本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
角色管理器常见问题
有关亚马逊 SageMaker 角色管理器的常见问题解答,请参阅以下常见问题解答。
答:您可以通过亚马逊 SageMaker 控制台中的多个位置访问亚马逊 SageMaker 角色管理器。有关访问角色管理器并使用它来创建角色的信息,请参阅使用角色管理器(控制台)。
答:角色是基于常见机器学习 (ML) 责任的预配置权限组。例如,数据科学角色建议在 SageMaker 环境中进行一般机器学习开发和实验的权限,而 mLOpS 角色则建议对与操作相关的机器学习活动拥有权限。
答:机器学习活动是与机器学习相关的常见 Amazon 任务 SageMaker,需要特定的 IAM 权限。使用 Amazon SageMaker 角色管理器创建角色时,每个角色都会建议相关的机器学习活动。机器学习活动包括 Amazon S3 完全访问权限或搜索和可视化实验等任务。有关更多信息,请参阅 机器学习活动参考。
答:能。使用 Amazon SageMaker 角色管理器创建的角色是具有自定义访问策略的 IAM 角色。您可以在 IAM 控制台
答:您可以在 IAM 控制台"sagemaker-",以便于在 IAM 控制台中搜索。例如,如果您在创建角色时将角色命名为 test-123,则您的角色将在 IAM 控制台中显示为 sagemaker-test-123。
答:能。您可以通过 IA M 控制台修改由 Amazon SageMaker 角色管理器创建的角色
答:能。您可以将账户中的任何 Amazon 或客户管理的 IAM 策略附加到您使用 Amazon Role Manager 创建的 SageMaker 角色中。
答:最多可向 IAM 角色或用户附加 20 个托管策略。托管策略的最大字符数限制为 6144。有关更多信息,请参阅 IAM 对象配额和 IAM 和 Amazon Security Token Service 配额名称要求以及字符限制。
答:您在 Amazon SageMaker 角色管理器中第 1 步。输入角色信息提供的任何条件(例如子网、安全组或 KMS 密钥)都会自动传递给中第 2 步。配置机器学习活动选定的任何机器学习活动。如有必要,您还可以将其他条件添加到机器学习活动。例如,您也可以向“管理训练作业”活动添加 InstanceTypes 或 IntercontainerTrafficEncryption 条件。
答:您可以在 Amazon 角色管理器步骤 3:添加其他策略和标签中为自己的 SageMaker 角色添加标签。要使用标签成功管理 Amazon 资源,必须为角色和所有关联策略添加相同的标签。例如,可以将标签添加到角色和 Amazon S3 存储桶。然后,由于该角色将标签传递给 SageMaker 会话,因此只有具有该角色的用户才能访问该 S3 存储桶。您可以通过 IAM 控制台
答:不能。但是,在角色管理器中创建服务角色后,您可以前往 IAM 控制台编辑该角色并在 IAM 控制台中添加人工访问角色。
答:用户直接代入用户联合身份验证角色来访问 Amazon 资源,例如访问 Amazon Web Services Management Console。 SageMaker 执行角色由 SageMaker 服务代替,代表用户或自动化工具执行某项功能。例如,当用户打开 Studio Classic 实例时,Studio Classic 将扮演与用户配置文件关联的执行角色,以便代表该用户访问 Amazon 资源。如果用户配置文件未指定执行角色,则执行角色将在 Amazon SageMaker 域级别指定。
答:如果您使用自定义 Web 应用程序访问 Studio Classic,则您具有混合用户联合角色和 SageMaker 执行角色。请确保此角色对用户可以执行的操作和 Studio Classic 可以代表关联用户执行的操作的权限最小。
答: Amazon IAM Identity Center Studio Classic 云应用程序使用 Studio Classic 执行角色向联合用户授予权限。可以在 Studio Classic IAM IAM Identity Center 用户配置文件级别或默认域级别指定此执行角色。用户身份和群组必须同步到 IAM Identity Center,并且必须使用配置文件创建 Studio Classic 用户配置CreateUser文件,并使用 IAM 身份中心用户分配。有关更多信息,请参阅 通过 IAM 身份中心启动 Studio 经典版。