Richten Sie KI-Apps für Partner ein - Amazon SageMaker KI
VoraussetzungenAdministrative BerechtigungenBenutzerberechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie KI-Apps für Partner ein

In den folgenden Themen werden die Berechtigungen beschrieben, die für den Start der Nutzung von Amazon SageMaker Partner AI Apps erforderlich sind. Die erforderlichen Berechtigungen sind je nach Stufe der Benutzerberechtigungen in zwei Teile aufgeteilt:

  • Administratorberechtigungen — Berechtigungen für Administratoren, die Entwicklerumgebungen für Datenwissenschaftler und maschinelles Lernen (ML) einrichten.

    • AWS Marketplace

    • Verwaltung von KI-Apps durch Partner

    • AWS License Manager

  • Benutzerberechtigungen — Berechtigungen für Datenwissenschaftler und Entwickler von maschinellem Lernen.

    • Benutzer-Autorisierung

    • Verbreitung von Identitäten

    • SDK-Zugang

Voraussetzungen

Administratoren können die folgenden Voraussetzungen erfüllen, um Partner-KI-Apps einzurichten.

  • (Optional) Integrieren Sie sich in eine SageMaker KI-Domain. Auf KI-Apps von Partnern kann direkt von einer SageMaker KI-Domain aus zugegriffen werden. Weitere Informationen finden Sie unter Überblick über die Amazon SageMaker AI-Domain.

    • Wenn Sie Partner AI Apps in einer SageMaker KI-Domain im Nur-VPC-Modus verwenden, müssen Administratoren einen Endpunkt mit dem folgenden Format erstellen, um eine Verbindung zu den Partner AI-Apps herzustellen. Weitere Informationen zur Verwendung von Studio im Modus „Nur VPC“ finden Sie unter Amazon SageMaker Studio in einer VPC mit externen Ressourcen Connect. 

      aws.sagemaker.region.partner-app

  • (Optional) Wenn Administratoren über die mit der Domain interagierenAWS CLI, müssen sie auch die folgenden Voraussetzungen erfüllen.

    1. Aktualisieren Sie die, AWS CLI indem Sie den Schritten unter Installation der aktuellen AWS CLI Version folgen. 

    2. Führen Sie aws configure vom lokalen Rechner aus und geben Sie die AWS-Anmeldeinformationen ein. Informationen zu AWS Anmeldeinformationen finden Sie unter AWSAnmeldeinformationen verstehen und abrufen.

Administrative Berechtigungen

Der Administrator muss die folgenden Berechtigungen hinzufügen, um Partner-KI-Apps in SageMaker KI zu aktivieren.

  • Erlaubnis, das AWS Marketplace Abonnement für Partner-AI-Apps abzuschließen

  • Richten Sie die Ausführungsrolle für die Partner-AI-App ein

AWS MarketplaceAbonnement für Partner-KI-Apps

Administratoren müssen die folgenden Schritte ausführen, um Berechtigungen für AWS Marketplace hinzuzufügen. Informationen zur Nutzung AWS Marketplace finden Sie unter Erste Schritte als Käufer mit AWS Marketplace.

  1. Erteilen Sie Berechtigungen fürAWS Marketplace. Administratoren von Partner-KI-Apps benötigen diese Berechtigungen, um Abonnements für Partner-KI-Apps zu erwerbenAWS Marketplace. Um Zugriff darauf zu erhaltenAWS Marketplace, müssen Administratoren die AWSMarketplaceManageSubscriptions verwaltete Richtlinie an die IAM-Rolle anhängen, die sie für den Zugriff auf die SageMaker KI-Konsole und den Kauf der App verwenden. Einzelheiten zur AWSMarketplaceManageSubscriptions verwalteten Richtlinie finden Sie unter AWSVerwaltete Richtlinien für AWS Marketplace Käufer. Informationen zum Hinzufügen von verwalteten Richtlinien finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

  2. Erteilen Sie SageMaker KI die Erlaubnis, Operationen im Namen der Administratoren mithilfe von anderen AWS-Services auszuführen. Administratoren müssen SageMaker KI Berechtigungen zur Nutzung dieser Dienste und der Ressourcen, auf die sie zugreifen, erteilen. In der folgenden Richtliniendefinition wird demonstriert, wie Sie die erforderlichen Berechtigungen für Partner-AI Apps gewähren. Diese Berechtigungen werden zusätzlich zu den vorhandenen Berechtigungen für die Administratorrolle benötigt. Weitere Informationen finden Sie unter Wie verwendet man SageMaker AI-Ausführungsrollen.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Richten Sie die Ausführungsrolle für die Partner-AI-App ein

  1. KI-Apps von Partnern benötigen eine Ausführungsrolle, um mit Ressourcen in der zu interagierenAWS-Konto. Administratoren können diese Ausführungsrolle mithilfe der AWS CLI erstellen. Die Partner AI App verwendet diese Rolle, um Aktionen im Zusammenhang mit der Funktionalität der Partner AI App abzuschließen. 

