Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de aplicaciones de IA para socios
En los siguientes temas se describen los permisos necesarios para empezar a utilizar Amazon SageMaker Partner AI Apps. Los permisos necesarios se dividen en dos partes, según el nivel de permisos del usuario:
-
Permisos administrativos: permisos para los administradores que configuran entornos de científicos de datos y desarrolladores de machine learning (ML).
-
AWS Marketplace
-
Administración de las aplicaciones de IA para socios
-
AWS License Manager
-
-
Permisos de usuario: permisos para científicos de datos y desarrolladores de machine learning.
-
Autorización de usuarios
-
Propagación de identidades
-
Acceso al SDK
-
Requisitos previos
Los administradores deben cumplir los siguientes requisitos previos para poder configurar aplicaciones de IA para socios.
-
(Opcional) Inscríbase en un dominio de SageMaker IA. Se puede acceder a las aplicaciones de IA asociadas directamente desde un dominio de SageMaker IA. Para obtener más información, consulte Descripción general del dominio Amazon SageMaker AI.
-
Si utiliza aplicaciones de IA asociadas en un dominio de SageMaker IA en modo solo VPC, los administradores deben crear un punto final con el siguiente formato para conectarse a las aplicaciones de IA asociadas. Para obtener más información sobre el uso de Studio en modo solo de VPC, consulte Connect Amazon SageMaker Studio de una VPC a recursos externos.
aws.sagemaker.region.partner-app
-
-
(Opcional) Si los administradores interactúan con el dominio mediante elAWS CLI, también deben cumplir los siguientes requisitos previos.
-
Actualícelo AWS CLI siguiendo los pasos que se indican en Instalación de la versión actual AWS CLI.
-
En el equipo local, ejecute
aws configurey proporcione sus credenciales de AWS. Para obtener información sobre AWS las credenciales, consulte Descripción y obtención de AWS las credenciales.
-
Permisos administrativos
El administrador debe añadir los siguientes permisos para habilitar las aplicaciones de IA asociadas en la SageMaker IA.
-
Permiso para completar la AWS Marketplace suscripción a las aplicaciones de IA asociadas
-
Configuración del rol de ejecución de la aplicación de IA para socios
AWS Marketplacesuscripción a Partner AI Apps
Los administradores deben completar los siguientes pasos para añadir permisos a. AWS Marketplace Para obtener información sobre el usoAWS Marketplace, consulta Cómo empezar a usar AWS Marketplace como comprador.
-
Otorgue permisos paraAWS Marketplace. Los administradores de Partner AI Apps necesitan estos permisos para comprar suscripciones a Partner AI AppsAWS Marketplace. Para acceder a ellaAWS Marketplace, los administradores deben adjuntar la política
AWSMarketplaceManageSubscriptionsgestionada a la función de IAM que utilizan para acceder a la consola de SageMaker IA y comprar la aplicación. Para obtener más información sobre la políticaAWSMarketplaceManageSubscriptionsgestionada, consulta Políticas AWS gestionadas para AWS Marketplace compradores. Para obtener más información acerca de cómo asociar políticas administradas, consulte Adición y eliminación de permisos de identidad de IAM. -
Concede permisos para que la SageMaker IA ejecute operaciones en nombre de los administradores utilizando otrasServicios de AWS. Los administradores deben conceder permisos a la SageMaker IA para usar estos servicios y los recursos sobre los que actúan. En la siguiente definición de política se muestra cómo conceder los permisos necesarios de aplicaciones de IA para socios. Estos permisos son necesarios además de los permisos existentes para el rol de administrador. Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA.
Configuración del rol de ejecución de la aplicación de IA para socios
-
Las aplicaciones de IA para socios requieren un rol de ejecución para interactuar con los recursos de la Cuenta de AWS. Los administradores pueden crear este rol de ejecución desde la AWS CLI. La aplicación de AI para socios utiliza este rol para completar las acciones relacionadas con la funcionalidad de la aplicación de IA para socios.
aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }' -
Cree el rol AWS License Manager vinculado a un servicio siguiendo los pasos de Crear un rol vinculado a un servicio para License Manager.
-
Otorgue permisos para que la aplicación de IA para socios acceda a License Manager desde la AWS CLI. Estos permisos son necesarios para acceder a las licencias de la aplicación de IA para socios. Esto permite a la aplicación de IA para socios verificar el acceso a la licencia de la aplicación de IA para socios.
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "license-manager:ExtendLicenseConsumption", "license-manager:GetLicense", "license-manager:GetLicenseUsage" ], "Resource": "*" } }' -
Si la aplicación de IA para socios requiere acceso a un bucket de Amazon S3, añada los permisos de Amazon S3 al rol de ejecución. Para obtener más información, consulte Permisos necesarios para las operaciones de la API de Amazon S3.
