Verwenden Sie den Rollenmanager (Konsole) - Amazon SageMaker AI
VoraussetzungenSchritt 1. Geben Sie Rolleninformationen einSchritt 2. Konfigurieren von ML-AktivitätenSchritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzuRolle überprüfen

Verwenden Sie den Rollenmanager (Konsole)

Sie können den Amazon SageMaker Role Manager von den folgenden Stellen im linken Navigationsbereich der Konsole von Amazon SageMaker AI aus verwenden:

  • Erste Schritte – Fügen Sie schnell Berechtigungsrichtlinien für Ihre Benutzer hinzu.

  • Domains – Fügen Sie Berechtigungsrichtlinien für Benutzer innerhalb einer Domain von Amazon SageMaker AI hinzu.

  • Notebooks – Fügen Sie Benutzern, die Notebooks erstellen und ausführen, die geringsten Berechtigungen hinzu.

  • Training – Fügen Sie Benutzern, die Trainingsaufträge erstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

  • Inferenz – Fügen Sie Benutzern, die Inferenzmodelle bereitstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.

Sie können die folgenden Verfahren verwenden, um den Prozess der Erstellung einer Rolle von verschiedenen Stellen in der SageMaker-AI-Konsole aus zu starten.

Wenn Sie SageMaker AI zum ersten Mal verwenden, empfehlen wir, im Abschnitt Erste Schritte eine Rolle zu erstellen.

Gehen Sie wie folgt vor, um eine Rolle mit dem Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Konsole von Amazon SageMaker AI.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen.

  3. Wählen Sie unter Admin Konfigurationen die Option Rollenmanager aus.

  4. Wählen Sie Rolle erstellen aus.

Sie können mit dem Amazon SageMaker Role Manager eine Rolle erstellen, wenn Sie mit der Erstellung einer Domain von Amazon SageMaker AI beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit dem Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Konsole von Amazon SageMaker AI.

  2. Wählen Sie im linken Navigationsbereich Admin-Konfigurationen.

  3. Wählen Sie unter Admin-Konfigurationen Domains aus.

  4. Wählen Sie Domain erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit dem Amazon SageMaker Role Manager eine Rolle erstellen, wenn Sie mit der Erstellung eines Notebooks beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit dem Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Konsole von Amazon SageMaker AI.

  2. Wählen Sie im linken Navigationsbereich die Option Notebook aus.

  3. Wählen Sie Notebook instances (Notebook-Instances) aus.

  4. Wählen Sie Create notebook instance (Notebook-Instance erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit dem Amazon SageMaker Role Manager eine Rolle erstellen, wenn Sie mit der Erstellung eines Trainingsauftrags beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit dem Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Konsole von Amazon SageMaker AI.

  2. Wählen Sie im linken Navigationsbereich die Option Training aus.

  3. Wählen Sie Trainingsaufträge aus.

  4. Wählen Sie Create training job (Trainingsjob erstellen) aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Sie können mit dem Amazon SageMaker Role Manager eine Rolle erstellen, wenn Sie mit der Bereitstellung eines Inferenzmodells beginnen.

Gehen Sie wie folgt vor, um eine Rolle mit dem Amazon SageMaker Role Manager zu erstellen.

  1. Öffnen Sie die Konsole von Amazon SageMaker AI.

  2. Wählen Sie im linken Navigationsbereich die Option Inferenz aus.

  3. Wählen Sie Modelle aus.

  4. Wählen Sie Modell erstellen aus.

  5. Wählen Sie Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung.

Nachdem Sie eines der vorherigen Verfahren abgeschlossen haben, können Sie die Informationen in den folgenden Abschnitten verwenden, um die Rolle zu erstellen.

Voraussetzungen

Um Amazon SageMaker Role Manager verwenden zu können, benötigen Sie die Berechtigung, eine IAM-Rolle zu erstellen. Diese Berechtigung steht in der Regel ML-Administratoren und Rollen mit den geringsten Rechten für ML-Praktiker zur Verfügung.

Sie können vorübergehend eine IAM-Rolle in der AWS-Managementkonsole übernehmen, indem Sie Rollen wechseln. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen im IAM-Benutzerhandbuch.

Schritt 1. Geben Sie Rolleninformationen ein

Geben Sie einen Namen an, der als eindeutiges Suffix für Ihre neue SageMaker-AI-Rolle verwendet werden soll. Standardmäßig wird das Präfix "sagemaker-" jedem Rollennamen hinzugefügt, um die Suche in der IAM-Konsole zu vereinfachen. Wenn Sie Ihre Rolle beispielsweise test-123 bei der Rollenerstellung benennen, wird Ihre Rolle wie sagemaker-test-123 in der IAM-Konsole angezeigt. Optional können Sie auch eine Beschreibung Ihrer Rolle hinzufügen, um zusätzliche Informationen bereitzustellen.

Wählen Sie dann eine der verfügbaren Personas aus, um vorgeschlagene Berechtigungen für Personas wie Datenwissenschaftler, Dateningenieure oder Techniker für Machine-Learning-Operationen (MLOps) zu erhalten. Informationen zu verfügbaren Personas und ihren empfohlenen Berechtigungen finden Sie unter Persönliche Referenz. Wählen Sie Benutzerdefinierte Rolleneinstellungen, um eine Rolle zu erstellen, ohne dass Ihnen vorgeschlagene Berechtigungen als Leitfaden dienen.

