 中设置离线存储访问角色

首先,为 设置角色Amazon SageMaker Feature Store以将数据写入脱机存储。完成此操作的最简单方法是使用 AmazonSageMakerFeatureStoreAccess 策略创建新角色或使用已附加 AmazonSageMakerFeatureStoreAccess 策略的现有角色。此文档将此策略称为 Account-A-Offline-Feature-Store-Role-ARN

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] } ] }

前面的代码段显示了 AmazonSageMakerFeatureStoreAccess 策略。默认情况下,策略的 Resource 部分缩小到名称中包含 SageMakerSagemaker或 的 S3 存储桶sagemaker。这意味着,正在使用的离线存储 S3 存储桶必须遵循此命名约定。如果不是您的情况,或者您希望进一步缩小资源的范围,则可以在 控制台中将策略复制并粘贴到 S3 存储桶策略中,将 Resource 部分自定义为 arn:aws:s3:::your-offline-store-bucket-name,然后附加到角色。

此外,此角色还必须附加 KMS 权限。它至少需要 kms:GenerateDataKey 权限才能使用您的客户托管 CMK 写入离线存储。请参阅步骤 3,了解为什么跨账户方案需要客户托管 CMK 以及如何设置它。以下示例显示了一个内联策略:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:*:Account-A-Account-Id:key/*" } ] }

此策略的 Resource 部分的范围限定为账户 A 中的任何密钥。要进一步缩小范围,在步骤 3 中设置脱机存储 KMS 密钥后,请返回到此策略并将其替换为密钥 ARN。

步骤 2:在账户 B 中设置脱机存储 S3 存储桶

在账户 B 中创建 S3 存储桶。如果您使用的是默认AmazonSageMakerFeatureStoreAccess策略,存储桶名称必须包含 SageMakerSagemakersagemaker。编辑存储桶策略,如以下示例所示,以允许账户 A 读取和写入对象。

此文档将以下示例存储桶策略称为 Account-B-Offline-Feature-Store-Bucket

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CrossAccountBucketAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl" ], "Principal": { "AWS": [ "*Account-A-Offline-Feature-Store-Role-ARN*" ], }, "Resource": [ "arn:aws:s3:::offline-store-bucket-name/*", "arn:aws:s3:::offline-store-bucket-name" ] } ] }

在上述策略中,委托人是 Account-A-Offline-Feature-Store-Role-ARN,这是在步骤 1 中的账户 A 中创建的 角色,提供给 Amazon SageMaker Feature Store 以写入离线存储。您可以在 下提供多个 ARN 角色Principal

步骤 3:在账户 A 中设置脱机存储 KMS 加密密钥

Amazon SageMaker Feature Store 确保始终为脱机存储中的 S3 对象启用服务器端加密。对于跨账户使用案例,您必须提供客户托管 CMK,以便您可以控制谁可以写入离线存储(在本例中Account-A-Offline-Feature-Store-Role-ARN来自账户 A)以及谁可以从离线存储(在本例中,来自账户 B 的身份)中进行读取。

此文档将以下示例密钥策略称为 Account-A-Offline-Feature-Store-KMS-Key-ARN

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account-A-Account-Id:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::Account-A-Account-Id:role/Administrator", ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow Feature Store to get information about the CMK", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "*Account-A-Offline-Feature-Store-Role-ARN*", "*arn:aws:iam::Account-B-Account-Id:root*" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:ListAliases", "kms:ListGrants" ], "Resource": "*", } ] }

步骤 4:在账户 A 中创建功能组

接下来,在账户 A 中创建 功能组,在账户 B 中创建脱机存储 S3 存储桶。为此RoleArn,请分别为 OfflineStoreConfig.S3StorageConfig.KmsKeyId OfflineStoreConfig.S3StorageConfig.S3Uri 和 提供以下参数:

  • 提供 Account-A-Offline-Feature-Store-Role-ARN 作为 RoleArn

  • Account-A-Offline-Feature-Store-KMS-Key-ARN 为 提供 OfflineStoreConfig.S3StorageConfig.KmsKeyId

  • Account-B-Offline-Feature-Store-Bucket 为 提供 OfflineStoreConfig.S3StorageConfig.S3Uri