Einrichten der kontoübergreifenden Abstammungsverfolgung Kontoübergreifende Nachverfolgung von Lineage

Kontoübergreifende Nachverfolgung von Lineage

Amazon SageMaker AI unterstützt die Nachverfolgung von Lineage-Entitäten von einem anderen AWS-Konto aus. Andere AWS-Konten können ihre Lineage-Entitäten mit Ihnen teilen und Sie können über direkte API-Aufrufe oder SageMaker-Lineage-Abfragen auf diese Lineage-Entitäten zugreifen.

SageMaker AI verwendet AWS Resource Access Manager, um Ihnen dabei zu helfen, Ihre Lineage-Ressourcen sicher zu teilen. Sie können Ihre Ressourcen über die AWS RAM Konsole teilen.

Einrichten der kontoübergreifenden Abstammungsverfolgung

Sie können Ihre Entitäten zur Abstammungsverfolgung über eine Lineage-Gruppe in Amazon SageMaker AI gruppieren und teilen. SageMaker AI unterstützt nur eine Standard-Lineage-Gruppe pro Konto. SageMaker AI erstellt die Standard-Lineage-Gruppe immer dann, wenn in Ihrem Konto eine Lineage-Entität erstellt wird. Jede Lineage-Entität, die Ihrem Konto gehört, ist dieser Standard-Abstammungsgruppe zugewiesen. Um Abstammungsentitäten mit einem anderen Konto zu teilen, teilen Sie diese Standard-Herkunftsgruppe mit diesem Konto.

Anmerkung

Sie können alle Entitäten zur Abstammungsverfolgung in einer Abstammungsgruppe gemeinsam nutzen oder keine.

Erstellen Sie mithilfe der AWS Resource Access Manager Konsole eine gemeinsame Nutzung von Ressourcen für Ihre Lineage-Entitäten. Weitere Informationen finden Sie unter Freigeben Ihrer AWS-Ressourcen im AWS Resource Access Manager-Benutzerhandbuch.

Anmerkung

Nachdem die Ressourcenfreigabe erstellt wurde, kann es einige Minuten dauern, bis die Zuordnung von Ressource und Prinzipal abgeschlossen ist. Sobald die Zuordnung eingerichtet ist, erhält das gemeinsam genutzte Konto eine Einladung, um dem Ressourcenfreigabe beizutreten. Das gemeinsame Konto muss die Einladung annehmen, um Zugriff auf gemeinsam genutzte Ressourcen zu erhalten. Weitere Informationen zum Annehmen einer Einladung zur gemeinsamen Nutzung von Ressourcen in AWS RAM finden Sie unter Verwenden von gemeinser Nutzung von AWS Ressourcen im AWS Resource Access Manager-Benutzerhandbuch.

Ihre kontoübergreifende Ressourcenrichtlinie zur Nachverfolgung der Herkunft

Amazon SageMaker AI unterstützt nur eine Art von Ressourcenrichtlinie. Die SageMaker-AI-Ressourcenrichtlinie muss alle der folgenden Operationen zulassen:


"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"

Beispiel Im Folgenden finden Sie eine SageMaker-AI-Ressourcenrichtlinie, die AWS Resource Access Manager zum Erstellen einer Ressourcenfreigabe für eine Konten-Lineage-Gruppe erstellt wurde.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

Einrichten von kontoübergreifenden Lineage-Entitäten

Mit der kontoübergreifenden Abstammungsverfolgung können Sie mithilfe derselben AddAssociation API-Aktion Abstammungseinheiten in verschiedenen Konten verknüpfen. Wenn Sie zwei Lineage-Entitäten verknüpfen, überprüft SageMaker AI, ob Sie berechtigt sind, die AddAssociation-API-Aktion für beide Lineage-Entitäten durchzuführen. SageMaker AI stellt dann die Verbindung her. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, stellt SageMaker AI die Verbindung nicht her. Sobald die kontenübergreifende Verknüpfung eingerichtet ist, können Sie über die QueryLineage API-Aktion von der anderen aus auf eine der beiden Lineage-Entitäten zugreifen. Weitere Informationen finden Sie unter Abfragen von Lineage-Entitäten.

Wenn Sie kontoübergreifenden Zugriff haben, erstellt SageMaker AI nicht nur automatisch Lineage-Entitäten, sondern verbindet auch Artefakte, die auf dasselbe Objekt oder dieselben Daten verweisen. Wenn die Daten eines Kontos von verschiedenen Konten für Lineage-Tracking verwendet werden, erstellt SageMaker AI in jedem Konto ein Artefakt, um diese Daten zu verfolgen. Bei der kontoübergreifender Lineage prüft SageMaker AI jedes Mal, wenn SageMaker AI neue Artefakte erstellt, ob es weitere Artefakte gibt, die für dieselben Daten erstellt wurden und auch mit Ihnen geteilt werden. SageMaker AI stellt dann Verbindungen zwischen dem neu erstellten Artefakt und jedem der mit Ihnen geteilten Artefakte her, wobei AssociationType auf SameAs gesetzt ist. Sie können dann die QueryLineage API-Aktion verwenden, um die Lineage-Entitäten in Ihrem eigenen Konto zu Lineage-Entitäten zu durchsuchen, die mit Ihnen geteilt werden, aber einem anderen AWS Konto gehören. Weitere Informationen finden Sie unter Abfragen von Lineage-Entitäten.

Themen

Von einem anderen Konto aus auf Lineage-Ressourcen zugreifen
Autorisierung für die Abfrage von kontenübergreifenden Lineage-Entitäten

Von einem anderen Konto aus auf Lineage-Ressourcen zugreifen

Sobald der kontoübergreifende Zugriff für die gemeinsame Nutzung von Lineage eingerichtet wurde, können Sie die folgenden SageMaker-API-Aktionen direkt mit dem ARN aufrufen, um die gemeinsam genutzten Lineage-Entitäten von einem anderen Konto aus zu beschreiben:

Mithilfe der folgenden SageMaker-API-Aktionen können Sie auch Verknüpfungen für Lineage-Entitäten verwalten, die verschiedenen Konten gehören, die mit Ihnen geteilt werden:

Ein Notebook, das demonstriert, wie Sie mithilfe von APIs von SageMaker AI Lineage das Lineage von Konten abfragen können, finden Sie unter sagemaker-lineage-cross-account-with-ram.ipynb.

Autorisierung für die Abfrage von kontenübergreifenden Lineage-Entitäten

Amazon SageMaker AI muss überprüfen, ob Sie berechtigt sind, die QueryLineage-API-Aktion auf dem StartArns durchzuführen. Dies wird durch die Ressourcenrichtlinie durchgesetzt, die LineageGroup beigefügt ist. Das Ergebnis dieser Aktion umfasst alle Lineage-Entitäten, auf die Sie Zugriff haben, unabhängig davon, ob sie Ihrem Konto gehören oder von einem anderen Konto gemeinsam genutzt werden. Weitere Informationen finden Sie unter Abfragen von Lineage-Entitäten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Abfragen von Lineage-Entitäten

Modellregistrierung