本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 SageMaker 资产(管理员指南)
**重要**
SageMaker 资源仅在 Amazon SageMaker Studio 中可用。如果您使用的是 Amazon SageMaker Studio Classic,则必须迁移到 Studio。有关 Studio 和 Studio Classic 的更多信息,请参阅 [Amazon A SageMaker I 提供的机器学习环境](machine-learning-environments.md)。有关迁移的信息,请参阅[从亚马逊 SageMaker Studio 经典版迁移](studio-updated-migrate.md)。
随着业务需求的变化,您的用户需要有效协作,以解决出现的业务问题。要解决这些问题,用户之间必须共享数据和模型。
SageMaker Assets 将亚马逊 SageMaker Studio 与数据管理服务亚马逊 DataZone(一项数据管理服务)集成在一起。 SageMaker Assets 是一个平台,可帮助您的用户相互共享模型和数据。您可以使用以下信息来设置 Ass SageMaker ets 和 Amazon 之间的集成 DataZone。
您可以为自己的业务线或组织创建一个 Amazon DataZone 域名。*域*名是 Amazon 的核心功能 DataZone。用户的所有数据和模型都存在于域中。
在 Amazon DataZone 域中,您的一部分用户从事特定*项目*。一个项目通常对应一个特定的业务问题。在该项目中,成员可以创建数据集和模型。默认情况下,项目成员只能访问项目内的数据和模型。他们可以让组织内的其他用户访问他们的数据和模型。
在项目中,您可以创建环境。具体而言,对于 SageMaker 资产,环境是用于启动 Amazon SageMaker Studio 的已配置资源的集合。有关 Amazon 中使用的术语的更多信息 DataZone,请参阅[术语和概念](https://docs.amazonaws.cn/datazone/latest/userguide/datazone-concepts.html)。
**重要**
根据您选择的设置,Amazon SageMaker Studio 使用以下方法之一:
亚马逊在您的 SageMaker 人工智能环境中 DataZone 创建的亚马逊 SageMaker AI 域。
您迁移到亚马逊的现有亚马逊 A SageMaker I 域名 DataZone
您可以从 Amazon A SageMaker I 域访问 Studio,但我们建议您从您创建的项目中访问 Studio。有关访问 Studio 的信息,请参阅 [使用资产(用户指南)](sm-assets-user-guide.md)。
## DataZone 使用新的 A SageMaker I 域名设置亚马逊
使用以下列表中的步骤及其引用的文档,使用其创建的 Amazon DataZone A SageMaker I 域名来设置亚马逊。
1. 创建与您的用户组织或业务领域相对应的 Amazon DataZone 域名。有关创建 Amazon DataZone 域的信息,请参阅[创建域名](https://docs.amazonaws.cn/datazone/latest/userguide/create-domain.html)。
1. 在 Amazon 中启用 A SageMaker I 蓝图 DataZone。有关启用 SageMaker AI 蓝图的信息,请参阅在[拥有 Amazon DataZone 域名的 Amazon 账户中启用内置蓝](https://docs.amazonaws.cn/datazone/latest/userguide/working-with-blueprints.html#enable-default-blueprints)图。
1. 在领域内创建一个项目,该项目应与领域内用户正在解决的业务问题相对应。有关创建项目的信息,请参阅[创建新项目](https://docs.amazonaws.cn/datazone/latest/userguide/create-new-project.html)。
1. 创建环境配置文件,您可以将其用作模板,为用户创建 SageMaker AI 环境。有关创建环境配置文件的信息,请参阅[创建环境配置文件](https://docs.amazonaws.cn/datazone/latest/userguide/create-environment-profile.html)。
1. 创建 A SageMaker I 环境。在项目中,您的用户使用 SageMaker 人工智能环境启动 Amazon SageMaker Studio。在 Studio 中,他们可以创建资源并使用 SageMaker 资源进行共享。有关创建环境的信息,请参阅[创建新环境](https://docs.amazonaws.cn/datazone/latest/userguide/create-environment-profile.html)。
1. 将 SageMaker AI 添加为 Amazon 内部值得信赖的服务之一 DataZone。要将 SageMaker AI 添加为服务之一,请参阅在[拥有 Amazon DataZone 域名的 Amazon 账户中将 A SageMaker I 添加为可信服务](https://docs.amazonaws.cn/datazone/latest/userguide/working-with-blueprints.html#add-sagemaker-as-trusted-service)。
## DataZone 使用你的 A SageMaker I 域名设置亚马逊
使用以下列表中的步骤及其引用的文档,使用现有的 Amazon DataZone A SageMaker I 域名来设置亚马逊。
1. 创建与您的用户组织或业务领域相对应的 Amazon DataZone 域名。有关创建 Amazon DataZone 域的信息,请参阅[创建域名](https://docs.amazonaws.cn/datazone/latest/userguide/create-domain.html)。
