角色管理器 FAQs - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

角色管理器 FAQs

有关亚马逊 SageMaker 角色管理器的常见问题解答,请参阅以下FAQ内容。

答:您可以通过亚马逊 SageMaker 控制台中的多个位置访问亚马逊 SageMaker 角色管理器。有关访问角色管理器并使用它来创建角色的信息,请参阅使用角色管理器(控制台)

答:角色是基于常见机器学习 (ML) 责任的预配置权限组。例如,数据科学角色建议在 SageMaker 环境中进行一般机器学习开发和实验的权限,而MLOps角色则建议拥有与操作相关的机器学习活动的权限。

答:机器学习活动是与机器学习相关的常见 Amazon 任务 SageMaker,需要特定的IAM权限。使用 Amazon SageMaker 角色管理器创建角色时,每个角色都会建议相关的机器学习活动。机器学习活动包括 Amazon S3 完全访问权限或搜索和可视化实验等任务。有关更多信息,请参阅 机器学习活动参考

答:能。使用 Amazon SageMaker 角色管理器创建的IAM角色是具有自定义访问策略的角色。您可以在IAM控制台的 “角色” 部分查看已创建的角色。

答:您可以在IAM控制台的 “角色” 部分查看已创建的角色。默认情况下,每个角色名称"sagemaker-"都会添加前缀,以便于在IAM控制台中进行搜索。例如,如果您在创建角色test-123时为角色命名,则您的角色将显示sagemaker-test-123在IAM控制台中。

答:能。您可以通过IAM控制台修改 Amazon SageMaker 角色管理器创建的角色和策略。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的修改角色

答:能。您可以将账户中的任何策略 Amazon 或客户管理的IAM策略附加到您使用 Amazon Role Manager 创建的 SageMaker 角色中。

答:将托管策略附加到IAM角色或用户的最大限制为 20。托管策略的最大字符数限制为 6144。有关更多信息,请参阅IAM对象配额IAM和 Amazon Security Token Service 配额名称要求以及字符限制

答:您在 Amazon SageMaker 角色管理器中第 1 步。输入角色信息提供的任何条件(例如子网、安全组或KMS密钥)都将自动传递给中第 2 步。配置机器学习活动选定的任何机器学习活动。如有必要,您还可以将其他条件添加到机器学习活动。例如,您也可以向“管理训练作业”活动添加 InstanceTypesIntercontainerTrafficEncryption 条件。

答:您可以在 Amazon 角色管理器步骤 3:添加其他策略和标签中为自己的 SageMaker 角色添加标签。要使用标签成功管理 Amazon 资源,必须为角色和所有关联策略添加相同的标签。例如,可以将标签添加到角色和 Amazon S3 存储桶。然后,由于该角色将标签传递给 SageMaker 会话,因此只有具有该角色的用户才能访问该 S3 存储桶。您可以通过IAM控制台向策略添加标签。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的为IAM角色添加标签

答:不是。 但是,在角色管理器中创建服务角色后,您可以前往IAM控制台编辑角色并在控制IAM台中添加人类访问角色。

答:用户直接代入用户联合身份验证角色来访问 Amazon 资源,例如访问 Amazon Web Services Management Console。 SageMaker 执行角色由 SageMaker 服务代替,代表用户或自动化工具执行某项功能。例如,当用户打开 Studio Classic 实例时,Studio Classic 将扮演与用户配置文件关联的执行角色,以便代表该用户访问 Amazon 资源。如果用户配置文件未指定执行角色,则执行角色将在 Amazon SageMaker 域级别指定。

答:如果您使用自定义 Web 应用程序访问 Studio Classic,则您具有混合用户联合角色和 SageMaker 执行角色。请确保此角色对用户可以执行的操作和 Studio Classic 可以代表关联用户执行的操作的权限最小。

答: Amazon IAM Identity Center Studio Classic 云应用程序使用 Studio Classic 执行角色向联合用户授予权限。可以在 Studio Classic Ident IAM ity Center 用户配置文件级别或默认域级别指定此执行角色。用户身份和群组必须同步到 Identity Center,并且必须使用IAM身份中心用户分配创建 Studio Classic 用户配置文件CreateUserProfile。IAM有关更多信息,请参阅 使用IAM身份中心启动 Studio Class