Prerequisiti Autorizzazioni di amministrazione Autorizzazioni degli utenti

Configurazione delle Partner AI Apps

I seguenti argomenti descrivono le autorizzazioni necessarie per iniziare a utilizzare Amazon SageMaker Partner AI Apps. Le autorizzazioni richieste sono suddivise in due parti, a seconda del livello di autorizzazione dell’utente:

Autorizzazioni amministrative: autorizzazioni per gli amministratori che configurano ambienti di sviluppo di Data Scientist e machine learning (ML).
- Marketplace AWS
- Gestione delle Partner AI Apps
- AWS License Manager
Autorizzazioni utente: autorizzazioni per Data Scientist e sviluppatori di machine learning.
- Autorizzazione dell'utente
- Propagazione dell’identità
- Accesso tramite SDK

Prerequisiti

Gli amministratori possono completare i prerequisiti seguenti per configurare Partner AI Apps.

(Facoltativo) Effettua l'onboarding su un dominio SageMaker AI. È possibile accedere alle app AI partner direttamente da un dominio SageMaker AI. Per ulteriori informazioni, consulta Panoramica del dominio Amazon SageMaker AI.
- Se utilizzano Partner AI Apps in un dominio SageMaker AI in modalità solo VPC, gli amministratori devono creare un endpoint con il seguente formato per connettersi alle App Partner AI. Per ulteriori informazioni sull’utilizzo di Studio in modalità Solo VPC, consulta Connect Amazon SageMaker Studio in un VPC a risorse esterne.
```
aws.sagemaker.region.partner-app
```
(Facoltativo) Se gli amministratori interagiscono con il dominio utilizzando il, devono inoltre completare i seguenti prerequisiti. AWS CLI
1. AWS CLIAggiornate il file seguendo la procedura descritta in Installazione della versione corrente. AWS CLI
2. Dal computer locale, esegui aws configure e inserisci le credenziali AWS. Per informazioni sulle AWS credenziali, consulta Comprendere e ottenere le AWS credenziali.

Autorizzazioni di amministrazione

L'amministratore deve aggiungere le seguenti autorizzazioni per abilitare le app Partner AI in AI. SageMaker

Autorizzazione a completare Marketplace AWS l'abbonamento per Partner AI Apps
Configurazione del ruolo di esecuzione della Partner AI App

Marketplace AWSabbonamento per Partner AI Apps

Gli amministratori devono completare i seguenti passaggi per aggiungere le autorizzazioni per. Marketplace AWS Per informazioni sull'utilizzoMarketplace AWS, consulta Guida introduttiva come acquirente utilizzando. Marketplace AWS

Concedi le autorizzazioni perMarketplace AWS. Gli amministratori di Partner AI Apps richiedono queste autorizzazioni per acquistare abbonamenti a Partner AI Apps da. Marketplace AWS Per ottenere l'accessoMarketplace AWS, gli amministratori devono collegare la policy AWSMarketplaceManageSubscriptions gestita al ruolo IAM che utilizzano per accedere alla console SageMaker AI e acquistare l'app. Per i dettagli sulla policy AWSMarketplaceManageSubscriptions gestita, consulta Politiche AWS gestite per gli Marketplace AWS acquirenti. Per informazioni sul collegamento delle policy gestite, consulta Aggiunta e rimozione di autorizzazioni di identità IAM.

Concedi all' SageMaker IA le autorizzazioni per eseguire operazioni per conto degli amministratori utilizzando altri. Servizi AWS Gli amministratori devono concedere all' SageMaker IA le autorizzazioni per utilizzare questi servizi e le risorse su cui agiscono. La definizione della policy seguente illustra come concedere le autorizzazioni Partner AI Apps richieste. Queste autorizzazioni devono essere aggiunte alle autorizzazioni esistenti per il ruolo di amministratore. Per ulteriori informazioni, consulta Come utilizzare i ruoli di esecuzione dell' SageMaker IA.