Configurar la integración de Amazon Bedrock
Las aplicaciones de IA asociadas, como Deepchecks, admiten la integración con Amazon Bedrock para habilitar funciones de evaluación basadas en LLM. Al configurar una aplicación de IA asociada con el soporte de Amazon Bedrock, los administradores pueden especificar qué modelos básicos y perfiles de inferencia están disponibles para su uso en la aplicación. Si necesita aumentar el límite de cuota para sus modelos Amazon Bedrock, consulte Solicitar un aumento de las cuotas de Amazon Bedrock.
-
Asegúrese de que la función de ejecución de la aplicación Partner AI tenga los permisos de Amazon Bedrock necesarios. Añada los siguientes permisos para habilitar el acceso al modelo Amazon Bedrock:
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:GetFoundationModel", "bedrock:GetInferenceProfile" ], "Resource": "*" } }' -
Identifique los modelos de Amazon Bedrock que su organización quiere poner a disposición de la aplicación Partner AI. Puede ver los modelos disponibles en su región mediante la consola Amazon Bedrock. Para obtener información sobre la disponibilidad de los modelos en todas las regiones, consulte Soporte de modelos por Región de AWS.
-
(Opcional) Cree perfiles de inferencia gestionados por el cliente para el seguimiento de los costes y la gestión de modelos. Los perfiles de inferencia le permiten realizar un seguimiento del uso de Amazon Bedrock específicamente para la aplicación Partner AI y pueden habilitar la inferencia entre regiones cuando los modelos no están disponibles en su región actual. Para obtener más información, consulte Uso de perfiles de inferencia en Amazon Bedrock.
-
Al crear o actualizar la aplicación Partner AI, especifique los modelos y perfiles de inferencia permitidos mediante la
CreatePartnerAppAPI o.UpdatePartnerAppLa aplicación Partner AI solo podrá acceder a los modelos y perfiles de inferencia que usted configure de forma explícita.
importante
El uso de Amazon Bedrock a través de las aplicaciones de IA asociadas se factura directamente a usted Cuenta de AWS utilizando los precios actuales de Amazon Bedrock. Los costos de infraestructura de la aplicación Partner AI son independientes de los costos de inferencia del modelo Amazon Bedrock.
Integración de Deepcheck con Amazon Bedrock
Deepchecks admite la integración de Amazon Bedrock para las capacidades de evaluación basadas en LLM, que incluyen:
-
El LLM como juez de evaluaciones: utilice modelos básicos para evaluar automáticamente los resultados de los modelos en función de la calidad, la relevancia y otros criterios
-
Anotación automatizada: genere etiquetas y anotaciones para conjuntos de datos utilizando modelos básicos
-
Análisis de contenido: analice los datos de texto para detectar sesgos, toxicidad y otras métricas de calidad mediante las capacidades de LLM
Para obtener información detallada sobre las características y la configuración de Amazon Bedrock de Deepcheck, consulte la documentación de Deepchecks en la aplicación.
Permisos de usuario
Cuando los administradores hayan completado la configuración de los permisos administrativos, deben asegurarse de que los usuarios tengan los permisos necesarios para acceder a las aplicaciones de IA para socios.
-
Otorgue permisos para que SageMaker AI ejecute operaciones en su nombre utilizando otras. Servicios de AWS Los administradores deben conceder permisos a la SageMaker IA para usar estos servicios y los recursos sobre los que actúan. Los administradores conceden estos permisos a SageMaker AI mediante una función de ejecución de IAM. Para obtener más información sobre los roles de IAM, consulte Roles de IAM. En la siguiente definición de política se muestra cómo conceder los permisos necesarios de aplicaciones de IA para socios. Esta política se puede agregar al rol de ejecución del perfil de usuario. Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA.
-
(Opcional) Si va a lanzar aplicaciones de IA para socios desde Studio, añada la política de confianza
sts:TagSessional rol utilizado para lanzar Studio o las aplicaciones de IA para socios directamente de la siguiente manera. De este modo se garantiza que la identidad se pueda propagar correctamente.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } -
(Opcional) Si utilizas el SDK de una aplicación de IA asociada para acceder a las funciones de la SageMaker IA, añade el siguiente
CallPartnerAppApipermiso a la función utilizada para ejecutar el código del SDK. Si ejecuta el código del SDK desde Studio, añada el permiso al rol de ejecución de Studio. Si ejecuta el código desde otro lugar que no sea Studio, añada el permiso al rol de IAM utilizado con el cuaderno. Esto permite al usuario acceder a la funcionalidad de la aplicación de IA para socios desde el SDK de la aplicación de IA para socios.
