为监控计划配置服务控制策略 - 亚马逊 SageMaker AI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为监控计划配置服务控制策略

在分别使用 API 或 CreateMonitoringScheduleAPI 为监控任务创建或更新计划时,必须指定其参数。UpdateMonitoringSchedule根据您的使用案例,可以通过以下方式之一执行此操作:

上述过程是相互排斥的,也就是说,在创建或更新监控计划时,要么指定 MonitoringJobDefinition 字段,要么指定 MonitoringJobDefinitionName 字段。

创建监控作业定义或在 MonitoringJobDefinition 字段中指定监控作业定义时,可以设置安全参数,如 NetworkConfigVolumeKmsKeyId。作为管理员,您可能希望将这些参数始终设置为特定值,以便监控作业始终在安全的环境中运行。为确保这一点,请设置适当的服务控制策略 (SCPs)。 SCPs 是一种组织策略,可用于管理组织中的权限。

以下示例显示了一个 SCP,在创建或更新监控作业计划时,您可以使用它来确保正确设置基础设施参数。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateDataQualityJobDefinition",
                "sagemaker:CreateModelBiasJobDefinition",
                "sagemaker:CreateModelExplainabilityJobDefinition",
                "sagemaker:CreateModelQualityJobDefinition"
            ],
            "Resource": "arn:*:sagemaker:*:*:*",
            "Condition": {
                "Null": {
                    "sagemaker:VolumeKmsKey":"true",
                    "sagemaker:VpcSubnets": "true",
                    "sagemaker:VpcSecurityGroupIds": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateDataQualityJobDefinition",
                "sagemaker:CreateModelBiasJobDefinition",
                "sagemaker:CreateModelExplainabilityJobDefinition",
                "sagemaker:CreateModelQualityJobDefinition"
            ],
            "Resource": "arn:*:sagemaker:*:*:*",
            "Condition": {
                "Bool": {
                    "sagemaker:InterContainerTrafficEncryption": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateMonitoringSchedule",
                "sagemaker:UpdateMonitoringSchedule"
            ],
            "Resource": "arn:*:sagemaker:*:*:monitoring-schedule/*",
            "Condition": {
                "Null": {
                    "sagemaker:ModelMonitorJobDefinitionName": "true"
                }
            }
        }
    ]
}

示例中的前两条规则可确保始终为监控作业定义设置安全参数。最后一条规则要求组织中的任何人在创建或更新计划时都必须指定 MonitoringJobDefinitionName 字段。这可确保在创建或更新计划时,组织中的任何人都无法通过指定 MonitoringJobDefinition 字段来为安全参数设置不安全的值。