Descripción de los permisos y roles de ejecución de espacio de dominio - Amazon SageMaker AI
Roles de ejecución de SageMaker AIEjemplo de permisos flexibles con roles de ejecución

Descripción de los permisos y roles de ejecución de espacio de dominio

En muchas aplicaciones de SageMaker AI, al iniciar una aplicación de SageMaker AI dentro de un dominio, se crea un espacio para la aplicación. Cuando un perfil de usuario crea un espacio, ese espacio asume un rol de AWS Identity and Access Management (IAM) que define los permisos concedidos a ese espacio. En la página siguiente, se proporciona información sobre los tipos de espacios y los roles de ejecución que definen los permisos para el espacio.

Un rol de IAM es una identidad de IAM que puede crear en su cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

nota

Al iniciar Amazon SageMaker Canvas o RStudio, no se crea un espacio que asuma un rol de IAM. En su lugar, puede cambiar el rol asociado al perfil de usuario para administrar sus permisos en la aplicación. Para obtener más información sobre cómo obtener el rol de un perfil de usuario de SageMaker AI, consulte Obtención del rol de ejecución del usuario.

Para SageMaker Canvas, consulte Administración de configuración y permisos de Amazon SageMaker Canvas (para administradores de TI).

Para RStudio, consulte Creación de un dominio de Amazon SageMaker AI con la aplicación de RStudio.

Los usuarios pueden acceder a sus aplicaciones de SageMaker AI en un espacio compartido o privado.

Espacios compartidos

  • Solo puede haber un espacio asociado a una aplicación. Todos los perfiles de usuario del dominio pueden acceder a un espacio compartido. Esto otorga a todos los perfiles de usuario del dominio acceso al mismo sistema de almacenamiento de archivos subyacente para la aplicación.

  • Al espacio compartido se le concederán los permisos que define el rol de ejecución predeterminado del espacio. Si desea modificar el rol de ejecución del espacio compartido, debe modificar el rol de ejecución predeterminado del espacio.

    Para obtener más información sobre cómo obtener el rol de ejecución predeterminado del espacio, consulte Obtención del rol de ejecución del espacio.

    Para obtener más información sobre cómo modificar el rol de ejecución, consulte Modificación de los permisos del rol de ejecución.

  • Para obtener más información sobre los espacios compartidos, consulte Colaboración con espacios compartidos.

  • Para crear un espacio compartido, consulte Creación de un espacio compartido.

Espacios privados

  • Solo puede haber un espacio asociado a una aplicación. Solo el perfil de usuario que lo creó puede acceder a un espacio privado. Este espacio no se puede compartir con otros usuarios.

  • El espacio privado asumirá el rol de ejecución del perfil de usuario que lo creó. Si desea modificar el rol de ejecución del espacio privado, debe modificar el rol de ejecución del perfil de usuario.

    Para obtener más información sobre cómo obtener el rol de ejecución del perfil de usuario, consulte Obtención del rol de ejecución del usuario.

    Para obtener más información sobre cómo modificar el rol de ejecución, consulte Modificación de los permisos del rol de ejecución.

  • Todas las aplicaciones que admiten espacios también admiten espacios privados.

  • De forma predeterminada, ya se ha creado un espacio privado para Studio Classic para cada perfil de usuario.