Configurazione del ruolo di esecuzione della Partner AI App

Partner AI Apps richiede un ruolo di esecuzione per interagire con le risorse nell’Account AWS. Gli amministratori possono creare questo ruolo di esecuzione utilizzando la AWS CLI. La Partner AI App utilizza questo ruolo per completare le azioni relative alla funzionalità della Partner AI App.


aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sagemaker.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'

Crea il ruolo AWS License Manager collegato al servizio seguendo i passaggi descritti in Creare un ruolo collegato al servizio per License Manager.

Concedi le autorizzazioni alla Partner AI App per accedere allo Strumento di gestione delle licenze dalla AWS CLI. Queste autorizzazioni sono necessarie per accedere alle licenze per la Partner AI App. Questa operazione consente alla Partner AI App di verificare l’accesso alla propria licenza.


aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "license-manager:CheckoutLicense",
      "license-manager:CheckInLicense",
      "license-manager:ExtendLicenseConsumption",
      "license-manager:GetLicense",
      "license-manager:GetLicenseUsage"
    ],
    "Resource": "*"
  }
}'

Se la Partner AI App richiede l’accesso a un bucket Amazon S3, aggiungi le autorizzazioni Amazon S3 al ruolo di esecuzione. Per ulteriori informazioni, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.

Configurazione dell'integrazione con Amazon Bedrock

Le applicazioni di intelligenza artificiale dei partner come Deepchecks supportano l'integrazione con Amazon Bedrock per abilitare funzionalità di valutazione basate su LLM. Quando configurano un'app Partner AI con il supporto Amazon Bedrock, gli amministratori possono specificare quali modelli di base e profili di inferenza sono disponibili per l'uso all'interno dell'applicazione. Se devi aumentare il limite di quota per i tuoi modelli Amazon Bedrock, consulta Richiedere un aumento delle quote Amazon Bedrock.

Assicurati che il ruolo di esecuzione dell'app Partner AI disponga delle autorizzazioni Amazon Bedrock richieste. Aggiungi le seguenti autorizzazioni per abilitare l'accesso al modello Amazon Bedrock:


aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{
	   "Version": "2012-10-17",		 	 	 
	   "Statement": {
	     "Effect": "Allow",
	     "Action": [
	       "bedrock:InvokeModel",
	       "bedrock:GetFoundationModel",
	       "bedrock:GetInferenceProfile"
	     ],
	     "Resource": "*"
	   }
	 }'

Identifica i modelli Amazon Bedrock che la tua organizzazione desidera rendere disponibili per l'app Partner AI. Puoi visualizzare i modelli disponibili nella tua regione utilizzando la console Amazon Bedrock. Per informazioni sulla disponibilità dei modelli in tutte le regioni, consulta Model support by Regione AWS.
(Facoltativo) Crea profili di inferenza gestiti dal cliente per il monitoraggio dei costi e la gestione dei modelli. I profili di inferenza ti consentono di monitorare l'utilizzo di Amazon Bedrock in modo specifico per l'app Partner AI e di abilitare l'inferenza tra regioni quando i modelli non sono disponibili nella tua regione attuale. Per ulteriori informazioni, consulta Utilizzo dei profili di inferenza in Amazon Bedrock.
Quando crei o aggiorni l'app Partner AI, specifica i modelli e i profili di inferenza consentiti utilizzando l'CreatePartnerAppAPI o. UpdatePartnerApp L'app Partner AI sarà in grado di accedere solo ai modelli e ai profili di inferenza che configuri esplicitamente.

Importante

L'utilizzo di Amazon Bedrock tramite Partner AI Apps viene fatturato direttamente all'utente Account AWS utilizzando i prezzi Amazon Bedrock esistenti. I costi dell'infrastruttura dell'app Partner AI sono separati dai costi di inferenza del modello Amazon Bedrock.