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. Erstellen Sie die AWS License Manager dienstverknüpfte Rolle, indem Sie die Schritte unter Erstellen einer dienstbezogenen Rolle für License Manager ausführen. 

  3. Erteilen Sie der Partner AI App Berechtigungen für den Zugriff auf den License Manager mithilfe vonAWS CLI. Diese Berechtigungen sind für den Zugriff auf die Lizenzen für die Partner AI App erforderlich. Dadurch kann die Partner AI App den Zugriff auf die Partner AI App-Lizenz überprüfen.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Wenn die Partner AI-App Zugriff auf einen Amazon S3 S3-Bucket benötigt, fügen Sie der Ausführungsrolle Amazon S3 S3-Berechtigungen hinzu. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für API-Operationen von Amazon S3.

Amazon Bedrock-Integration konfigurieren

KI-Anwendungen von Partnern wie Deepchecks unterstützen die Integration mit Amazon Bedrock, um LLM-basierte Evaluierungsfunktionen zu ermöglichen. Bei der Konfiguration einer Partner-KI-App mit Amazon Bedrock-Unterstützung können Administratoren angeben, welche Fundamentmodelle und Inferenzprofile für die Verwendung in der Anwendung verfügbar sind. Wenn Sie das Kontingentlimit für Ihre Amazon Bedrock-Modelle erhöhen müssen, finden Sie weitere Informationen unter Eine Erhöhung der Amazon Bedrock-Kontingente beantragen.

  1. Stellen Sie sicher, dass die Partner-AI-App-Ausführungsrolle über die erforderlichen Amazon Bedrock-Berechtigungen verfügt. Fügen Sie die folgenden Berechtigungen hinzu, um den Zugriff auf das Amazon Bedrock-Modell zu aktivieren:

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{
	   "Version": "2012-10-17",		 	 	 
	   "Statement": {
	     "Effect": "Allow",
	     "Action": [
	       "bedrock:InvokeModel",
	       "bedrock:GetFoundationModel",
	       "bedrock:GetInferenceProfile"
	     ],
	     "Resource": "*"
	   }
	 }'

  2. Identifizieren Sie die Amazon Bedrock-Modelle, die Ihr Unternehmen der Partner AI App zur Verfügung stellen möchte. Sie können die verfügbaren Modelle in Ihrer Region mithilfe der Amazon Bedrock-Konsole anzeigen. Informationen zur Verfügbarkeit von Modellen in verschiedenen Regionen finden Sie unter Modellsupport von AWS-Region.

  3. (Optional) Erstellen Sie vom Kunden verwaltete Inferenzprofile für die Kostenverfolgung und das Modellmanagement. Mit Inferenzprofilen können Sie die Nutzung von Amazon Bedrock speziell für die Partner AI App verfolgen und regionsübergreifende Inferenzen ermöglichen, wenn Modelle in Ihrer aktuellen Region nicht verfügbar sind. Weitere Informationen finden Sie unter Verwenden von Inferenzprofilen in Amazon Bedrock.

  4. Geben Sie bei der Erstellung oder Aktualisierung der Partner-AI-App die zulässigen Modelle und Inferenzprofile mithilfe der CreatePartnerApp API oder an. UpdatePartnerApp Die Partner-AI-App kann nur auf die Modelle und Inferenzprofile zugreifen, die Sie explizit konfigurieren.

Wichtig

Die Nutzung von Amazon Bedrock über Partner-KI-Apps wird Ihnen direkt AWS-Konto mit Ihren bestehenden Amazon Bedrock-Preisen in Rechnung gestellt. Die Infrastrukturkosten für die Partner-KI-App-Infrastruktur sind von den Inferenzkosten für das Amazon Bedrock-Modell getrennt.

