本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
角色管理器常见问题
有关亚马逊 SageMaker 角色管理器的常见问题解答,请参阅以下常见问题解答。
答:您可以通过亚马逊 SageMaker 控制台中的多个位置访问亚马逊 SageMaker 角色管理器。有关访问角色管理器并使用它来创建角色的信息,请参阅使用角色管理器(控制台)。
答:角色是基于常见机器学习 (ML) 责任的预配置权限组。例如,数据科学角色建议在 SageMaker 环境中进行一般机器学习开发和实验的权限,而 mLOpS 角色则建议对与操作相关的机器学习活动拥有权限。
答:机器学习活动是与机器学习相关的常见 Amazon 任务 SageMaker,需要特定的 IAM 权限。使用 Amazon SageMaker 角色管理器创建角色时,每个角色都会建议相关的机器学习活动。机器学习活动包括 Amazon S3 完全访问权限或搜索和可视化实验等任务。有关更多信息,请参阅 机器学习活动参考。
答:能。使用 Amazon SageMaker 角色管理器创建的角色是具有自定义访问策略的 IAM 角色。您可以在 IAM 控制台
答:您可以在 IAM 控制台"sagemaker-",以便于在 IAM 控制台中搜索。例如,如果您在创建角色时将角色命名为 test-123,则您的角色将在 IAM 控制台中显示为 sagemaker-test-123。
答:能。您可以通过 IA M 控制台修改由 Amazon SageMaker 角色管理器创建的角色
答:能。您可以将账户中的任何 Amazon 或客户托管的 IAM 策略附加到您使用 Amazon Role Manager 创建的 SageMaker 角色中。
答:最多可向 IAM 角色或用户附加 20 个托管策略。托管策略的最大字符数限制为 6144。有关更多信息,请参阅 IAM 对象配额和 IAM 和 Amazon Security Token Service 配额名称要求以及字符限制。
答:您在 Amazon SageMaker 角色管理器中第 1 步。输入角色信息提供的任何条件(例如子网、安全组或 KMS 密钥)都会自动传递给中第 2 步。配置机器学习活动选定的任何机器学习活动。如有必要,您还可以将其他条件添加到机器学习活动。例如,您也可以向“管理训练作业”活动添加 InstanceTypes 或 IntercontainerTrafficEncryption 条件。
答:您可以在 Amazon 角色管理器步骤 3:添加其他策略和标签中为自己的 SageMaker 角色添加标签。要使用标签成功管理 Amazon 资源,必须为角色和所有关联策略添加相同的标签。例如,可以将标签添加到角色和 Amazon S3 存储桶。然后,由于该角色将标签传递给 SageMaker 会话,因此只有具有该角色的用户才能访问该 S3 存储桶。您可以通过 IAM 控制台
答:不能。但是,在角色管理器中创建服务角色后,您可以前往 IAM 控制台编辑该角色并在 IAM 控制台中添加人工访问角色。
答:用户直接代入用户联合身份验证角色来访问 Amazon 资源,例如访问 Amazon Web Services Management Console。 SageMaker 执行角色由 SageMaker 服务代替,代表用户或自动化工具执行某项功能。例如,当用户打开 Studio Classic 实例时,Studio Classic 将扮演与用户配置文件关联的执行角色,以便代表该用户访问 Amazon 资源。如果用户配置文件未指定执行角色,则执行角色将在 Amazon SageMaker 域级别指定。
答:如果您使用自定义 Web 应用程序访问 Studio Classic,则您具有混合用户联合角色和 SageMaker 执行角色。请确保此角色对用户可以执行的操作和 Studio Classic 可以代表关联用户执行的操作的权限最小。
答: Amazon IAM Identity Center Studio Classic 云应用程序使用 Studio Classic 执行角色向联合用户授予权限。可以在 Studio Classic IAM IAM Identity Center 用户配置文件级别或默认域级别指定此执行角色。用户身份和群组必须同步到 IAM Identity Center,并且必须使用使用 IAM Identity Center 用户分配创建 Studio Classic 用户资料CreateUserProfile。有关更多信息,请参阅 通过 IAM 身份中心启动 Studio 经典版。