设置 SageMaker 资产(管理员指南) - Amazon SageMaker
查看和修改用户的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 SageMaker 资产(管理员指南)

重要

SageMaker 资源仅在 Amazon SageMaker Studio 中可用。如果您使用的是 Amazon SageMaker Studio Classic,则必须迁移到 Studio。有关 Studio 和 Studio 经典版的更多信息,请参阅使用 Amazon 提供的机器学习环境 SageMaker。有关迁移的信息,请参阅从亚马逊 SageMaker Studio 经典版迁移

随着业务需求的变化,您的用户需要进行有效的协作以解决出现的业务问题。要解决这些问题,用户必须相互共享数据和模型。

SageMaker Assets 将亚马逊 SageMaker Studio 与数据管理服务亚马逊 DataZone(一项数据管理服务)集成在一起。 SageMaker Assets 是一个平台,可帮助您的用户相互共享模型和数据。您可以使用以下信息来设置 Ass SageMaker ets 和 Amazon 之间的集成 DataZone。

您可以为自己的业务线或组织创建一个 Amazon DataZone 域名。名是 Amazon 的核心功能 DataZone。您的所有用户数据和模型都存在于域中。

在 Amazon DataZone 域中,您的一部分用户从事特定项目。一个项目通常对应于特定的业务问题。在项目中,成员可以创建数据集和模型。默认情况下,项目成员只能访问项目中的数据和模型。他们可以向组织内的其他用户提供对其数据和模型的访问权限。

在项目中,您可以创建环境。具体而言,对于 SageMaker 资产,环境是用于启动 Amazon SageMaker Studio 的已配置资源的集合。有关 Amazon 中使用的术语的更多信息 DataZone,请参阅术语和概念

使用以下列表中的步骤及其引用的文档来设置 Amazon DataZone。

  1. 创建与您的用户组织或业务领域相对应的 Amazon DataZone 域名。有关创建 Amazon DataZone 域的信息,请参阅创建域名

  2. 在 Amazon 中启用 SageMaker 蓝图 DataZone。有关启用 SageMaker 蓝图的信息,请参阅在拥有 Amazon DataZone 域名的 Amazon 账户中启用内置蓝图。

  3. 在域中创建一个与您网域中的用户正在解决的业务问题相对应的项目。有关创建项目的信息,请参阅创建新项目

  4. 创建环境配置文件,该配置文件可用作模板,为用户创建 SageMaker环境。有关创建环境配置文件的信息,请参阅创建环境配置文件

  5. 创建 SageMaker 环境。在项目中,您的用户使用 SageMaker环境来启动 Amazon SageMaker Studio。在 Studio 中,他们可以创建资源并使用 SageMaker 资源进行共享。有关创建环境的信息,请参阅创建新环境

  6. 将其添加 SageMaker 为 Amazon 内部值得信赖的服务之一 DataZone。要添加 SageMaker 为其中一项服务,请参阅在拥有 Amazon DataZone 域名的 Amazon 账户中添加 SageMaker 为可信服务

重要

Amazon SageMaker Studio 使用亚马逊在您的 SageMaker环境中 DataZone 创建的亚马逊 SageMaker 域名。亚马逊 SageMaker 域名不同于亚马逊 DataZone 域名。它包含运行 Studio 所需的资源。您可以从 Amazon SageMaker 域名访问 Studio,但我们建议您从您创建的项目中访问 Studio。有关访问 Studio 的信息,请参阅访问或共享资产(用户指南)

注意

该 SageMaker 环境使用最新版本的 SageMaker 分发映像。 SageMaker分发映像有用于机器学习的常用库包。有关更多信息,请参阅 SageMaker 分发图片

创建环境后,您可以创建 Amazon Glue Amazon Redshift 表和数据库。有关更多信息,请参阅在 Athen a 或 Amazon Redshift 中查询数据

查看和修改用户的权限

创建 SageMaker 环境后,您可以更改用户的权限以满足组织的需求。 SageMaker 蓝图为您的所有用户指定权限。他们可以对所有 SageMaker 服务执行操作,但权限范围仅限于在 Amazon DataZone 域中创建的资源。

重要

您创建的环境使用权限有限且权限边界的 IAM 角色。要更改用户的权限,您可以修改或替换权限边界。例如,如果您的用户需要访问在环境中创建的 Amazon S3 存储桶等资源,则可以更改权限边界。

您可以在 ARN 中查看用于创建域的 IAM 角色的权限。 SageMaker

使用以下过程查看或编辑您的用户的 IAM 角色的权限。

查看或编辑用户的权限

  1. 打开 Amazon SageMaker 控制台

  2. 选择

  3. 选择与您的 Amazon 域名同 DataZone名的域名。

  4. 选择域设置

  5. 在 “执行角色” 下,复制执行角色的 ARN。

  6. 打开 IAM 控制台

  7. 选择角色

  8. 粘贴 ARN 并删除除最后一个正斜杠之后的角色名称之外的所有内容。

  9. 选择角色以查看权限。

  10. 在 “权限” 下,修改策略以适应组织的需求。

  11. (可选)选择权限边界,然后选择设置权限边界

  12. 选择要设置为权限边界的策略。