Configurazione della condivisione multi-account di pipeline Policy di autorizzazione per le risorse Pipelines Accesso alle entità pipeline condivise tramite chiamate API dirette

Configurazione del supporto multi-account per Pipelines

Il supporto multi-account per Amazon SageMaker Pipelines ti consente di collaborare su pipeline di machine learning con altri team o organizzazioni che operano in account AWS diversi. Configurando la condivisione della pipeline multi-account, puoi concedere l’accesso controllato alle pipeline, consentire ad altri account di visualizzare i dettagli della pipeline e attivare e monitorare le esecuzioni. L’argomento seguente illustra come configurare la condivisione della pipeline multi-account e le diverse policy di autorizzazione disponibili per le risorse condivise, nonché come accedere e interagire con le entità della pipeline condivise tramite chiamate API dirette a SageMaker AI.

Configurazione della condivisione multi-account di pipeline

SageMaker AI utilizza AWS Resource Access Manager (AWS RAM) per aiutarti a condividere in modo sicuro le entità della pipeline tra gli account.

Creare una condivisione di risorse

Seleziona Crea una condivisione di risorse tramite la console AWS RAM.
Quando specifichi i dettagli della condivisione di risorse, scegli il tipo di risorsa Pipelines e seleziona una o più pipeline da condividere. Quando condividi una pipeline con qualsiasi altro account, anche tutte le sue esecuzioni vengono condivise implicitamente.
Associare autorizzazioni alla condivisione di risorse. Scegli la policy di autorizzazione di sola lettura predefinita o la policy di autorizzazione all'esecuzione della pipeline estesa. Per informazioni più dettagliate, consulta Policy di autorizzazione per le risorse Pipelines.

Nota
Se selezioni la policy di esecuzione della pipeline estesa, tieni presente che tutti i comandi di avvio, arresto e riprova chiamati dagli account condivisi utilizzano le risorse dell'account AWS che ha condiviso la pipeline.
Usa gli ID account AWS per specificare gli account ai quali intendi concedere l'accesso alle risorse condivise.
Controlla la configurazione della condivisione di risorse e seleziona Crea condivisione di risorse. Il completamento dell'associazione tra la condivisione di risorse e il principale potrebbe richiedere alcuni minuti.

Per ulteriori informazioni, consulta la sezione Condivisione delle risorse AWS nella Guida per l'utente di AWS Resource Access Manager.

Ottenere risposte all'invito alla condivisione di risorse

Una volta impostate le associazioni tra la condivisione di risorse e il principale, gli account AWS specificati ricevono un invito a partecipare alla condivisione di risorse. Gli account AWS devono accettare l'invito per accedere a qualsiasi risorsa condivisa.

Per ulteriori informazioni sull'accettazione di un invito alla condivisione di risorse tramite AWS RAM, consulta la sezione Utilizzo delle risorse AWS condivise nella Guida per l'utente di AWS Resource Access Manager.

Policy di autorizzazione per le risorse Pipelines

Quando crei la tua condivisione di risorse, scegli una delle due policy di autorizzazione supportate da associare al tipo di risorsa della pipeline SageMaker AI. Entrambe le policy concedono l'accesso a qualsiasi pipeline selezionata e a tutte le sue esecuzioni.

Autorizzazioni di sola lettura predefinite

La policy AWSRAMDefaultPermissionSageMakerPipeline seguente consente le seguenti operazioni in sola lettura:


"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

Autorizzazioni all'esecuzione della pipeline estese

La policy AWSRAMPermissionSageMakerPipelineAllowExecution include tutte le autorizzazioni di sola lettura previste dalla policy predefinita e consente inoltre agli account condivisi di avviare, arrestare e riprovare le esecuzioni della pipeline.

Nota

Presta attenzione all'utilizzo delle risorse AWS quando utilizzi la policy di autorizzazione all'esecuzione della pipeline estesa. Con questa policy, gli account condivisi possono avviare, arrestare e riprovare le esecuzioni della pipeline. Tutte le risorse utilizzate per le esecuzioni condivise della pipeline vengono consumate dall'account proprietario.

La policy di autorizzazione all'esecuzione della pipeline estesa consente le seguenti operazioni:


"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

Accesso alle entità pipeline condivise tramite chiamate API dirette

Una volta configurata la condivisione della pipeline tra account, è possibile chiamare le seguenti operazioni dell'API SageMaker utilizzando un ARN della pipeline:

Nota

È possibile chiamare i comandi API solo se sono inclusi nelle autorizzazioni associate alla condivisione di risorse. Se selezioni la policy AWSRAMPermissionSageMakerPipelineAllowExecution, i comandi di avvio, arresto e riprova utilizzano le risorse dell'account AWS che ha condiviso la pipeline.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione degli accessi

Parametri della pipeline