Configuration des applications d’IA des partenaires - Amazon SageMaker AI
Conditions préalablesAutorisations administrativesAutorisations des utilisateurs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des applications d’IA des partenaires

Les rubriques suivantes décrivent les autorisations nécessaires pour commencer à utiliser les applications Amazon SageMaker Partner AI. Les autorisations requises sont divisées en deux parties, en fonction du niveau d’autorisation de l’utilisateur :

  • Autorisations administratives : autorisations pour les administrateurs qui configurent des environnements pour développeurs scientifiques des données et de machine learning (ML).

    • AWS Marketplace

    • Gestion d’applications d’IA des partenaires

    • AWS License Manager

  • Autorisations des utilisateurs : autorisations pour les scientifiques des données et les développeurs de machine learning.

    • Autorisation utilisateur

    • Propagation d’identité

    • Accès par le kit SDK

Conditions préalables

Les administrateurs peuvent remplir les conditions préalables suivantes pour configurer les applications d’IA des partenaires.

  • (Facultatif) Intégrez un domaine SageMaker AI. Les applications d'IA partenaires sont accessibles directement depuis un domaine d' SageMaker IA. Pour de plus amples informations, veuillez consulter Présentation du domaine Amazon SageMaker AI.

    • Si vous utilisez des applications d'IA partenaires dans un domaine d' SageMaker IA en mode VPC uniquement, les administrateurs doivent créer un point de terminaison au format suivant pour se connecter aux applications d'IA partenaires. Pour plus d’informations sur l’utilisation de Studio en mode VPC uniquement, consultez Connect Amazon SageMaker Studio dans un VPC à des ressources externes. 

      aws.sagemaker.region.partner-app

  • (Facultatif) Si les administrateurs interagissent avec le domaine à l'aide duAWS CLI, ils doivent également remplir les conditions préalables suivantes.

    1. Mettez à jour le AWS CLI en suivant les étapes de la section Installation de la AWS CLI version actuelle

    2. Sur l’ordinateur local, exécutez aws configure et fournissez les informations d’identification AWS. Pour plus d'informations sur les AWS informations d'identification, voir Comprendre et obtenir vos AWS informations d'identification.

Autorisations administratives

L'administrateur doit ajouter les autorisations suivantes pour activer les applications Partner AI dans SageMaker AI.

  • Autorisation de terminer l'AWS Marketplaceabonnement aux applications Partner AI

  • Configuration du rôle d’exécution des applications d’IA des partenaires

AWS Marketplaceabonnement aux applications Partner AI

Les administrateurs doivent suivre les étapes suivantes pour ajouter des autorisations pourAWS Marketplace. Pour plus d'informations sur l'utilisationAWS Marketplace, voir Commencer en tant qu'acheteur à utiliser AWS Marketplace.

  1. Accordez des autorisations pourAWS Marketplace. Les administrateurs de Partner AI Apps ont besoin de ces autorisations pour acheter des abonnements à Partner AI Apps auprès deAWS Marketplace. Pour y accéderAWS Marketplace, les administrateurs doivent associer la politique AWSMarketplaceManageSubscriptions gérée au rôle IAM qu'ils utilisent pour accéder à la console SageMaker AI et acheter l'application. Pour plus de détails sur la politique AWSMarketplaceManageSubscriptions gérée, consultez la section Politiques AWS gérées pour AWS Marketplace les acheteurs. Pour en savoir plus sur l’attachement des politiques gérées, consultez Ajout et suppression d’autorisations basées sur l’identité IAM.

  2. Accordez à SageMaker AI l'autorisation d'exécuter des opérations pour le compte des administrateurs en utilisant d'autresServices AWS. Les administrateurs doivent autoriser l' SageMaker IA à utiliser ces services et les ressources sur lesquelles ils agissent. La définition de politique suivante montre comment accorder les autorisations requises pour les applications d’IA des partenaires. Ces autorisations sont nécessaires en plus des autorisations existantes pour le rôle d’administrateur. Pour plus d’informations, consultez Comment utiliser les rôles d'exécution de l' SageMaker IA.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePartnerApp",
                "sagemaker:DeletePartnerApp",
                "sagemaker:UpdatePartnerApp",
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl",
                "sagemaker:CreatePartnerApp",
                "sagemaker:AddTags",
                "sagemaker:ListTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                     "iam:PassedToService": "sagemaker.amazonaws.com"
                 } 
            }
        }
    ]
}