Deepcontrolla l'integrazione con Amazon Bedrock

Deepchecks supporta l'integrazione di Amazon Bedrock per funzionalità di valutazione basate su LLM, tra cui:

LLM come valutazione arbitrale: utilizza i modelli di base per valutare automaticamente i risultati dei modelli in termini di qualità, pertinenza e altri criteri
Annotazione automatizzata: genera etichette e annotazioni per set di dati utilizzando modelli di base
Analisi del contenuto: analizza i dati di testo per rilevare distorsioni, tossicità e altre metriche di qualità utilizzando le funzionalità LLM

Per informazioni dettagliate sulle caratteristiche e sulla configurazione di Deepchecks Amazon Bedrock, consulta la documentazione Deepchecks all'interno dell'applicazione.

Autorizzazioni degli utenti

Dopo aver completato l’impostazione delle autorizzazioni amministrative, gli amministratori devono assicurarsi che gli utenti dispongano delle autorizzazioni necessarie per accedere alle Partner AI Apps.

Concedi le autorizzazioni all' SageMaker IA per eseguire operazioni per tuo conto utilizzando altri. Servizi AWS Gli amministratori devono concedere all' SageMaker IA le autorizzazioni per utilizzare questi servizi e le risorse su cui agiscono. Gli amministratori concedono all' SageMaker IA queste autorizzazioni utilizzando un ruolo di esecuzione IAM. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM. La definizione della policy seguente illustra come concedere le autorizzazioni Partner AI Apps richieste. Questa policy può essere aggiunta al ruolo di esecuzione del profilo utente. Per ulteriori informazioni, consulta Come utilizzare i ruoli di esecuzione dell' SageMaker IA.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribePartnerApp", "sagemaker:ListPartnerApps", "sagemaker:CreatePartnerAppPresignedUrl" ], "Resource": "arn:aws:sagemaker:*:*:partner-app/app-*" } ] }
(Facoltativo) Se avvii Partner AI Apps da Studio, aggiungi la policy di attendibilità sts:TagSession al ruolo utilizzato per avviare direttamente Studio o Partner AI Apps come segue. Questo garantisce la corretta propagazione dell’identità.
```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}
```
(Facoltativo) Se utilizzi l'SDK di un'app Partner AI per accedere alle funzionalità dell' SageMaker IA, aggiungi la seguente CallPartnerAppApi autorizzazione al ruolo utilizzato per eseguire il codice SDK. Se esegui il codice SDK da Studio, aggiungi l’autorizzazione al ruolo di esecuzione di Studio. Se esegui il codice da una posizione diversa da Studio, aggiungi l’autorizzazione al ruolo IAM utilizzato con il notebook. Questo consente all’utente di accedere alla funzionalità della Partner AI App dall’SDK della Partner AI App.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "sagemaker:CallPartnerAppApi" ], "Resource": [ "arn:aws:sagemaker:us-east-1:111122223333:partner-app/app" ] } ] }

Gestione dell’autenticazione e dell’autorizzazione degli utenti

Per fornire l’accesso alla funzionalità Partner AI Apps ai membri del team, gli amministratori devono assicurarsi che l’identità dei propri utenti venga propagata in Partner AI Apps. Questa propagazione garantisce che gli utenti possano accedere correttamente all’interfaccia utente ed eseguire le azioni autorizzate della funzionalità Partner AI Apps.

Partner AI Apps supporta le origini di identità seguenti:

AWS IAM Identity Center
Provider di identità esterni () IdPs
Identità basata sulla sessione IAM

Le sezioni seguenti forniscono informazioni sulle origini di identità supportate dalla funzionalità Partner AI Apps, oltre a dettagli importanti relativi alle singole origini di identità.

Se un utente viene autenticato in Studio con il Centro identità IAM e avvia un’applicazione da Studio, il UserName del Centro identità IAM viene automaticamente propagato come identità dell’utente per una Partner AI App. Questo non accade se l’utente avvia la Partner AI App direttamente con l’API CreatePartnerAppPresignedUrl.

