Comprendre les autorisations d’espace de domaine et les rôles d’exécution - Amazon SageMaker AI
Rôles d’exécution SageMaker AIExemple d’autorisations flexibles avec les rôles d’exécution

Comprendre les autorisations d’espace de domaine et les rôles d’exécution

Pour de nombreuses applications SageMaker AI, lorsque vous démarrez une application SageMaker AI dans un domaine, un espace est créé pour l’application. Lorsqu’un profil utilisateur crée un espace, celui-ci assume un rôle AWS Identity and Access Management (IAM) qui définit les autorisations accordées à cet espace. La page suivante fournit des informations sur les types d’espace et les rôles d’exécution qui définissent les autorisations pour l’espace.

Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s’agit d’une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.

Note

Lorsque vous démarrez Amazon SageMaker Canvas ou RStudio, cela ne crée pas un espace qui assume le rôle IAM. Au lieu de cela, vous modifiez le rôle associé au profil utilisateur pour gérer ses autorisations pour l’application. Pour obtenir des informations sur l’obtention du rôle d’un profil utilisateur SageMaker AI, consultez Obtention du rôle d’exécution d’un utilisateur.

Pour SageMaker Canvas, consultez Configuration d’Amazon SageMaker Canvas et gestion des autorisations (pour les administrateurs informatiques).

Pour RStudio, consultez Création d’un domaine Amazon SageMaker AI avec l’application RStudio.

Les utilisateurs peuvent accéder à leurs applications SageMaker AI dans un espace partagé ou privé.

Espaces partagés

  • Il ne peut y avoir qu’un espace associé à une application. Tous les profils utilisateur du domaine peuvent accéder à un espace partagé. Cela permet à tous les profils utilisateur du domaine d’accéder au même système de stockage de fichiers sous-jacent pour l’application.

  • L’espace partagé bénéficiera des autorisations définies par le rôle d’exécution par défaut de l’espace. Si vous souhaitez modifier le rôle d’exécution de l’espace partagé, vous devez modifier le rôle d’exécution par défaut de l’espace.

    Pour obtenir des informations sur l’obtention du rôle d’exécution par défaut de l’espace, consultez Obtention du rôle d’exécution d’un espace.

    Pour obtenir des informations sur la modification de votre rôle d’exécution, consultez Modification des autorisations d’accès au rôle d’exécution.

  • Pour en savoir plus sur les espaces partagés, consultez Collaboration avec des espaces partagés.

  • Pour créer un espace partagé, consultez Création d’un espace partagé.

Espaces privés

  • Il ne peut y avoir qu’un espace associé à une application. Un espace privé n’est accessible qu’au profil utilisateur qui l’a créé. Cet espace ne peut pas être partagé avec d’autres utilisateurs.

  • L’espace privé assumera le rôle d’exécution de profil utilisateur du profil utilisateur qui l’a créé. Si vous souhaitez modifier le rôle d’exécution de l’espace privé, vous devez modifier le rôle d’exécution du profil utilisateur.

    Pour obtenir des informations sur l’obtention du rôle d’exécution du profil utilisateur, consultez Obtention du rôle d’exécution d’un utilisateur.

    Pour obtenir des informations sur la modification de votre rôle d’exécution, consultez Modification des autorisations d’accès au rôle d’exécution.

  • Toutes les applications qui prennent en charge les espaces prennent également en charge les espaces privés.

  • Un espace privé pour Studio Classic est déjà créé par défaut pour chaque profil utilisateur.

Rôles d’exécution SageMaker AI

Un rôle d’exécution SageMaker AI est un rôle de gestion des identités et des accès AWS (IAM) attribué à une identité IAM qui effectue des exécutions dans SageMaker AI. Une identité IAM donne accès à un compte AWS et représente un utilisateur humain ou une charge de travail programmatique qui peut être authentifié puis autorisé à effectuer des actions dans AWS, et qui autorise SageMaker AI à accéder à d’autres ressources AWS en votre nom. Ce rôle permet à SageMaker AI d’effectuer des actions telles que le lancement d’instances de calcul, l’accès aux données et aux artefacts de modèles stockés dans Amazon S3 ou l’écriture de journaux sur CloudWatch. SageMaker AI assume le rôle d’exécution au moment de l’exécution et se voit accorder temporairement les autorisations définies dans la politique du rôle. Le rôle doit contenir les autorisations nécessaires qui définissent les actions que l’identité peut effectuer et les ressources auxquelles elle a accès. Vous pouvez attribuer des rôles à différentes identités afin de proposer une approche souple et précise de la gestion des autorisations et des accès au sein de votre domaine. Pour plus d’informations sur les domaines, consultez Présentation du domaine Amazon SageMaker AI. Par exemple, vous pouvez attribuer des rôles IAM aux éléments suivants :

  • Au rôle d’exécution du domaine pour accorder des autorisations étendues à tous les profils utilisateur du domaine.