Deepchecks Amazon Bedrock-Integration

Deepchecks unterstützt die Amazon Bedrock-Integration für LLM-basierte Evaluierungsfunktionen, darunter:

  • Evaluierungen durch LLM als Richter — Verwenden Sie Basismodelle, um die Ergebnisse der Modelle automatisch im Hinblick auf Qualität, Relevanz und andere Kriterien zu bewerten

  • Automatisierte Annotation — Generieren Sie Beschriftungen und Anmerkungen für Datensätze mithilfe von Fundamentmodellen

  • Inhaltsanalyse — Analysieren Sie Textdaten mithilfe von LLM-Funktionen auf Verzerrungen, Toxizität und andere Qualitätskennzahlen

Detaillierte Informationen zu den Funktionen und der Konfiguration von Deepchecks Amazon Bedrock finden Sie in der Deepchecks-Dokumentation in der Anwendung.

Benutzerberechtigungen

Nachdem die Administratoren die Einstellungen für die Administratorberechtigungen vorgenommen haben, müssen sie sicherstellen, dass die Benutzer über die für den Zugriff auf die Partner-AI-Apps erforderlichen Berechtigungen verfügen.

  1. Erteilen Sie SageMaker KI die Erlaubnis, Operationen in Ihrem Namen mithilfe anderer auszuführen. AWS-Services Administratoren müssen SageMaker KI Berechtigungen zur Nutzung dieser Dienste und der Ressourcen, auf die sie zugreifen, erteilen. Administratoren gewähren SageMaker KI diese Berechtigungen mithilfe einer IAM-Ausführungsrolle. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen. In der folgenden Richtliniendefinition wird demonstriert, wie Sie die erforderlichen Berechtigungen für Partner-AI Apps gewähren. Diese Richtlinie kann zur Ausführungsrolle des Benutzerprofils hinzugefügt werden.  Weitere Informationen finden Sie unter Wie verwendet man SageMaker AI-Ausführungsrollen.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (Optional) Wenn Sie Partner-KI-Apps von Studio aus starten, fügen Sie die sts:TagSession Vertrauensrichtlinie wie folgt der Rolle hinzu, mit der Studio oder die Partner-AI-Apps direkt gestartet wurden. Dadurch wird sichergestellt, dass die Identität ordnungsgemäß weitergegeben werden kann.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (Optional) Wenn Sie das SDK einer Partner-KI-App für den Zugriff auf Funktionen in SageMaker KI verwenden, fügen Sie der Rolle, die zur Ausführung des SDK-Codes verwendet wird, die folgende CallPartnerAppApi Berechtigung hinzu. Wenn Sie den SDK-Code von Studio aus ausführen, fügen Sie die Berechtigung zur Studio-Ausführungsrolle hinzu. Wenn Sie den Code von einem anderen Ort als Studio aus ausführen, fügen Sie die Berechtigung zur IAM-Rolle hinzu, die mit dem Notebook verwendet wird. Dadurch kann der Benutzer über das SDK der Partner AI App auf die Funktionen der Partner AI App zugreifen.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:partner-app/app"
            ]
        }
    ]
}

Verwalten der Benutzerautorisierung und -authentifizierung

Um Mitgliedern ihres Teams Zugriff auf Partner-KI-Apps zu gewähren, müssen Administratoren sicherstellen, dass die Identität ihrer Benutzer an die Partner-KI-Apps weitergegeben wird. Diese Weitergabe stellt sicher, dass Benutzer ordnungsgemäß auf die Benutzeroberfläche der Partner AI Apps zugreifen und autorisierte Partner-AI-App-Aktionen ausführen können.

KI-Apps von Partnern unterstützen die folgenden Identitätsquellen:

  • AWS IAM Identity Center

  • Externe Identitätsanbieter (IdPs) 

  • IAM-Sitzungsbasierte Identität

Die folgenden Abschnitte enthalten Informationen zu den Identitätsquellen, die von Partner-KI-Apps unterstützt werden, sowie wichtige Informationen zu dieser Identitätsquelle.

Wenn ein Benutzer mithilfe von IAM Identity Center in Studio authentifiziert wird und eine Anwendung von Studio aus startet, UserName wird das IAM Identity Center automatisch als Benutzeridentität für eine Partner-AI-App weitergegeben. Dies ist nicht der Fall, wenn der Benutzer die Partner AI-App direkt über die API startet. CreatePartnerAppPresignedUrl

Wenn Sie SAML für den AWS-Konto Verbund verwenden, haben Administratoren zwei Möglichkeiten, die IdP-Identität als Benutzeridentität für eine Partner-KI-App zu übernehmen. Informationen zur Einrichtung eines AWS-Konto Verbunds finden Sie unter So konfigurieren Sie SAML 2.0 für den Verbund. AWS-Konto 