Se utilizzano SAML per la Account AWS federazione, gli amministratori hanno due opzioni per trasferire l'identità IdP come identità utente per un'app Partner AI. Per informazioni sulla configurazione Account AWS della federazione, consulta Come configurare SAML 2.0 per la federazione. Account AWS

Tag principale: gli amministratori possono configurare l'applicazione IAM Identity Center specifica per IdP per passare le informazioni sull'identità dalla sessione di destinazione utilizzando la AWS sessione PrincipalTag con il seguente attributo. Name Quando utilizzi SAML, la sessione del ruolo di destinazione utilizza un ruolo IAM. Per utilizzare PrincipalTag, gli amministratori devono aggiungere l’autorizzazione sts:TagSession a questo ruolo di destinazione, oltre che al ruolo di esecuzione di Studio. Per ulteriori informazioni su PrincipalTag, consulta Configurazione delle asserzioni SAML per la risposta di autenticazione.
```
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser
```
Nome della sessione di destinazione: gli amministratori possono propagare il nome della sessione di destinazione come identità della Partner AI App. A tale scopo, devono impostare il flag di adesione EnableIamSessionBasedIdentity per ciascuna Partner AI App. Per ulteriori informazioni, consulta EnableIamSessionBasedIdentity.

Importante

Si sconsiglia di utilizzare questo metodo per gli account di produzione. Per gli account di produzione, utilizza un gestore dell’identità digitale per una maggiore sicurezza.

SageMaker L'intelligenza artificiale supporta le seguenti opzioni per la propagazione dell'identità quando si utilizza un'identità basata su una sessione IAM. Tutte le opzioni, tranne l'utilizzo di un tag di sessione conAWS STS, richiedono l'impostazione del flag di EnableIamSessionBasedIdentity attivazione per ciascuna applicazione. Per ulteriori informazioni, consulta EnableIamSessionBasedIdentity.

Durante la propagazione delle identità, l' SageMaker IA verifica se viene utilizzato un tag di AWS STS sessione. Se non ne viene utilizzato uno, l' SageMaker IA propaga il nome utente o il nome di sessione IAM. AWS STS

AWS STSTag di sessione: gli amministratori possono impostare un tag di sessione per la SageMakerPartnerAppUser sessione IAM di avvio. Quando gli amministratori avviano un'app Partner AI utilizzando la console SageMaker AI o ilAWS CLI, il tag di SageMakerPartnerAppUser sessione viene automaticamente passato come identità utente per l'app Partner AI. L’esempio seguente mostra come impostare il tag di sessione SageMakerPartnerAppUser utilizzando la AWS CLI. Il valore della chiave viene aggiunto come tag principale.
```
aws sts assume-role \
    --role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
    --role-session-name session_name \
    --tags Key=SageMakerPartnerAppUser,Value=user-name
```
Quando concedi agli utenti l’accesso a una Partner AI App con CreatePartnerAppPresignedUrl, è consigliabile verificare il valore della chiave SageMakerPartnerAppUser. Questo aiuta a prevenire l’accesso involontario alle risorse della Partner AI App. La policy di attendibilità seguente verifica che il tag di sessione corrisponda esattamente all’utente IAM associato. Gli amministratori possono utilizzare qualsiasi tag principale per questo scopo. Deve essere configurato sul ruolo che sta avviando Studio o la Partner AI App.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Condition": { "StringLike": { "aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}" } } } ] }
Utente IAM autenticato: il nome dell’utente viene propagato automaticamente come utente della Partner AI App.
AWS STSnome della sessione: se non è configurato alcun tag di SageMakerPartnerAppUser sessione durante l'utilizzoAWS STS, SageMaker AI restituisce un errore quando gli utenti avviano un'app Partner AI. Per evitare questo errore, gli amministratori devono impostare il flag di adesione EnableIamSessionBasedIdentity per ciascuna Partner AI App. Per ulteriori informazioni, consulta EnableIamSessionBasedIdentity.