Administración de la autorización y autenticación de usuarios
Para proporcionar acceso a las aplicaciones de IA para socios a los miembros de su equipo, los administradores deben asegurarse de que la identidad de sus usuarios se propague a las aplicaciones de IA para socios. Esta propagación garantiza que los usuarios puedan acceder correctamente a la interfaz de usuario de las aplicaciones de IA para socios y realizar las acciones autorizadas de las aplicaciones de IA para socios.
Las aplicaciones de IA para socios admiten los siguientes orígenes de identidades:
-
AWS IAM Identity Center
-
Proveedores de identidad externos (IdPs)
-
Identidad basada en sesiones de IAM
En las siguientes secciones se proporciona información sobre los orígenes de las identidades compatibles con las aplicaciones de IA para socios, así como detalles importantes relacionados con ese origen de identidades.
Si un usuario se autentica en Studio con IAM Identity Center y lanza una aplicación desde Studio, el UserName de IAM Identity Center se propaga automáticamente como la identidad de usuario de una aplicación de IA para socios. Este no es el caso si el usuario inicia la aplicación de IA para socios directamente con la API CreatePartnerAppPresignedUrl.
Si utilizan SAML para la Cuenta de AWS federación, los administradores tienen dos opciones para transferir la identidad de IdP como identidad de usuario de una aplicación de IA asociada. Para obtener información sobre cómo configurar la Cuenta de AWS federación, consulte Cómo configurar SAML 2.0 para
-
Etiqueta principal: los administradores pueden configurar la aplicación IAM Identity Center específica del IDP para que transmita la información de identidad de la sesión de inicio mediante la AWS sesión
PrincipalTagcon el siguiente atributo.NameCuando se usa SAML, la sesión del rol de inicio usa un rol de IAM. Para utilizar laPrincipalTag, los administradores deben añadir el permisosts:TagSessiona este rol de destino, así como al rol de ejecución de Studio. Para obtener más información sobrePrincipalTag, consulte Configuración de aserciones SAML para la respuesta de autenticación.https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser -
Nombre de la sesión de inicio: los administradores pueden propagar el nombre de la sesión de inicio como identidad de la aplicación de IA para socios. Para ello, deben configurar el indicador de activación
EnableIamSessionBasedIdentitypara cada aplicación de IA para socios. Para obtener más información, consulte EnableIamSessionBasedIdentity.
importante
Le recomendamos que no utilice este método para las cuentas de producción. Para las cuentas de producción, es mejor utilizar un proveedor de identidades para aumentar la seguridad.
SageMaker La IA admite las siguientes opciones de propagación de la identidad cuando se utiliza una identidad de IAM basada en una sesión. Todas las opciones, excepto el uso de una etiqueta de sesión conAWS STS, requieren configurar el indicador de EnableIamSessionBasedIdentity suscripción para cada aplicación. Para obtener más información, consulte EnableIamSessionBasedIdentity.
Al propagar las identidades, la SageMaker IA verifica si se está utilizando una etiqueta de AWS STS sesión. Si no se utiliza ninguna, SageMaker AI propaga el nombre de usuario o el nombre de sesión de IAM. AWS STS
-
AWS STSEtiqueta de sesión: los administradores pueden configurar una etiqueta de sesión para la
SageMakerPartnerAppUsersesión de IAM del iniciador. Cuando los administradores lanzan una aplicación de IA asociada mediante la consola de SageMaker IA o laAWS CLI, la etiqueta deSageMakerPartnerAppUsersesión se transfiere automáticamente como identidad de usuario de la aplicación de IA asociada. En el siguiente ejemplo se muestra cómo configurar la etiqueta de sesiónSageMakerPartnerAppUsercon la AWS CLI. El valor de la clave se añade como etiqueta de la entidad principal.aws sts assume-role \ --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app\ --role-session-name session_name \ --tags Key=SageMakerPartnerAppUser,Value=user-nameAl dar a los usuarios acceso a una aplicación de IA para socios con
CreatePartnerAppPresignedUrl, recomendamos verificar el valor de la claveSageMakerPartnerAppUser. Esto ayuda a evitar el acceso no deseado a los recursos de la aplicación de IA para socios. La siguiente política de confianza verifica que la etiqueta de sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta de entidad principal para ello. Debe configurarse en el rol que está lanzando Studio o la aplicación de IA para socios. -
Usuario de IAM autenticado: el nombre del usuario se propaga automáticamente como usuario de la aplicación de IA para socios.