  • Principal Tag — Administratoren können die IDP-spezifische IAM Identity Center-Anwendung so konfigurieren, dass Identitätsinformationen aus der Landing-Sitzung mithilfe der AWS Sitzung PrincipalTag mit dem folgenden Attribut weitergegeben werden. Name Bei Verwendung von SAML verwendet die Sitzung mit der Landing-Rolle eine IAM-Rolle. Um die verwenden zu könnenPrincipalTag, müssen Administratoren sowohl dieser Landing-Rolle als auch der Studio-Ausführungsrolle die sts:TagSession entsprechende Berechtigung hinzufügen. Weitere Informationen zu PrincipalTag finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Name der Landing-Session — Administratoren können den Namen der Landing-Session als Identität für die Partner-AI-App weitergeben. Dazu müssen sie das EnableIamSessionBasedIdentity Opt-in-Flag für jede Partner-KI-App setzen. Weitere Informationen finden Sie unter EnableIamSessionBasedIdentity.

Wichtig

Wir raten davon ab, diese Methode für Produktionskonten zu verwenden. Verwenden Sie für Produktionskonten einen Identitätsanbieter, um die Sicherheit zu erhöhen.

SageMaker KI unterstützt die folgenden Optionen für die Identitätsweitergabe, wenn eine auf IAM-Sitzungen basierende Identität verwendet wird. Alle Optionen, mit Ausnahme der Verwendung eines Sitzungs-Tags mitAWS STS, erfordern das Setzen des EnableIamSessionBasedIdentity Opt-in-Flags für jede Anwendung. Weitere Informationen finden Sie unter EnableIamSessionBasedIdentity.

Bei der Weitergabe von Identitäten überprüft SageMaker KI, ob ein AWS STS Session-Tag verwendet wird. Wenn keines verwendet wird, gibt SageMaker AI den IAM-Benutzernamen oder den Sitzungsnamen weiter. AWS STS

  • AWS STSSitzungs-Tag — Administratoren können ein Sitzungs-Tag für die SageMakerPartnerAppUser IAM-Sitzung des Launchers festlegen. Wenn Administratoren eine Partner-AI-App mithilfe der SageMaker AI-Konsole oder der startenAWS CLI, wird das SageMakerPartnerAppUser Sitzungs-Tag automatisch als Benutzeridentität für die Partner AI-App übergeben. Das folgende Beispiel zeigt, wie Sie das SageMakerPartnerAppUser Sitzungs-Tag unter Verwendung des festlegeAWS CLI. Der Wert des Schlüssels wird als Haupt-Tag hinzugefügt.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Wenn Sie Benutzern Zugriff auf eine Partner-KI-App gewährenCreatePartnerAppPresignedUrl, empfehlen wir, den Wert für den SageMakerPartnerAppUser Schlüssel zu überprüfen. Dies trägt dazu bei, einen unbeabsichtigten Zugriff auf Ressourcen der Partner-KI-App zu verhindern. Mit der folgenden Vertrauensrichtlinie wird überprüft, ob das Sitzungs-Tag genau mit dem zugehörigen IAM-Benutzer übereinstimmt. Zu diesem Zweck können Administratoren ein beliebiges Principal-Tag verwenden. Es sollte für die Rolle konfiguriert werden, die Studio oder die Partner AI App startet.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}"
                }
            }
        }
    ]
}

  • Authentifizierter IAM-Benutzer — Der Benutzername des Benutzers wird automatisch als Partner AI App-Benutzer weitergegeben.

  • AWS STSSitzungsname — Wenn bei der Verwendung kein SageMakerPartnerAppUser Sitzungs-Tag konfiguriert istAWS STS, gibt SageMaker AI einen Fehler zurück, wenn Benutzer eine Partner-AI-App starten. Um diesen Fehler zu vermeiden, müssen Administratoren das EnableIamSessionBasedIdentity Opt-in-Flag für jede Partner-KI-App setzen. Weitere Informationen finden Sie unter EnableIamSessionBasedIdentity.