Quando il flag di adesione EnableIamSessionBasedIdentity è abilitato, utilizza la policy di attendibilità del ruolo IAM per assicurarti che il nome della sessione IAM sia o contenga il nome utente IAM. Questo assicura che gli utenti non ottengano l’accesso fingendosi altri utenti. La policy di attendibilità seguente verifica che il nome della sessione corrisponda esattamente all’utente IAM associato. Gli amministratori possono utilizzare qualsiasi tag principale per questo scopo. Deve essere configurato sul ruolo che sta avviando Studio o la Partner AI App.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:username}" } } } ] }
Gli amministratori devono anche aggiungere la policy di attendibilità sts:TagSession al ruolo che sta avviando Studio o Partner AI Apps. Questo garantisce la corretta propagazione dell’identità.
```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "sagemaker.amazonaws.com"
    },
    "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
             ]
}
```

Dopo aver impostato le credenziali, gli amministratori possono consentire ai propri utenti di accedere a Studio o all'app Partner AI AWS CLI utilizzando rispettivamente le chiamate CreatePresignedDomainUrl o le chiamate CreatePartnerAppPresignedUrl API.

Gli utenti possono inoltre avviare Studio dalla console SageMaker AI e avviare Partner AI Apps da Studio.

`EnableIamSessionBasedIdentity`

EnableIamSessionBasedIdentity è un flag di adesione. Quando il EnableIamSessionBasedIdentity flag è impostato, l' SageMaker IA trasmette le informazioni sulla sessione IAM come identità utente dell'app Partner AI. Per ulteriori informazioni sulle AWS STS sessioni, consulta Utilizzare credenziali temporanee con AWS le risorse.

Controllo accessi

Per controllare l’accesso alla funzionalità Partner AI Apps, utilizza una policy IAM collegata al ruolo di esecuzione del profilo utente. Per avviare un'app Partner AI direttamente da Studio o utilizzando ilAWS CLI, il ruolo di esecuzione del profilo utente deve avere una politica che fornisca le autorizzazioni per l'CreatePartnerAppPresignedUrlAPI. Rimuovi questa autorizzazione dal ruolo di esecuzione del profilo utente per assicurarti che non possa avviare Partner AI Apps.

Utenti amministratori root

Le Partner AI Apps Comet e Fiddler richiedono almeno un utente amministratore root. Gli utenti amministratore root dispongono delle autorizzazioni per aggiungere utenti normali e amministratori e per gestire le risorse. I nomi utente forniti come utenti amministratori root devono essere coerenti con i nomi utente dell’origine di identità.

Sebbene gli utenti amministratore root siano permanenti nell' SageMaker AI, gli utenti amministratori normali non lo sono ed esistono solo all'interno dell'app Partner AI fino alla chiusura dell'app Partner AI.

Gli amministratori possono aggiornare gli utenti amministratori root utilizzando la chiamata API UpdatePartnerApp. Quando gli utenti amministratori root vengono aggiornati, il loro elenco aggiornato viene passato alla Partner AI App. La Partner AI App assicura che a tutti i nomi utente nell’elenco vengano concessi i privilegi di amministratore root. Se un utente amministratore root viene rimosso dall’elenco, l’utente mantiene comunque le normali autorizzazioni di amministratore fino a quando:

L’utente viene rimosso dall’applicazione.
Un altro utente amministratore revoca le autorizzazioni di amministratore per l’utente.

Nota

Fiddler non supporta l’aggiornamento degli utenti amministratori. Comet supporta solo gli aggiornamenti per gli utenti amministratori root.

Per eliminare un utente amministratore root, devi prima aggiornare il relativo elenco con l’API UpdatePartnerApp. Quindi, rimuovi o revoca le autorizzazioni di amministratore tramite l’interfaccia utente della Partner AI App.

Se rimuovi un utente amministratore root dall’interfaccia utente della Partner AI App senza aggiornare l’elenco degli utenti amministratori root con l’API UpdatePartnerApp, la modifica sarà temporanea. Quando SageMaker AI invia la successiva richiesta di aggiornamento dell'app Partner SageMaker AI, l'IA invia l'elenco degli amministratori principali che include ancora l'utente all'app Partner AI. Questo sostituisce l’eliminazione completata dall’interfaccia utente della Partner AI App.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Partner AI Apps

Provisioning della Partner AI App