Configuration du rôle d’exécution des applications d’IA des partenaires

  1. Les applications d’IA des partenaires nécessitent un rôle d’exécution pour interagir avec les ressources dans le Compte AWS. Les administrateurs peuvent créer ce rôle d’exécution à l’aide de l’AWS CLI. L’application d’IA des partenaires utilise ce rôle pour effectuer les actions liées aux fonctionnalités des applications d’IA des partenaires. 

    aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

  2. Créez le rôle AWS License Manager lié à un service en suivant les étapes décrites dans Créer un rôle lié à un service pour License Manager

  3. Accordez des autorisations permettant à l’application d’IA des partenaires d’accéder à License Manager à l’aide de l’AWS CLI. Ces autorisations sont nécessaires pour accéder aux licences de l’application d’IA des partenaires. Cela permet à l’application d’IA des partenaires de vérifier l’accès à la licence des applications d’IA des partenaires.

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

  4. Si l’application d’IA des partenaires nécessite l’accès à un compartiment Amazon S3, ajoutez des autorisations Amazon S3 au rôle d’exécution. Pour plus d’informations, consultez Autorisations requises pour les opérations d’API Amazon S3.

Configurer l'intégration d'Amazon Bedrock

Les applications d'IA partenaires telles que Deepchecks prennent en charge l'intégration avec Amazon Bedrock pour activer les fonctionnalités d'évaluation basées sur le LLM. Lors de la configuration d'une application Partner AI avec le support d'Amazon Bedrock, les administrateurs peuvent spécifier les modèles de base et les profils d'inférence disponibles pour une utilisation dans l'application. Si vous devez augmenter la limite de quota pour vos modèles Amazon Bedrock, consultez Demander une augmentation des quotas Amazon Bedrock.

  1. Assurez-vous que le rôle d'exécution de l'application Partner AI dispose des autorisations Amazon Bedrock requises. Ajoutez les autorisations suivantes pour activer l'accès au modèle Amazon Bedrock :

    aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{
	   "Version": "2012-10-17",		 	 	 
	   "Statement": {
	     "Effect": "Allow",
	     "Action": [
	       "bedrock:InvokeModel",
	       "bedrock:GetFoundationModel",
	       "bedrock:GetInferenceProfile"
	     ],
	     "Resource": "*"
	   }
	 }'

  2. Identifiez les modèles Amazon Bedrock que votre organisation souhaite mettre à disposition de l'application Partner AI. Vous pouvez consulter les modèles disponibles dans votre région à l'aide de la console Amazon Bedrock. Pour plus d'informations sur la disponibilité des modèles dans toutes les régions, consultez la section Support des modèles par Région AWS.

  3. (Facultatif) Créez des profils d'inférence gérés par le client pour le suivi des coûts et la gestion des modèles. Les profils d'inférence vous permettent de suivre l'utilisation d'Amazon Bedrock spécifiquement pour l'application Partner AI et peuvent activer l'inférence entre régions lorsque les modèles ne sont pas disponibles dans votre région actuelle. Pour plus d'informations, consultez la section Utilisation de profils d'inférence dans Amazon Bedrock.

  4. Lors de la création ou de la mise à jour de l'application Partner AI, spécifiez les modèles autorisés et les profils d'inférence à l'aide de l'UpdatePartnerAppAPI CreatePartnerApp or. L'application Partner AI ne pourra accéder qu'aux modèles et aux profils d'inférence que vous configurez explicitement.

Important

L'utilisation d'Amazon Bedrock via Partner AI Apps vous est facturée directement sur la base de vos Compte AWS tarifs Amazon Bedrock existants. Les coûts d'infrastructure de l'application Partner AI sont distincts des coûts d'inférence du modèle Amazon Bedrock.

