FAQ sur Role Manager

R : Vous pouvez accéder au Gestionnaire de rôles Amazon SageMaker depuis plusieurs emplacements dans la console Amazon SageMaker AI. Pour en savoir plus sur l’accès au gestionnaire de rôles et son utilisation pour créer un rôle, consultez Utilisation du gestionnaire de rôles (console).

R. Les personas sont des groupes d’autorisations préconfigurés basés sur des responsabilités communes en matière de machine learning (ML). Par exemple, le persona de science des données suggère des autorisations pour les tâches de développement et d’expérimentation de machine learning dans un environnement SageMaker AI, tandis que le persona MLOps suggère des autorisations pour les activités ML liées aux opérations.

R. Les activités ML sont des tâches AWS courantes liées au machine learning avec SageMaker AI qui nécessitent des autorisations IAM spécifiques. Chaque persona suggère des activités de machine learning associées lors de la création d’un rôle à l’aide du Gestionnaire de rôles Amazon SageMaker. Les activités de machine learning incluent des tâches telles que l'accès complet à Amazon S3 ou la recherche et la visualisation d'expériences. Pour plus d’informations, consultez Référence d’activité de ML.

A : Oui. Les rôles créés à l'aide d'Amazon SageMaker Role Manager sont des rôles IAM dotés de stratégies d'accès personnalisées. Vous pouvez consulter les rôles créés dans la section Roles (Rôles) de la console IAM.

R. Vous pouvez consulter les rôles dans la section Roles (Rôles) de la console IAM. Par défaut, le préfixe "sagemaker-" est ajouté à chaque nom de rôle pour faciliter la recherche dans la console IAM. Par exemple, si vous avez nommé votre rôle test-123 lors de la création du rôle, celui-ci s'affiche comme sagemaker-test-123 dans la console IAM.

A : Oui. R. Vous pouvez modifier les rôles et les politiques créés par Amazon SageMaker Role Manager via la console IAM. Pour plus d'informations, consultez Modification d'un rôle dans le Guide de l'utilisateur Gestion des identités et des accès AWS.

A : Oui. Vous pouvez associer n'importe quelle politique IAM AWS ou gérée par le client depuis votre compte au rôle que vous créez à l'aide d'Amazon SageMaker Role Manager.

R. La limite maximale d'association de politiques gérées à un rôle IAM ou à un utilisateur est de 20. La taille maximale de caractères pour les politiques gérées est de 6 144. Pour plus d'informations, consultez les Quotas d'objets IAM et Exigences relatives aux noms de quotas IAM et AWS Security Token Service, et limites de caractères.

R. Toutes les conditions que vous fournissez dans Étape 1. Saisir les informations relatives au rôle de Amazon SageMaker Role Maanager, telles que les sous-réseaux, les groupes de sécurité ou les clés KMS, sont automatiquement transmises à toutes les activités de machine learning sélectionnées dans Étape 2. Configurer les activités de ML. Vous pouvez également ajouter des conditions supplémentaires aux activités de machine learning si nécessaire. Par exemple, vous pouvez également ajouter des conditions InstanceTypes ou IntercontainerTrafficEncryption à l'activité Manage Training Jobs (Gérer les tâches d'entraînement).

R. Vous pouvez ajouter des balises à votre rôle dans Étape 3 : Ajouter des politiques et des balises supplémentaires de Amazon SageMaker Role Manager. Pour gérer correctement les ressources AWS à l'aide de balises, vous devez ajouter la même balise au rôle et à toutes les politiques associées. Par exemple, vous pouvez ajouter une balise à un rôle et à un compartiment Amazon S3. Ensuite, étant donné que le rôle transmet la balise à la session SageMaker AI, seul un utilisateur doté de ce rôle peut accéder à ce compartiment S3. Vous pouvez ajouter des balises à une politique via la console IAM. Pour plus d’informations, consultez Balisage des rôles IAM dans le Guide de l’utilisateur Gestion des identités et des accès AWS.

R. Non. Toutefois, après avoir créé une fonction du service dans le gestionnaire de fonctions, vous pouvez accéder à la console IAM pour modifier la fonction et ajouter un rôle d’accès utilisateur dans la console IAM.

R. Un rôle de fédération d’utilisateurs est directement assumé par un utilisateur pour accéder à des ressources AWS telles que l’accès à la AWS Management Console. R. Le rôle d’exécution SageMaker AI est assumé par le service SageMaker AI pour exécuter une fonction pour le compte d’un utilisateur ou d’un outil d’automatisation. Par exemple, lorsqu’un utilisateur ouvre une instance Studio Classic, Studio Classic assume le rôle d’exécution associé au profil utilisateur afin d’accéder aux ressources AWS pour le compte de l’utilisateur. Si le profil utilisateur ne spécifie aucun rôle d’exécution, le rôle d’exécution est spécifié au niveau du domaine Amazon SageMaker AI.

R. Si vous utilisez une application Web personnalisée pour accéder à Studio Classic, vous disposez d’un rôle hybride de fédération d’utilisateurs et d’un rôle d’exécution SageMaker AI. Assurez-vous que ce rôle dispose des autorisations de moindre privilège, à la fois pour ce que l’utilisateur peut faire et pour ce que Studio Classic peut faire pour le compte de l’utilisateur associé.

R. Les applications AWS IAM Identity Center Studio Classic Cloud utilisent un rôle d’exécution Studio Classic pour accorder des autorisations aux utilisateurs fédérés. Ce rôle d’exécution peut être spécifié au niveau du profil utilisateur IAM Identity Center de Studio Classic ou au niveau du domaine par défaut. Les identités et les groupes d’utilisateurs doivent être synchronisés dans IAM Identity Center et le profil utilisateur Studio Classic doit être créé en attribuant un utilisateur à IAM Identity Center à l’aide de CreateUserProfile. Pour plus d’informations, consultez Lancement de Studio avec IAM Identity Center.