-
AWS STSnombre de sesión: si no se configura ninguna etiqueta de
SageMakerPartnerAppUsersesión al utilizarlaAWS STS, SageMaker AI devuelve un error cuando los usuarios inician una aplicación de IA asociada. Para evitarlo, los administradores deben configurar el indicador de activaciónEnableIamSessionBasedIdentitypara cada aplicación de IA para socios. Para obtener más información, consulte EnableIamSessionBasedIdentity.Cuando el indicador de activación
EnableIamSessionBasedIdentityesté activado, utilice la política de confianza de roles de IAM para asegurarse de que el nombre de la sesión de IAM es o contiene el nombre de usuario de IAM. Esto garantiza que los usuarios no accedan haciéndose pasar por otros usuarios. La siguiente política de confianza verifica que el nombre de la sesión coincida exactamente con el usuario de IAM asociado. Los administradores pueden usar cualquier etiqueta de entidad principal para ello. Debe configurarse en el rol que está lanzando Studio o la aplicación de IA para socios.Los administradores también deben añadir la política de confianza
sts:TagSessional rol que está lanzando Studio o la aplicación de IA para socios. De este modo se garantiza que la identidad se pueda propagar correctamente.{ "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] }
Tras configurar las credenciales, los administradores pueden dar a sus usuarios acceso a Studio o a la aplicación Partner AI AWS CLI mediante llamadas a la CreatePartnerAppPresignedUrl API CreatePresignedDomainUrl o a la API, respectivamente.
A continuación, los usuarios también pueden iniciar Studio desde la consola de SageMaker IA e iniciar las aplicaciones de IA asociadas desde Studio.
EnableIamSessionBasedIdentity
EnableIamSessionBasedIdentity es un indicador de activación. Cuando se activa la EnableIamSessionBasedIdentity marca, SageMaker AI pasa la información de la sesión de IAM como identidad de usuario de la aplicación Partner AI. Para obtener más información sobre AWS STS las sesiones, consulte Usar credenciales temporales con AWS los recursos.
Control de acceso
Para controlar el acceso a las aplicaciones de IA para socios, utilice una política de IAM asociada al rol de ejecución del perfil de usuario. Para lanzar una aplicación de IA asociada directamente desde Studio o mediante la AWS CLI función de ejecución del perfil de usuario debe tener una política que otorgue permisos para la CreatePartnerAppPresignedUrl API. Elimine este permiso del rol de ejecución del perfil de usuario para asegurarse de que no pueda iniciar aplicaciones de IA para socios.
Usuarios administradores raíz
Las aplicaciones de IA para socios Comet y Fiddler requieren al menos un usuario administrador raíz. Los usuarios administradores raíz tienen permisos para añadir usuarios normales y administradores y administrar los recursos. Los nombres de usuario proporcionados como usuarios administradores raíz deben coincidir con los nombres de usuario del origen de las identidades.
Si bien los usuarios administradores raíz siguen utilizando la SageMaker IA, los usuarios administradores normales no lo están y solo existen dentro de la aplicación de IA asociada hasta que se cierra la aplicación de IA asociada.
Los administradores pueden actualizar a los usuarios administradores raíz mediante la llamada a la API UpdatePartnerApp. Cuando se actualizan los usuarios administradores raíz, la lista actualizada de usuarios administradores raíz se transfiere a la aplicación de IA para socios. La aplicación de IA para socios se asegura de que todos los nombres de usuario de la lista tengan privilegios de administrador raíz. Si se elimina un usuario administrador raíz de la lista, el usuario seguirá conservando los permisos de administrador normales hasta que:
-
Se elimine al usuario de la aplicación.
-
Otro usuario administrador revoque los permisos de administrador del usuario.
nota
Fiddler no admite la actualización de los usuarios administradores. Solo Comet permite actualizar los usuarios administradores raíz.
Para eliminar un usuario administrador raíz, primero debe actualizar la lista de usuarios administradores raíz que utilizan la API UpdatePartnerApp. A continuación, elimine o revoque los permisos de administrador a través de la interfaz de usuario de la aplicación de IA para socios.
Si elimina un usuario administrador raíz de la interfaz de usuario de la aplicación de IA para socios sin actualizar la lista de usuarios administradores raíz con la API UpdatePartnerApp, el cambio es temporal. Cuando SageMaker AI envía la siguiente solicitud de actualización de la aplicación Partner AI, SageMaker AI envía la lista de administradores raíz que aún incluye al usuario a la aplicación Partner AI. Esto anula la eliminación realizada desde la interfaz de usuario de la aplicación de IA para socios.