Intégration Deepchecks avec Amazon Bedrock

Deepchecks prend en charge l'intégration d'Amazon Bedrock pour les fonctionnalités d'évaluation basées sur le LLM, notamment :

  • Évaluation du LLM en tant que juge - Utilisez des modèles de base pour évaluer automatiquement les résultats des modèles en termes de qualité, de pertinence et d'autres critères

  • Annotation automatisée : générez des étiquettes et des annotations pour les ensembles de données à l'aide de modèles de base

  • Analyse du contenu : analysez les données de texte pour détecter les biais, la toxicité et d'autres indicateurs de qualité à l'aide des fonctionnalités LLM

Pour des informations détaillées sur les fonctionnalités et la configuration de Deepchecks Amazon Bedrock, consultez la documentation Deepchecks intégrée à l'application.

Autorisations des utilisateurs

Une fois que les administrateurs ont complété les paramètres des autorisations administratives, ils doivent s’assurer que les utilisateurs disposent des autorisations nécessaires pour accéder aux applications d’IA des partenaires.

  1. Accordez à l' SageMaker IA des autorisations pour exécuter des opérations en votre nom en utilisant d'autresServices AWS. Les administrateurs doivent autoriser l' SageMaker IA à utiliser ces services et les ressources sur lesquelles ils agissent. Les administrateurs accordent ces autorisations à SageMaker AI en utilisant un rôle d'exécution IAM. Pour plus d’informations sur les rôles IAM, consultez Rôles IAM. La définition de politique suivante montre comment accorder les autorisations requises pour les applications d’IA des partenaires. Cette politique peut être ajoutée au rôle d’exécution du profil utilisateur.  Pour plus d’informations, consultez Comment utiliser les rôles d'exécution de l' SageMaker IA.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePartnerApp",
                "sagemaker:ListPartnerApps",
                "sagemaker:CreatePartnerAppPresignedUrl"
            ],
            "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
        }
    ]
}

  2. (Facultatif) Si vous lancez des applications d’IA des partenaires depuis Studio, ajoutez la politique d’approbation sts:TagSession au rôle utilisé pour lancer directement Studio ou les applications d’IA des partenaires comme suit. Cela garantit que l’identité peut être propagée correctement.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

  3. (Facultatif) Si vous utilisez le SDK d'une application Partner AI pour accéder aux fonctionnalités de l' SageMaker IA, ajoutez l'CallPartnerAppApiautorisation suivante au rôle utilisé pour exécuter le code du SDK. Si vous exécutez le code du kit SDK depuis Studio, ajoutez l’autorisation au rôle d’exécution de Studio. Si vous exécutez le code depuis un autre emplacement que Studio, ajoutez l’autorisation au rôle IAM utilisé avec le bloc-notes. Cela permet à l’utilisateur d’accéder aux fonctionnalités de l’application d’IA des partenaires à partir du kit SDK de l’application d’IA des partenaires.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CallPartnerAppApi"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:partner-app/app"
            ]
        }
    ]
}

Gestion de l’autorisation et de l’authentification des utilisateurs

Pour permettre aux membres de leur équipe d’accéder aux applications d’IA des partenaires, les administrateurs doivent s’assurer que l’identité de leurs utilisateurs est propagée jusqu’aux applications d’IA des partenaires. Cette propagation garantit que les utilisateurs peuvent accéder correctement à l’interface utilisateur des applications d’IA des partenaires et effectuer des actions autorisées sur les applications d’IA des partenaires.

Les applications d’IA des partenaires prennent en charge les sources d’identité suivantes :

  • AWS IAM Identity Center

  • Fournisseurs d'identité externes (IdPs) 

  • Identité basée sur les sessions IAM

Les sections suivantes fournissent des informations sur les sources d’identité prises en charge par les applications d’IA des partenaires, ainsi que des détails importants relatifs à cette source d’identité.

Si un utilisateur est authentifié dans Studio à l’aide d’IAM Identity Center et lance une application depuis Studio, le paramètre UserName d’IAM Identity Center est automatiquement propagé en tant qu’identité utilisateur pour une application d’IA des partenaires. Ce n’est pas le cas si l’utilisateur lance l’application d’IA des partenaires directement à l’aide de l’API CreatePartnerAppPresignedUrl.