  • Au rôle d’exécution de l’espace pour accorder des autorisations étendues pour un espace partagé au sein du domaine. Tous les profils utilisateur du domaine peuvent accéder aux espaces partagés et utilisent le rôle d’exécution de l’espace lorsqu’ils se trouvent dans l’espace partagé.

  • Au rôle d’exécution du profil utilisateur pour accorder des autorisations précises pour les profils utilisateur spécifiques. Un espace privé créé par un profil utilisateur assumera le rôle d’exécution de ce profil utilisateur.

Cela vous permet d’accorder les autorisations nécessaires au domaine tout en respectant le principe des autorisations de moindre privilège pour les profils utilisateur, afin de respecter les bonnes pratiques de sécurité dans IAM décrites dans le Guide de l’utilisateur AWS IAM Identity Center.

Toute modification apportée aux rôles d’exécution peut prendre quelques minutes pour se propager. Pour plus d’informations, consultez Changement de rôle d’exécution ou Modification des autorisations d’accès au rôle d’exécution, respectivement.

Exemple d’autorisations flexibles avec les rôles d’exécution

Avec les rôles IAM, vous pouvez gérer et accorder des autorisations à des niveaux étendus et précis. L’exemple suivant inclut l’octroi d’autorisations au niveau de l’espace et au niveau de l’utilisateur.

Supposons que vous soyez un administrateur configurant un domaine pour une équipe de scientifiques des données. Vous pouvez autoriser les profils utilisateur du domaine à avoir un accès complet aux compartiments Amazon Simple Storage Service (Amazon S3), à exécuter des tâches d’entraînement SageMaker et à déployer des modèles à l’aide d’une application dans un espace partagé. Dans cet exemple, vous pouvez créer un rôle IAM appelé « DataScienceTeamRole » avec des autorisations étendues. Vous pouvez ensuite attribuer le rôle « DataScienceTeamRole » en tant que rôle d’exécution par défaut de l’espace, accordant ainsi des autorisations étendues à votre équipe. Lorsqu’un profil utilisateur crée un espace partagé, cet espace assume le rôle d’exécution par défaut de l’espace. Pour obtenir des informations sur l’attribution d’un rôle d’exécution à un domaine existant, consultez Obtention du rôle d’exécution d’un espace.

Au lieu d’autoriser un profil utilisateur individuel quelconque qui travaille dans son propre espace privé à avoir un accès complet aux compartiments Amazon S3, vous pouvez restreindre les autorisations d’un profil utilisateur et ne pas l’autoriser à modifier les compartiments Amazon S3. Dans cet exemple, vous pouvez lui donner un accès en lecture aux compartiments Amazon S3 pour extraire des données, exécuter des tâches d’entraînement SageMaker et déployer des modèles dans son espace privé. Vous pouvez créer un rôle d’exécution au niveau de l’utilisateur appelé « DataScientistRole » avec des autorisations relativement plus limitées. Vous pouvez ensuite attribuer le rôle « DataScientistRole » au rôle d’exécution du profil utilisateur, lui accordant ainsi les autorisations nécessaires pour effectuer ses tâches spécifiques de science des données dans le cadre défini. Lorsqu’un profil utilisateur crée un espace privé, cet espace assume le rôle d’exécution de l’utilisateur. Pour obtenir des informations sur l’attribution d’un rôle d’exécution à un profil utilisateur existant, consultez Obtention du rôle d’exécution d’un utilisateur.

Pour obtenir des informations sur les rôles d’exécution de SageMaker AI et sur l’ajout d’autorisations supplémentaires à ces rôles, consultez Comment utiliser les rôles d’exécution SageMaker AI.