Einrichten von kontoübergreifendem Support für Amazon SageMaker Model Cards

Verwenden Sie die kontenübergreifende Unterstützung in Amazon SageMaker Model Cards, um Modellkarten zwischen AWS-Konten gemeinsam zu nutzen. Das Konto, in dem die Modellkarten erstellt werden, ist das Modellkartenkonto. Benutzer des Modellkartenkontos teilen sie mit den gemeinsamen Konten. Die Benutzer eines gemeinsamen Kontos können die Modellkarten aktualisieren oder PDF-Dateien davon erstellen.

Benutzer im Modellkartenkonto teilen ihre Modellkarten über AWS Resource Access Manager (AWS RAM). AWS RAM hilft Ihnen dabei, Ressourcen für mehrere AWS Konten gemeinsam zu nutzen. Eine Einführung in das AWS RAM finden Sie unter Was ist AWS Resource Access Manager?

Im Folgenden wird beschrieben, wie Modellkarten gemeinsam genutzt werden:

Wenn Sie ein Benutzer des Model Card-Kontos sind, finden Sie in den folgenden Abschnitten weitere Informationen:

Wenn Sie ein Benutzer des gemeinsamen Kontos sind, finden Sie unter Richten Sie IAM-Benutzerberechtigungen im gemeinsamen Konto ein Informationen zum Einrichten von Berechtigungen für sich selbst und die anderen Benutzer des Kontos.

Richten Sie kontoübergreifendes Karten-Sharing ein

Verwenden Sie AWS Resource Access Manager (AWS RAM), um Benutzern in Ihrem AWS Konto Zugriff auf die Anzeige oder Aktualisierung von Modellkarten zu gewähren, die in einem anderen AWS Konto erstellt wurden.

Um die gemeinsame Nutzung von Modellkarten einzurichten, müssen Sie eine Ressourcenfreigabe erstellen. Eine Ressourcenfreigabe legt fest:

Weitere Informationen zu gemeinsam genutzten Ressourcen finden Sie unter Begriffe und Konzepte für AWS RAM. Wir empfehlen Ihnen, sich die Zeit zu nehmen, um das AWS RAM Konzept zu verstehen, bevor Sie den Prozess der Erstellung einer Resource Share durchgehen.

Verfahren zum Erstellen einer Ressourcenfreigabe und weitere Informationen dazu finden Sie unter Erstellen einer Ressourcenfreigabe.

Wenn Sie das Verfahren zum Erstellen einer Ressourcenfreigabe ausführen, geben Sie sagemaker:ModelCard als Ressourcentyp an. Sie müssen auch die Amazon-Ressourcennummer (ARN) der AWS RAM ressourcenbasierten Richtlinie angeben. Sie können entweder die Standardrichtlinie oder die Richtlinie angeben, die über zusätzliche Berechtigungen zum Erstellen einer PDF-Datei der Modellkarte verfügt.

Mit der standardmäßigen AWSRAMPermissionSageMakerModelCards ressourcenbasierten Richtlinie sind die Benutzer im gemeinsamen Konto berechtigt, die folgenden Vorgänge auszuführen:

Mit der AWSRAMPermissionSageMakerModelCardsAllowExport ressourcenbasierten Richtlinie sind die Benutzer im gemeinsamen Konto berechtigt, alle oben genannten Aktionen auszuführen. Sie sind außerdem berechtigt, einen Modellkarten-Exportauftrag zu erstellen und ihn anhand der folgenden Operationen zu beschreiben:

Die Benutzer im gemeinsamen Konto können einen Exportauftrag erstellen, um ein PDF einer Modellkarte zu generieren. Sie können auch einen Exportauftrag beschreiben, der erstellt wurde, um die Amazon-S3-URI der PDF-Datei zu finden.

Modellkarten und Exportaufträge sind Ressourcen. Das Modellkartenkonto besitzt die Exportaufträge, die von einem Benutzer im gemeinsamen Konto erstellt wurden. Beispiel: Ein Benutzer in Konto A teilt die Modellkarte X mit dem gemeinsamen Konto B. Ein Benutzer in Konto B erstellt den Exportauftrag Y für Modellkarte X, der die Ausgabe an einem Amazon S3-Speicherort speichert, den der Benutzer in Konto B angibt. Obwohl Konto B den Exportauftrag Y erstellt hat, gehört er zu Konto A.