    Wenn das EnableIamSessionBasedIdentity Opt-In-Flag aktiviert ist, stellen Sie mithilfe der IAM-Richtlinie für Rollenvertrauensstellungen sicher, dass der Name der IAM-Sitzung dem IAM-Benutzernamen entspricht oder diesen enthält. Dadurch wird sichergestellt, dass Benutzer keinen Zugriff erhalten, indem sie sich als andere Benutzer ausgeben. Mit der folgenden Vertrauensrichtlinie wird überprüft, ob der Sitzungsname genau mit dem zugehörigen IAM-Benutzer übereinstimmt. Zu diesem Zweck können Administratoren ein beliebiges Principal-Tag verwenden. Es sollte für die Rolle konfiguriert werden, die Studio oder die Partner AI App startet.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Administratoren müssen die sts:TagSession Vertrauensrichtlinie auch der Rolle hinzufügen, mit der Studio oder die Partner AI-App gestartet wird. Dadurch wird sichergestellt, dass die Identität ordnungsgemäß weitergegeben werden kann.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Nach dem Einrichten der Anmeldeinformationen können Administratoren ihren Benutzern Zugriff auf Studio oder die Partner-AI-App gewähren, indem sie entweder die Aufrufe CreatePresignedDomainUrl oder die CreatePartnerAppPresignedUrl API-Aufrufe AWS CLI verwenden.

Benutzer können dann Studio auch von der SageMaker AI-Konsole aus starten und Partner-KI-Apps von Studio aus starten.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentityist ein Opt-in-Flag. Wenn die EnableIamSessionBasedIdentity Markierung gesetzt ist, übergibt SageMaker KI die IAM-Sitzungsinformationen als Benutzeridentität der Partner-AI-App. Weitere Informationen zu AWS STS Sitzungen finden Sie unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen.

Zugriffskontrolle

Um den Zugriff auf KI-Anwendungen von Partnern zu steuern, verwenden Sie eine IAM-Richtlinie, die der Ausführungsrolle des Benutzerprofils zugeordnet ist. Um eine Partner-KI-App direkt von Studio aus oder mithilfe von zu startenAWS CLI, muss die Ausführungsrolle des Benutzerprofils über eine Richtlinie verfügen, die Berechtigungen für die CreatePartnerAppPresignedUrl API gewährt. Entfernen Sie diese Berechtigung aus der Ausführungsrolle des Benutzerprofils, um sicherzustellen, dass Partner AI-Apps nicht gestartet werden können.

Root-Admin-Benutzer

Für die Apps Comet und Fiddler Partner AI ist mindestens ein Root-Admin-Benutzer erforderlich. Root-Admin-Benutzer sind berechtigt, sowohl normale als auch Admin-Benutzer hinzuzufügen und Ressourcen zu verwalten. Die als Root-Admin-Benutzer angegebenen Benutzernamen müssen mit den Benutzernamen aus der Identitätsquelle übereinstimmen.

Root-Admin-Benutzer werden zwar dauerhaft in SageMaker AI gespeichert, normale Admin-Benutzer jedoch nicht und existieren nur innerhalb der Partner-AI-App, bis die Partner-AI-App beendet wird.

Administratoren können Root-Admin-Benutzer mithilfe des API-Aufrufs aktualisieren. UpdatePartnerApp Wenn Root-Admin-Benutzer aktualisiert werden, wird die aktualisierte Liste der Root-Admin-Benutzer an die Partner AI App weitergegeben. Die Partner AI-App stellt sicher, dass allen Benutzernamen in der Liste Root-Administratorrechte gewährt werden. Wenn ein Root-Admin-Benutzer aus der Liste entfernt wird, behält der Benutzer weiterhin normale Administratorrechte, bis einer der folgenden Punkte zutrifft:

  • Der Benutzer wird aus der Anwendung entfernt.

  • Ein anderer Admin-Benutzer widerruft die Administratorberechtigungen für den Benutzer.

Anmerkung

Fiddlerunterstützt das Aktualisieren von Admin-Benutzern nicht. CometUnterstützt nur Updates für Root-Admin-Benutzer. 

Um einen Root-Admin-Benutzer zu löschen, müssen Sie zuerst die Liste der Root-Admin-Benutzer aktualisieren, die die UpdatePartnerApp API verwenden. Entfernen oder widerrufen Sie anschließend die Administratorberechtigungen über die Benutzeroberfläche der Partner AI-App.

Wenn Sie einen Root-Admin-Benutzer aus der Benutzeroberfläche der Partner AI-App entfernen, ohne die Liste der Root-Admin-Benutzer mit der UpdatePartnerApp API zu aktualisieren, ist die Änderung vorübergehend. Wenn SageMaker KI die nächste Aktualisierungsanfrage für die Partner-AI-App sendet, sendet SageMaker KI die Root-Admin-Liste, die den Benutzer immer noch enthält, an die Partner-AI-App. Dadurch wird der über die Benutzeroberfläche der Partner AI App abgeschlossene Löschvorgang außer Kraft gesetzt.