【发布时间】:2021-07-05 14:40:04
【问题描述】:
我正在为我的组织外部的一个组设置 SageMaker,并且想知道我如何为这些用户提供对 SageMaker Studio(以及 SageMaker 将使用的任何相关 AWS 资源)的访问权限。 我们的想法是使用 SageMaker studio 来训练和测试模型。
理想情况下,如果我只是向他们发送一个他们登录的链接,然后被授予访问从我的 AWS 账户托管的 SageMaker 的权限,那就太好了。
我认为要授予临时访问权限,我需要为一组用户附加一个角色,并为该组附加一个策略 ,他们最终将此角色与 SageMaker 相关联。但是,我如何创建到 SageMaker 的链接,以便这些用户可以登录?
另一个选项是使用跨账户访问进行设置,因为我想要授予访问权限的人也有自己的 AWS 账户。但同样,如何生成链接以将这些用户定向到我的 AWS 账户上的 SageMaker?
根据SageMaker Onboarding,似乎有两个选项:
- AWS SSO 身份验证
- 通过直接打开 Studio 的唯一登录 URL 访问 Studio
- 使用他们的 SSO 凭据登录
- 组织在 AWS SSO 而不是 Studio 中管理成员
- 可以同时为多个成员分配对 Studio 的访问权限
- IAM 身份验证
- 通过 SageMaker 控制台登录
- 必须使用 Studio 控制面板一次手动添加和管理一个成员
我不理解第二种方法,因为这不意味着用户无论如何都必须以 root 身份登录控制台,然后才能拥有完全访问权限。我可以编辑附加到 IAM 用户的策略,但这引出了另一个问题:
...SageMaker 是否预先制定了包含其相关 AWS 服务的策略?例如,SageMaker 将使用 S3 进行存储,使用 EC2 进行处理;我需要在策略中单独设置这些,还是可以简单地使用 SageMaker 策略,默认情况下将包含所有这些依赖项?
【问题讨论】:
标签: amazon-iam amazon-sagemaker