Jedes AWS Konto hat Ressourcenkontingente. Informationen zu Kontingenten im Zusammenhang mit Modellkarten finden Sie unter Amazon SageMaker AI – Endpunkte und Kontingente.

Richten Sie AWS KMS Berechtigungen für das gemeinsame Konto ein

Wenn die Modellkarten, die Sie teilen, mit AWS Key Management Service Schlüsseln verschlüsselt wurden, müssen Sie auch den Zugriff auf die Schlüssel mit dem gemeinsamen Konto teilen. Andernfalls können die Benutzer des gemeinsamen Kontos die Modellkarten nicht anzeigen, aktualisieren oder exportieren. Für eine Übersicht über AWS KMS vgl. AWS Key Management Service.

Um Benutzern im gemeinsamen Konto AWS KMS Berechtigungen zu gewähren, aktualisieren Sie Ihre Hauptrichtlinie mit der folgenden Erklärung:

{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::shared-account-id::role/example-IAM-role"
        ]
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
    ]
    "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id"
    "Condition": {
        "Bool": {"kms:GrantIsForAWSResource": true },
        "StringEquals": {
            "kms:ViaService": [
                "sagemaker.AWS-Region.amazonaws.com", 
                "s3.AWS-Region.amazonaws.com"
            ],
        },
        "StringLike": {
          "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name"
        }
    }    
}                
            

Mit der vorstehenden Anweisung erhalten die Benutzer des gemeinsamen Kontos die Berechtigungen kms:Decrypt und kms:GenerateDataKey. Mit kms:Decrypt können Benutzer die Modellkarten entschlüsseln. Mit kms:GenerateDataKey können Benutzer die Modellkarten, die sie aktualisieren, oder die von ihnen erstellten PDFs verschlüsseln.

Erhalten Sie Antworten auf Ihre Einladung zur gemeinsamen Nutzung von Ressourcen

Nachdem Sie eine Ressourcenfreigabe erstellt haben, erhalten die gemeinsamen Konten, die Sie in der Ressourcenfreigabe angegeben haben, eine Einladung, der Ressource beizutreten. Sie müssen die Einladung annehmen, um auf die Ressourcen zugreifen zu können.

Informationen zum Annehmen einer Einladung zur gemeinsamen Nutzung von Ressourcen finden Sie unter Verwenden von gemeinsam genutzten AWS Ressourcen im AWSResource Acces Manager-Benutzerhandbuch.

Richten Sie IAM-Benutzerberechtigungen im gemeinsamen Konto ein

Bei den folgenden Informationen wird davon ausgegangen, dass Sie die Einladung zur gemeinsamen Nutzung von Ressourcen über das Modelkartenkonto akzeptiert haben. Weitere Informationen zum Annehmen einer Einladung zur gemeinsamen Nutzung von Ressourcen finden Sie unter Verwenden von gemeinsam genutzten AWS Ressourcen.

Sie und die anderen Benutzer in Ihrem Konto verwenden eine IAM-Rolle, um auf die Modellkarten zuzugreifen, die vom Modelkartenkonto aus geteilt wurden. Verwenden Sie die folgende Vorlage, um die Richtlinie der IAM-Rolle zu ändern. Sie können die Vorlage für Ihren eigenen Anwendungsfall ändern.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeModelCard",
                "sagemaker:UpdateModelCard",
                "sagemaker:CreateModelCardExportJob",
                "sagemaker:ListModelCardVersions",
                "sagemaker:DescribeModelCardExportJob"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:model-card/example-model-card-name-0",
                "arn:aws:sagemaker:us-east-1:111122223333:model-card/example-model-card-name-1/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*"
        }
    ]
}

Um auf die mit AWS KMS verschlüsselten Modellkarten zugreifen zu können, müssen Sie den Benutzern Ihres Kontos die folgenden AWS KMS-Berechtigungen erteilen.

{
     "Effect": "Allow",
     "Action": [
         "kms:GenerateDataKey",
         "kms:Decrypt",
     ],
     "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id"
}