跨账户世系追踪 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户世系追踪

亚马逊 SageMaker 支持跟踪来自不同的世系实体Amazonaccount. 其他Amazon账户可以与你共享他们的世系实体,你可以通过直接 API 调用来访问这些世系实体或 SageMaker 世系查询。

SageMaker 使用Amazon Resource Access Manager以帮助你安全地共享你的世系资源。你可以通过Amazon RAM控制台.

设置跨账户世系跟踪

你可以分组和分享通过 Amazon SageMaker 中的世系组进行。 SageMaker 每个账户只支持一个默认的世系组。 SageMaker 无论何时在您的账户中创建世系实体,都会创建默认的世系组。您账户拥有的每个世系实体都被分配给此默认世系组。要与另一个账户共享世系实体,您可以与该账户共享此默认世系组。

注意

您可以共享世系组中的所有世系追踪实体,也可以不共享。

使用为世系实体创建资源共享Amazon Resource Access Manager控制台。有关更多信息,请参阅 。共享您的Amazon资源中的Amazon Resource Access Manager用户指南.

注意

创建资源共享后,可能需要花几分钟时间,才能完成资源和委托人关联。设置关联后,共享账户将收到加入资源共享的邀请。共享账户必须接受邀请才能获得对共享资源的访问权限。有关接受资源共享邀请的更多信息Amazon RAM,请参阅使用共享Amazon资源中的AmazonResource Access Manager 用户指南.

你的跨账户世系跟踪资源政策

亚马逊 SageMaker 仅支持一种类型的资源策略。这些区域有: SageMaker 资源策略必须允许以下所有操作:

"sagemaker:DescribeAction" "sagemaker:DescribeArtifact" "sagemaker:DescribeContext" "sagemaker:DescribeTrialComponent" "sagemaker:AddAssociation" "sagemaker:DeleteAssociation" "sagemaker:QueryLineage"

例 以下是 SageMaker 使用创建资源策略Amazon Resource Access Manager用于为账户世系组创建资源共享。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullLineageAccess", "Effect": "Allow", "Principal": { "AWS": "123456789012" #account-id }, "Action": [ "sagemaker:DescribeAction", "sagemaker:DescribeArtifact", "sagemaker:DescribeContext", "sagemaker:DescribeTrialComponent", "sagemaker:AddAssociation", "sagemaker:DeleteAssociation", "sagemaker:QueryLineage" ], "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource } ] }

追踪跨账户世系实体

通过跨账户世系跟踪,您可以使用相同的账户关联不同账户中的世系实体AddAssociationAPI 操作。当你关联两个世系实体时, SageMaker 验证您是否有权限执行AddAssociation对两个世系实体进行 API 操作。 SageMaker 然后建立协会。如果您没有权限, SageMaker 创建关联。建立跨账户关联后,您可以通过QueryLineageAPI 操作。有关更多信息,请参阅 查询谱系实体

除此外 SageMaker 如果你有跨账户访问权限,自动创建世系实体, SageMaker 连接引用相同对象或数据的工件。如果来自一个账户的数据被不同账户用于世系跟踪, SageMaker 在每个账户中创建一个工件来跟踪该数据。随时随地使用跨账户世系 SageMaker 创建新的工件, SageMaker 检查是否还有为同一数据创建的其他工件也与您共享。 SageMaker 然后在新创建的工件与与您共享的每个工件之间建立关联AssociationType设置为SameAs. 然后,您可以使用QueryLineageAPI 操作,用于遍历您自己账户中的世系实体到与您共享但由其他人拥有的世系实体Amazonaccount. 有关更多信息,请参阅 。查询谱系实体

从其他账户访问世系资源

一旦设置了共享世系的跨账户访问权限,您可以致电以下 SageMaker 直接使用 ARN 进行 API 操作以描述来自另一个账户的共享世系实体:

您还可以管理Associations对于与您共享的不同账户拥有的世系实体,请使用以下命令 SageMaker API 操作:

对于演示如何使用的笔记本 SageMaker 世系 API 用于查询账户间的世系。,请参阅sagemaker-linage-跨账户-ram.ipynb.

查询跨账户世系实体的授权

亚马逊 SageMaker 必须验证您拥有执行QueryLineage上的 API 操作StartArns. 这是通过附加到LineageGroup. 此操作的结果包括您有权访问的所有世系实体,无论它们是您的账户所有还是由另一个账户共享。有关更多信息,请参阅 查询谱系实体