Si vous utilisez SAML pour Compte AWS la fédération, les administrateurs ont deux options pour transférer l'identité de l'IdP en tant qu'identité d'utilisateur pour une application Partner AI. Pour plus d'informations sur Compte AWS la configuration de la fédération, voir Comment configurer SAML 2.0 pour la Compte AWS fédération

  • Balise principale : les administrateurs peuvent configurer l'application IAM Identity Center spécifique à l'IdP pour transmettre les informations d'identité de la session de lancement à l'aide de la AWS session PrincipalTag avec l'attribut suivant. Name Lorsque vous utilisez SAML, la session de rôle de destination utilise un rôle IAM. Pour utiliser PrincipalTag, les administrateurs doivent ajouter l’autorisation sts:TagSession à ce rôle de destination, ainsi qu’au rôle d’exécution de Studio. Pour plus d’informations sur PrincipalTag, consultez Configuration d’assertions SAML pour la réponse d’authentification. 

    https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser

  • Nom de la session de destination : les administrateurs peuvent propager le nom de la session de destination en tant qu’identité pour l’application d’IA des partenaires. Pour ce faire, ils doivent définir l’indicateur d’adhésion EnableIamSessionBasedIdentity pour chaque application d’IA des partenaires. Pour de plus amples informations, veuillez consulter EnableIamSessionBasedIdentity.

Important

Nous vous déconseillons d’utiliser cette méthode pour les comptes de production. Pour les comptes de production, utilisez un fournisseur d’identité pour renforcer la sécurité.

SageMaker L'IA prend en charge les options suivantes pour la propagation d'identité lors de l'utilisation d'une identité basée sur une session IAM. Toutes les options, à l'exception de l'utilisation d'une balise de session avecAWS STS, nécessitent de définir l'indicateur EnableIamSessionBasedIdentity d'opt-in pour chaque application. Pour de plus amples informations, veuillez consulter EnableIamSessionBasedIdentity.

Lors de la propagation des identités, l' SageMaker IA vérifie si une balise de AWS STS session est utilisée. Si aucun n'est utilisé, l' SageMaker IA propage le nom d'utilisateur ou le nom de AWS STS session IAM.

  • AWS STSTag de session : les administrateurs peuvent définir un tag de SageMakerPartnerAppUser session pour la session IAM du lanceur. Lorsque les administrateurs lancent une application Partner AI à l'aide de la console SageMaker AI ou duAWS CLI, le tag de SageMakerPartnerAppUser session est automatiquement transmis comme identité utilisateur pour l'application Partner AI. L’exemple suivant montre comment définir la balise de session SageMakerPartnerAppUser à l’aide de l’AWS CLI. La valeur de la clé est ajoutée en tant que balise de principal.

    aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name

    Lorsque vous donnez aux utilisateurs l’accès à une application d’IA des partenaires à l’aide de CreatePartnerAppPresignedUrl, nous recommandons de vérifier la valeur de la clé SageMakerPartnerAppUser. Cela permet d’éviter tout accès involontaire aux ressources de l’application d’IA des partenaires. La politique d’approbation suivante vérifie que la balise de session correspond exactement à l’utilisateur IAM associé. Les administrateurs peuvent utiliser n’importe quelle balise de principal à cette fin. Elle doit être configurée sur le rôle qui lance Studio ou l’application d’IA des partenaires.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}"
                }
            }
        }
    ]
}

  • Utilisateur IAM authentifié : le nom d’utilisateur de cet utilisateur est automatiquement propagé en tant qu’utilisateur de l’application d’IA des partenaires.

  • AWS STSnom de session — Si aucune balise de SageMakerPartnerAppUser session n'est configurée lors de l'utilisationAWS STS, SageMaker AI renvoie une erreur lorsque les utilisateurs lancent une application Partner AI. Pour éviter cette erreur, les administrateurs doivent définir l’indicateur d’adhésion EnableIamSessionBasedIdentity pour chaque application d’IA des partenaires. Pour de plus amples informations, veuillez consulter EnableIamSessionBasedIdentity.

    Lorsque l’indicateur d’adhésion EnableIamSessionBasedIdentity est activé, utilisez la politique d’approbation des rôles IAM pour vous assurer que le nom de session IAM est ou contient le nom d’utilisateur IAM. Cela garantit que les utilisateurs n’obtiendront pas l’accès en empruntant l’identité d’autres utilisateurs. La politique d’approbation suivante vérifie que le nom de session correspond exactement à l’utilisateur IAM associé. Les administrateurs peuvent utiliser n’importe quelle balise de principal à cette fin. Elle doit être configurée sur le rôle qui lance Studio ou l’application d’IA des partenaires.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:username}"
                }
            }
        }
    ]
}

    Les administrateurs doivent également ajouter la politique d’approbation sts:TagSession au rôle qui lance Studio ou l’application d’IA des partenaires. Cela garantit que l’identité peut être propagée correctement.

