使用角色管理器(控制台) - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用角色管理器(控制台)

您可以从亚马逊 SageMaker 控制台左侧导航栏的以下位置使用亚马逊 SageMaker 角色管理器:

  • 入门 - 快速为您的用户添加权限策略。

  • — 为 Amazon SageMaker 域中的用户添加权限策略。

  • 笔记本 - 为创建和运行笔记本的用户添加最低权限。

  • 训练 - 为创建和管理训练作业的用户添加最低权限。

  • 推理 - 为部署和管理推理模型的用户添加最低权限。

您可以使用以下步骤从 SageMaker 控制台中的不同位置开始创建角色的过程。

如果您是 SageMaker 首次使用,我们建议您从 “入门” 部分创建角色。

要使用 Amazon 角色管理器创建 SageMaker 角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择角色管理器

  4. 选择创建角色

当你开始创建亚马逊 SageMaker 域名时,你可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon 角色管理器创建 SageMaker 角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航窗格中,选择管理员配置

  3. 管理员配置下,选择

  4. 选择创建域

  5. 选择使用角色创建向导创建角色

在开始创建笔记本的过程时,您可以使用 Amazon SageMaker 角色管理器创建角色。

要使用 Amazon 角色管理器创建 SageMaker 角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航栏中,选择笔记本

  3. 选择笔记本实例

  4. 选择创建笔记本实例

  5. 选择使用角色创建向导创建角色

在开始创建训练作业的过程时,您可以使用 Amazon Role Manager 创建 SageMaker 角色。

要使用 Amazon 角色管理器创建 SageMaker 角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航栏中,选择训练

  3. 选择训练作业

  4. 选择 Create training job (创建训练作业)

  5. 选择使用角色创建向导创建角色

在开始部署用于推理的模型时,您可以使用 Amazon Role Manager 创建 SageMaker 角色。

要使用 Amazon 角色管理器创建 SageMaker 角色,请执行以下操作。

  1. 打开 Amazon SageMaker 控制台。

  2. 在左侧导航栏中,选择推理

  3. 选择模型

  4. 选择创建模型

  5. 选择使用角色创建向导创建角色

完成上述过程之一后,使用以下部分中的信息来帮助创建角色。

先决条件

要使用 Amazon SageMaker 角色管理器,您必须拥有创建IAM角色的权限。该权限通常提供给机器学习管理员和拥有机器学习从业者最低权限的角色。

您可以 Amazon Web Services Management Console 通过切换IAM角色在中临时扮演角色。有关使用角色的方法的更多信息,请参阅《IAM用户指南》中的使用IAM角色

第 1 步。输入角色信息

提供一个名称以用作新 SageMaker 角色的唯一后缀。默认情况下,每个角色名称"sagemaker-"都会添加前缀,以便于在IAM控制台中进行搜索。例如,如果您在创建角色test-123时为角色命名,则您的角色将显示sagemaker-test-123在IAM控制台中。您也可以添加对角色的描述,以提供更多详细信息。

然后,从一个可用角色中进行选择,以获取数据科学家、数据工程师或机器学习运营 (MLOps) 工程师等角色的建议权限。有关可用角色及其建议权限的信息,请参阅角色参考。要在没有任何建议权限的情况下创建角色,请选择自定义角色设置

注意

我们建议您首先使用角色管理器创建 SageMaker 计算角色,以便 SageMaker 计算资源能够执行训练和推理等任务。使用 SageMaker Compute Role 角色与角色经理一起创建此角色。创建 SageMaker 计算角色后,请记下它ARN以备将来使用。

网络和加密条件

我们建议您激活VPC自定义,以使用VPC配置、子网和安全组,以及与您的新角色关联的IAM策略。激活VPC自定义后,与VPC资源交互的机器学习活动的IAM策略范围将缩小为最低权限访问权限。VPC默认情况下,自定义未激活。有关推荐的网络架构的更多详细信息,请参阅《Amazon 技术指南》中的网络架构

您还可以使用KMS密钥为具有高度敏感数据的受监管工作负载加密、解密和重新加密数据。激活 Amazon KMS 自定义后,支持自定义加密密钥的机器学习活动IAM策略的范围将缩小为最低权限访问权限。有关更多信息,请参阅《Amazon 技术指南》中的使用 Amazon KMS进行加密

第 2 步。配置机器学习活动

每个 Amazon SageMaker Role Manager 机器学习活动都包含提供相关 Amazon 资源访问IAM权限的建议权限。某些 ML 活动需要您添加服务角色ARNs才能完成设置。有关预定义的机器学习活动及其权限的信息,请参阅 机器学习活动参考。有关添加服务角色的信息,请参阅服务角色

根据所选角色,已经选择了某些机器学习活动。您可以取消选择任何建议的机器学习活动,也可以选择其他活动来创建自己的角色。如果您选择了“自定义角色设置”角色,则在此步骤中不会预先选择任何机器学习活动。

您可以将任何其他策略 Amazon 或客户管理的IAM策略添加到您的角色中。步骤 3:添加其他策略和标签

服务角色

某些 Amazon 服务需要服务角色才能代表您执行操作。如果您选择的 ML 活动要求您传递服务角色,则必须ARN为该服务角色提供。

您可以创建新的服务角色或使用现有的服务角色,例如使用 SageMaker Compute Role 角色创建的服务角色。您可以通过在ARNIAM控制台的 “角色” 部分选择角色名称来查找现有角色的。要了解有关服务角色的更多信息,请参阅为 Amazon 服务创建角色

步骤 3:添加其他策略和标签

您可以将任何现有 Amazon 或客户管理的IAM策略添加到您的新角色中。有关现有 SageMaker 政策的信息,请参阅 Amazon Amazon 托管政策 SageMaker。您也可以在IAM控制台的 “角色” 部分查看现有策略。

或者,使用基于标签的策略条件来分配元数据信息,以便对资源进行分类和管理 Amazon 。每个标签都由一个键值对表示。有关更多信息,请参阅使用标签控制对 Amazon 资源的访问

审核角色

花点时间查看与您的新角色相关的所有信息。选择上一步可返回并编辑任何信息。当您准备好创建角色时,选择创建角色。这将生成一个角色,该角色具有您选择的机器学习活动的权限。您可以在IAM控制台的 “角色” 部分查看您的新角色。