Anmerkung

Wir empfehlen, zunächst den Rollenmanager zu verwenden, um eine SageMaker AI Compute Role zu erstellen, damit die Rechenressourcen von SageMaker AI Aufgaben wie Training und Inferenz ausführen können. Verwenden Sie die Persona der SageMaker Compute Role, um diese Rolle mit dem Rollenmanager zu erstellen. Nachdem Sie eine SageMaker AI Compute Role erstellt haben, notieren Sie sich deren ARN für die zukünftige Verwendung.

Netzwerk- und Verschlüsselungsbedingungen

Wir empfehlen Ihnen, die VPC-Anpassung zu aktivieren, um VPC-Konfigurationen, Subnetze und Sicherheitsgruppen mit IAM-Richtlinien zu verwenden, die Ihrer neuen Rolle zugeordnet sind. Wenn die VPC-Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die mit VPC-Ressourcen interagieren, auf den Zugriff mit den geringsten Rechten beschränkt. Die VPC-Anpassung ist standardmäßig nicht aktiviert. Weitere Informationen zur empfohlenen Netzwerkarchitektur finden Sie im AWS technischen Leitfaden unter Netzwerkarchitektur.

Sie können einen KMS-Schlüssel auch zum Verschlüsseln, Entschlüsseln und erneuten Verschlüsseln von Daten für regulierte Workloads mit hochsensiblen Daten verwenden. Wenn die AWS KMS Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die benutzerdefinierte Verschlüsselungsschlüssel unterstützen, auf den Zugriff mit den geringsten Rechten beschränkt. Weitere Informationen finden Sie unter Verschlüsselung mit AWS KMS im AWS technischen Leitfaden.

Schritt 2. Konfigurieren von ML-Aktivitäten

Jede ML-Aktivität von Amazon SageMaker Role Manager enthält empfohlene IAM-Berechtigungen, um Zugriff auf relevante AWS Ressourcen zu gewähren. Bei einigen ML-Aktivitäten müssen Sie ARNs für Servicerollen hinzufügen, um die Einrichtung abzuschließen. Informationen zu vordefinierten ML-Aktivitäten und ihren Berechtigungen finden Sie unter Referenz zur ML-Aktivität. Weitere Informationen zum Hinzufügen von Servicerollen finden Sie unter Servicerollen.

Basierend auf der ausgewählten Persona sind bestimmte ML-Aktivitäten bereits ausgewählt. Sie können alle vorgeschlagenen ML-Aktivitäten abwählen oder zusätzliche Aktivitäten auswählen, um Ihre eigene Rolle zu erstellen. Wenn Sie die Persona Benutzerdefinierte Rolleneinstellungen ausgewählt haben, sind in diesem Schritt keine ML-Aktivitäten vorausgewählt.

Sie können zusätzliche AWS oder vom Kunden verwaltete IAM-Richtlinien zu Ihrer Rolle in Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu hinzufügen.

Servicerollen

Für einige AWS Services ist eine Servicerolle erforderlich, um Aktionen in Ihrem Namen auszuführen. Wenn die von Ihnen ausgewählte ML-Aktivität erfordert, dass Sie eine Servicerolle übergeben, müssen Sie den ARN für diese Servicerolle angeben.

Sie können entweder eine neue Servicerolle erstellen oder eine bestehende verwenden, z. B. eine Servicerolle, die mit der Persona von SageMaker AI Compute Role erstellt wurde. Sie finden den ARN einer vorhandenen Rolle, indem Sie den Rollennamen im Abschnitt Rollen der IAM-Konsole auswählen. Weitere Informationen zu Servicerolles finden Sie unter Erstellen einer Rolle für ein AWS Service.

Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu

Sie können alle vorhandenen AWS oder vom Kunden verwalteten IAM-Richtlinien zu Ihrer neuen Rolle hinzufügen. Informationen zu bestehenden SageMaker-AI-Richtlinien finden Sie unter Verwaltete AWS-Richtlinien für Amazon SageMaker AI. Sie können Ihre bestehenden Richtlinien auch im Bereich Rollen der IAM-Konsole überprüfen.

Verwenden Sie optional Tag-basierte Richtlinienbedingungen, um Metadateninformationen zuzuweisen, um AWS Ressourcen zu kategorisieren und zu verwalten. Jedes Tag wird durch ein Schlüssel-Wert-Paar repräsentiert. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Rolle überprüfen

Nehmen Sie sich Zeit, um alle Informationen zu Ihrer neuen Rolle zu überprüfen. Wählen Sie Zurück, um zurückzugehen und die Informationen zu bearbeiten. Wenn Sie bereit sind, Ihre Rolle zu erstellen, wählen Sie Rolle erstellen. Dadurch wird eine Rolle mit Berechtigungen für Ihre ausgewählten ML-Aktivitäten generiert. Sie können Ihre neue Rolle im Bereich Rollen der IAM-Konsole einsehen.