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}

Après avoir défini les informations d'identification, les administrateurs peuvent donner à leurs utilisateurs l'accès à Studio ou à l'application Partner AI AWS CLI en utilisant respectivement les appels CreatePresignedDomainUrl ou l'CreatePartnerAppPresignedUrlAPI.

Les utilisateurs peuvent également lancer Studio depuis la console SageMaker AI et lancer les applications Partner AI depuis Studio.

EnableIamSessionBasedIdentity

EnableIamSessionBasedIdentity est un indicateur d’adhésion. Lorsque l'EnableIamSessionBasedIdentityindicateur est activé, SageMaker AI transmet les informations de session IAM en tant qu'identité utilisateur de l'application Partner AI. Pour plus d'informations sur les AWS STS sessions, voir Utiliser des informations d'identification temporaires avec AWS les ressources.

Contrôle d’accès

Pour contrôler l’accès aux applications d’IA des partenaires, utilisez une politique IAM attachée au rôle d’exécution du profil utilisateur. Pour lancer une application Partner AI directement depuis Studio ou à l'aide duAWS CLI, le rôle d'exécution du profil utilisateur doit disposer d'une politique autorisant l'CreatePartnerAppPresignedUrlAPI. Supprimez cette autorisation du rôle d’exécution du profil utilisateur pour vous assurer qu’il ne puisse pas lancer les applications d’IA des partenaires.

Utilisateurs administrateurs racine

Les applications d’IA des partenaires Comet et Fiddler nécessitent au moins un utilisateur administrateur racine. Les utilisateurs administrateurs racine sont autorisés à ajouter des utilisateurs normaux et des utilisateurs administrateurs, ainsi qu’à gérer les ressources. Les noms d’utilisateur fournis en tant qu’utilisateurs administrateurs racine doivent être cohérents avec les noms d’utilisateur issus de la source d’identité.

Alors que les utilisateurs administrateurs root sont conservés dans l' SageMaker IA, les utilisateurs administrateurs normaux ne le sont pas et n'existent que dans l'application Partner AI jusqu'à ce que l'application Partner AI soit fermée.

Les administrateurs peuvent mettre à jour les utilisateurs administrateurs racine à l’aide de l’appel d’API UpdatePartnerApp. Lorsque les utilisateurs administrateurs racine sont mis à jour, la liste mise à jour des utilisateurs administrateurs racine est transmise à l’application d’IA des partenaires. L’application d’IA des partenaires garantit que tous les noms d’utilisateur de la liste disposent des privilèges d’administrateur racine. Si un utilisateur administrateur racine est supprimé de la liste, il conserve ses autorisations d’administrateur normal jusqu’à ce que :

  • l’utilisateur soit supprimé de l’application ;

  • un autre utilisateur administrateur révoque les autorisations d’administrateur pour cet utilisateur.

Note

Fiddler ne prend pas en charge la mise à jour des utilisateurs administrateurs. Seul Comet prend en charge les mises à jour en utilisateurs administrateurs racine. 

Pour supprimer un utilisateur administrateur racine, vous devez d’abord mettre à jour la liste des utilisateurs administrateurs racine à l’aide de l’API UpdatePartnerApp. Ensuite, supprimez ou révoquez les autorisations d’administrateur via l’interface utilisateur de l’application d’IA des partenaires.

Si vous supprimez un utilisateur administrateur racine de l’interface utilisateur de l’application d’IA des partenaires sans mettre à jour la liste des utilisateurs administrateurs racine avec l’API UpdatePartnerApp, la modification est temporaire. Lorsque SageMaker AI envoie la prochaine demande de mise à jour de l'application Partner SageMaker AI, AI envoie la liste des administrateurs root qui inclut toujours l'utilisateur à l'application Partner AI. Cela remplace la suppression effectuée depuis l’interface utilisateur de l’application d’IA des partenaires.