1. 在 Amazon 中启用 A SageMaker I 蓝图 DataZone。有关启用自定义蓝图的信息,请参阅 [Amazon DataZone 定制 Amazon 服务蓝](https://docs.amazonaws.cn/datazone/latest/userguide/working-with-custom-blueprint.html)图。
1. 在领域内创建一个项目,该项目应与领域内用户正在解决的业务问题相对应。有关创建项目的信息,请参阅[创建新项目](https://docs.amazonaws.cn/datazone/latest/userguide/create-new-project.html)。
1. 启用 SageMaker AI 作为亚马逊内部值得信赖的服务之一 DataZone。要启用 SageMaker AI 作为一项服务,请参阅在[拥有亚马逊 DataZone 域名的 Amazon 账户中将 Amazon A SageMaker I 添加为可信服务](https://docs.amazonaws.cn/datazone/latest/userguide/working-with-blueprints.html#add-sagemaker-as-trusted-service)。
1. 在 A SageMaker I 域中创建亚马逊 DataZone 用户。
1. 将现有用户注册到 Amazon DataZone 域名。
**注意**
如果您的 SageMaker AI 用户是 SSO,而您的亚马逊 DataZone 域名是 SSO,则可以自动将亚马逊 A SageMaker I 域中的用户映射到亚马逊 DataZone域。
要加入现有 SageMaker AI 用户,请在您的环境中运行 [Ama DataZone zon Import SageMaker AI 域](https://github.com/aws/amazon-sagemaker-examples/tree/default/%20%20%20ml_ops/sm-datazone_import)脚本。您必须将您的姓名 Amazon Web Services 区域 和您的 Amazon A SageMaker I 域名的 Amazon 账户 ID 作为参数传递。以下是运行该脚本的 Amazon CLI 命令示例。
```
python {{example-script}} {{Amazon Web Services 区域}} {{111122223333}}
```
脚本执行以下操作:
1. 询问您的 Amazon SageMaker AI 域名 ID。
1. 询问您的 Amazon DataZone 域名。
1. 向你询问你的 Amazon DataZone 项目。
1. 提示您指定要导入的用户。
1. 为您的用户和 Amazon A SageMaker I 域添加标签。
1. 将您的 Amazon DataZone 用户映射到您的 SageMaker AI 用户个人资料。对于每个 SageMaker AI 用户个人资料,该脚本将提示您输入 Amazon DataZone 用户 ID。您可以根据自己的使用案例修改脚本。
1. 为环境添加联合角色,以便亚马逊 DataZone 可以访问您的 Amazon A SageMaker I 域并对其进行迁移。
该脚本会遍历 Amazon SageMaker AI 域中的每个用户,并提示您在亚马逊 DataZone 域中指定相应的用户。它会自动将 Amazon DataZone 域中用户的标签添加到相应的 SageMaker AI 域中的用户。它还使用每个域中用户之间的映射来更新自定义环境蓝图。
**注意**
A SageMaker I 环境使用最新版本的 SageMaker 分布映像。 SageMaker AI 分发映像具有用于机器学习的常用库包。有关更多信息,请参阅 [SageMaker 工作室图片支持政策](sagemaker-distribution.md)。
创建环境后,您可以创建 Amazon Glue Amazon Redshift 表和数据库。更多信息,请参阅 [ 在 Athena 或 Amazon Redshift 中查询数据](https://docs.amazonaws.cn/datazone/latest/userguide/query-athena-with-deep-link-in-project.html)。
## 查看和修改用户权限
创建 A SageMaker I 环境后,您可以更改用户的权限以满足组织的需求。A SageMaker I 蓝图为您的所有用户指定权限。他们可以对所有 A SageMaker I 服务执行操作,但权限范围仅限于在 Amazon DataZone 域中创建的资源。
**重要**
您创建的环境使用 IAM 角色,该角色具有有限权限和权限边界。要更改用户的权限,可以修改或替换权限边界。例如,如果用户需要访问在环境中创建的 Amazon S3 存储桶等资源,可以更改权限边界。
您可以在 ARN 中查看用于创建 A SageMaker I 域的 IAM 角色的权限。
使用以下步骤查看或编辑用户 IAM 角色的权限。
**查看或编辑用户权限**
1. 打开[亚马逊 A SageMaker I 控制台](https://console.amazonaws.cn/sagemaker)。
1. 选择**域**。
1. 选择与您的 Amazon 域名同 DataZone名的域名。
1. 选择**域设置**。
1. 在**执行角色**下,复制执行角色的 ARN。
1. 打开 [IAM 控制台](https://console.amazonaws.cn/IAM)。
1. 选择**角色**。
1. 粘贴 ARN 并删除最后一个正斜线后除角色名称外的所有内容。
1. 选择角色查看权限。
1. 在**权限**下,修改策略以满足贵组织的需求。
1. (可选)选择**权限边界**,然后选择**设置权限边界**。
1. 选择要设置为权限边界的策略。