Preguntas frecuentes sobre el administrador de roles

Consulte las siguientes preguntas frecuentes para obtener respuestas a las dudas más habituales sobre el administrador de roles de Amazon SageMaker.

R: Puede acceder al Administrador de roles de Amazon SageMaker a través de varias ubicaciones en la consola de Amazon SageMaker AI. Para obtener información sobre cómo acceder al administrador de roles y usarlo para crear un rol, consulte Uso del administrador de roles (consola).

R: Las personas son grupos de permisos preconfigurados en función de las responsabilidades habituales de machine learning (ML). Por ejemplo, la persona de ciencia de datos sugiere permisos para el desarrollo y la experimentación generales del machine learning en un entorno de SageMaker AI, mientras que la persona de MLOps sugiere permisos para las actividades de ML relacionadas con las operaciones.

R: Las actividades de ML son tareas de AWS habituales relacionadas con el machine learning en SageMaker AI que requieren permisos de IAM específicos. Cada persona sugiere actividades de ML relacionadas al crear un rol con el administrador de roles de Amazon SageMaker. Las actividades de ML incluyen tareas como el acceso total a Amazon S3 o la búsqueda y visualización de experimentos. Para obtener más información, consulte Referencia de actividad de ML.

R: Sí. Los roles creados con el administrador de roles de Amazon SageMaker son roles de IAM con políticas de acceso personalizadas. Puede ver los roles creados en la sección Roles de la Consola de IAM.

R: Puede ver los roles creados en la sección Roles de la Consola de IAM. De forma predeterminada, se agrega el prefijo "sagemaker-" al nombre de cada rol para facilitar la búsqueda en la consola de IAM. Por ejemplo, si llama a su rol test-123 durante la creación del rol, este aparecerá como sagemaker-test-123 en la consola de IAM.

R: Sí. Puede modificar los roles y políticas creadas por el administrador de roles de Amazon SageMaker a través de la Consola de IAM. Para obtener más información, consulte Modificación de un rol en la Guía del usuario de AWS Identity and Access Management.

R: Sí. Puede asociar cualquier política de IAM administrada por AWS o por el cliente desde su cuenta al rol que cree con el administrador de roles de Amazon SageMaker.

R: El límite máximo para asociar políticas administradas a un usuario o rol de IAM es 20. El límite máximo de tamaño de caracteres para las políticas administradas es 6144. Para obtener más información, consulte Cuotas de objetos de IAM y Requisitos de nombres y cuotas de AWS Security Token Service e IAM y límites de caracteres.

R: Todas las condiciones que proporcione en el Paso 1. Ingresar la información del rol del administrador de roles de Amazon SageMaker, como subredes, grupos de seguridad o claves de KMS, se transfieren automáticamente a cualquier actividad de ML seleccionada en el Paso 2. Configurar las actividades de ML. También puede agregar condiciones adicionales a las actividades de ML si es necesario. Por ejemplo, también puede agregar condiciones InstanceTypes o IntercontainerTrafficEncryptiona la actividad de administración de trabajos de entrenamiento.

R: Puede agregar etiquetas a su rol en el administrador de roles de Amazon SageMaker en el Paso 3: Agregar políticas y etiquetas adicionales. Para administrar correctamente los recursos de AWS mediante etiquetas, debe agregar la misma etiqueta tanto al rol como a las políticas asociadas. Por ejemplo, puede agregar una etiqueta a un rol y a un bucket de Amazon S3. Entonces, dado que el rol pasa la etiqueta a la sesión de SageMaker AI, solo un usuario con ese rol puede acceder a ese bucket de S3. Puede agregar etiquetas a una política a través de la Consola de IAM. Para obtener más información, consulte Roles de IAM en la Guía del usuario de AWS Identity and Access Management.

R: No. Sin embargo, después de crear un rol de servicio en el administrador de roles, puede ir a la consola de IAM para editar el rol y agregar un rol de acceso humano a la consola de IAM.

R: Un usuario asume directamente un rol de federación de usuarios para acceder a recursos de AWS como el acceso a la Consola de administración de AWS. El servicio SageMaker AI asume un rol de ejecución de SageMaker AI para realizar una función en nombre de un usuario o una herramienta de automatización. Por ejemplo, cuando un usuario abre una instancia de Studio Classic, Studio Classic asume el rol de ejecución asociado al perfil de usuario para acceder a los recursos de AWS en nombre del usuario. Si el perfil de usuario no especifica un rol de ejecución, este se especifica en el dominio de Amazon SageMaker AI.

R: Si utiliza una aplicación web personalizada para acceder a Studio Classic, tendrá un rol híbrido de federación de usuarios y un rol de ejecución de SageMaker AI. Asegúrese de que este rol tenga los permisos con privilegios mínimos tanto para lo que el usuario puede hacer como para lo que Studio Classic puede hacer en nombre del usuario asociado.

R: Las aplicaciones de la nube de AWS IAM Identity Center Studio Classic utilizan un rol de ejecución de Studio Classic para conceder permisos a los usuarios federados. Este rol de ejecución se puede especificar en el perfil de usuario del IAM Identity Center de Studio Classic o en el dominio predeterminado. Las identidades y los grupos de usuarios deben sincronizarse en el IAM Identity Center y el perfil de usuario de Studio Classic debe crearse con la asignación de usuarios del IAM Identity Center mediante CreateUserProfile. Para obtener más información, consulte Inicialización de Studio Classic con IAM Identity Center.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Inicialización de Studio Classic

Control de acceso