Roles de ejecución de SageMaker AI

Un rol de ejecución de SageMaker AI es un rol de AWS Identity and Access Management (IAM) que se asigna a una identidad de IAM que realiza ejecuciones en SageMaker AI. Una identidad de IAM proporciona acceso a una cuenta de AWS y representa a un usuario o carga de trabajo de programación que se puede autenticar y, a continuación, autorizar para que realice acciones en AWS, que concede permisos a SageMaker AI para acceder a otros recursos de AWS en su nombre. Este rol permite a SageMaker AI realizar acciones como inicializar instancias de computación, acceder a los datos y artefactos del modelo almacenados en Amazon S3 o escribir registros en CloudWatch. SageMaker AI asume el rol de ejecución en tiempo de ejecución y se le conceden temporalmente los permisos definidos en la política del rol. El rol debe contener los permisos necesarios que definan las acciones que la identidad puede realizar y los recursos a los que tiene acceso la identidad. Puede asignar roles a varias identidades para ofrecer un enfoque flexible y detallado a la hora de administrar los permisos y el acceso dentro de su dominio. Para obtener más información sobre los dominios, consulte Descripción general del dominio de Amazon SageMaker AI. Por ejemplo, puede asignar roles de IAM a:

  • Rol de ejecución de dominio para conceder amplios permisos a todos los perfiles de usuario del dominio.

  • Rol de ejecución del espacio para conceder amplios permisos a un espacio compartido dentro del dominio. Todos los perfiles de usuario del dominio pueden acceder a los espacios compartidos y utilizarán el rol de ejecución del espacio mientras estén dentro del espacio compartido.

  • Rol de ejecución del perfil de usuario para conceder permisos detallados a perfiles de usuario específicos. Un espacio privado creado por un perfil de usuario asumirá el rol de ejecución de ese perfil de usuario.

Esto le permite conceder los permisos necesarios al dominio y, al mismo tiempo, mantener el principio de los permisos con privilegios mínimos para los perfiles de usuario, para cumplir las prácticas recomendadas de seguridad de IAM que se describen en la Guía del usuario de AWS IAM Identity Center.

Los cambios o modificaciones en los roles de ejecución pueden tardar unos minutos en propagarse. Para obtener más información, consulte Cambio del rol de ejecución o Modificación de los permisos del rol de ejecución, respectivamente.

Ejemplo de permisos flexibles con roles de ejecución

Con los roles de IAM, puede administrar y conceder permisos de una manera amplia y detallada. El siguiente ejemplo incluye la concesión de permisos para espacios y para usuarios.

Supongamos que es un administrador que está configurando un dominio para un equipo de científicos de datos. Puede permitir que los perfiles de usuario del dominio tengan acceso completo a los buckets de Amazon Simple Storage Service (Amazon S3), ejecutar trabajos de entrenamiento de SageMaker e implementar modelos mediante una aplicación en un espacio compartido. En este ejemplo, puede crear un rol de IAM llamado DataScienceTeamRole con permisos amplios. Luego, puede asignar DataScienceTeamRole como rol de ejecución predeterminado del espacio, lo que otorga permisos amplios a su equipo. Cuando un perfil de usuario crea un espacio compartido, ese espacio asumirá el rol de ejecución predeterminado del espacio. Para obtener más información sobre la asignación de un rol de ejecución a un dominio existente, consulte Obtención del rol de ejecución del espacio.

En lugar de permitir que cualquier perfil de usuario individual que trabaje en su propio espacio privado tenga acceso completo a los buckets de Amazon S3, puede restringir los permisos de un perfil de usuario y no permitir que modifique los buckets de Amazon S3. En este ejemplo, puede dar acceso de lectura a los buckets de Amazon S3 para recuperar datos, ejecutar trabajos de entrenamiento de SageMaker e implementar modelos en su espacio privado. Puede crear un rol de ejecución de usuario denominado DataScientistRole con permisos relativamente más limitados. A continuación, puede asignar DataScientistRole al rol de ejecución del perfil de usuario y concederle los permisos necesarios para realizar sus tareas específicas de ciencia de datos dentro del ámbito definido. Cuando un perfil de usuario crea un espacio privado, ese espacio asumirá el rol de ejecución del usuario. Para obtener más información sobre la asignación de un rol de ejecución a un perfil de usuario existente, consulte Obtención del rol de ejecución del usuario.

Para obtener más información sobre los roles de ejecución de SageMaker AI y cómo añadirles más permisos, consulte Uso de los roles de ejecución de SageMaker AI.