Beheerders van machine learning (ML) spelen een cruciale rol bij het handhaven van de beveiliging en integriteit van ML-workloads. Hun primaire focus is ervoor te zorgen dat gebruikers met de grootst mogelijke beveiliging werken, waarbij ze zich houden aan het principe van de minste privileges. Het accommoderen van de uiteenlopende behoeften van verschillende gebruikerspersona's en het creëren van een passend toestemmingsbeleid kan flexibiliteit echter soms in de weg staan. Om deze uitdaging aan te gaan, introduceerde AWS Amazon SageMaker-rolmanager in december 2022. SageMaker Role Manager is een krachtige tool die u kunt gebruiken om snel persona-gebaseerde rollen te ontwikkelen, die eenvoudig kunnen worden aangepast om aan specifieke vereisten te voldoen.

Met SageMaker Role Manager kunnen beheerders op efficiënte wijze persona-gebaseerde rollen definiëren die zijn afgestemd op verschillende gebruikersgroepen. Deze aanpak zorgt ervoor dat individuen alleen toegang hebben tot de middelen en acties die essentieel zijn voor hun taken, waardoor het risico op ongeoorloofde acties of inbreuken wordt verkleind. SageMaker Role Manager maakt ook fijnmazige aanpassingen mogelijk. ML-beheerders kunnen de rollen aanpassen aan specifieke vereisten door de machtigingen die aan elke persona zijn gekoppeld, te wijzigen. Deze flexibiliteit zorgt ervoor dat de machtigingen precies aansluiten bij de taken en verantwoordelijkheden van individuele gebruikers, waardoor een robuust beveiligingsraamwerk wordt geboden en tegelijkertijd ruimte wordt geboden voor unieke gebruiksscenario's.

SageMaker Role Manager is momenteel beschikbaar op de Amazon Sage Maker console van alle commerciële regio's. Vandaag lanceren we de mogelijkheid om binnen enkele minuten aangepaste machtigingen te definiëren met SageMaker Role Manager via de AWS Cloud-ontwikkelingskit (AWS-CDK). Dit lost een cruciaal obstakel op voor een bredere acceptatie, omdat ML-beheerders hun taken nu programmatisch kunnen automatiseren. Met de kracht van de AWS CDK kunnen ML-beheerders workflows stroomlijnen, handmatige inspanningen verminderen en zorgen voor consistentie bij het beheer van machtigingen voor hun ML-infrastructuur.

Overzicht oplossingen

Met de release van de SageMaker Role Manager CDK lanceren we twee nieuwe infrastructuur als code (IaC) mogelijkheden:

U kunt fijnkorrelig maken AWS Identiteits- en toegangsbeheer (IAM)-rollen voor ML-persona's zoals datawetenschapper, ML-engineer of data-engineer. SageMaker Role Manager biedt vooraf gedefinieerde persona's en ML-activiteiten gecombineerd om uw proces voor het genereren van machtigingen te stroomlijnen, zodat uw ML-beoefenaars hun verantwoordelijkheden kunnen uitvoeren met de minste machtigingen. Voor veilige toegang tot uw ML-resources kunt u met SageMaker Role Manager netwerk- en coderingsmachtigingen specificeren Amazon virtuele privécloud (Amazon VPC) middelen en AWS Sleutelbeheerservice (AWS KMS) encryptiesleutels. Bovendien kunt u machtigingen aanpassen door uw eigen door de klant beheerde beleid bij te voegen.

Met de SageMaker Role Manager CDK kunt u binnen enkele minuten aangepaste machtigingen voor SageMaker-gebruikers definiëren. Het wordt geleverd met een set vooraf gedefinieerde beleidssjablonen voor verschillende persona's en ML-activiteiten. Persona's vertegenwoordigen de verschillende typen gebruikers die machtigingen nodig hebben om ML-activiteiten in SageMaker uit te voeren, zoals datawetenschappers of MLOps-engineers. ML-activiteiten zijn een set machtigingen om een ​​algemene ML-taak uit te voeren, zoals uitvoeren Amazon SageMaker Studio applicaties of het beheren van experimenten, modellen of pijplijnen. Nadat u het personatype en de set ML-activiteiten hebt geselecteerd, maakt de SageMaker Role Manager CDK automatisch de vereiste IAM-rol en het vereiste beleid die u kunt toewijzen aan SageMaker-gebruikers. Op dezelfde manier kunt u ook IAM-rollen maken met fijnmazige machtigingen voor geautomatiseerde taken, zoals het uitvoeren van SageMaker Pipelines.

Voorwaarden

Om de SageMaker Role Manager CDK te gaan gebruiken, moet u de volgende vereiste stappen uitvoeren:

1. Stel een rol in voor uw ML-beheerder om persona's te maken en te beheren, evenals de IAM-machtigingen voor die gebruikers. Raadpleeg voor een voorbeeld van een beheerdersbeleid de vereiste sectie in Definieer binnen enkele minuten aangepaste machtigingen met Amazon SageMaker Role Manager blogpost.
2. Maak een persona-rol voor alleen berekenen (als u die nog niet heeft) om door te geven aan taken en eindpunten. Raadpleeg voor instructies voor het instellen van die rol De rolmanager gebruiken.
3. Stel uw AWS CDK-ontwikkelomgeving in. Raadpleeg voor instructies Aan de slag met de AWS CDK.

Installeer en voer de SageMaker Role Manager CDK uit

Voer de volgende stappen uit om de SageMaker Role Manager CDK in te stellen:

1. Maak uw AWS CDK-app en geef het een naam; Bijvoorbeeld, RoleManager.
2. Navigeer naar de RoleManager map en voer de volgende opdracht uit om een ​​leeg typescript AWS CDK-project te maken:

   cdk init app --language typescript

3. Openen package.json en voeg het gemarkeerde pakket toe zoals weergegeven in de volgende code:

   "dependencies": { "aws-cdk-lib": "2.85.0", "@cdklabs/cdk-aws-sagemaker-role-manager": "0.0.15", "constructs": "^10.0.0", "source-map-support": "^0.5.21" }

4. Voer de volgende opdracht uit om het nieuwe te installeren cdk-aws-sagemaker-role-manager pakket:

   npm install

5. Navigeer naar de map lib en vervang role_manager_stack.ts met de volgende code:

   import * as cdk from 'aws-cdk-lib';
   import { Construct } from 'constructs';
   import * as iam from 'aws-cdk-lib/aws-iam';
   import { Activity } from '@cdklabs/cdk-aws-sagemaker-role-manager'; export class RoleManagerStack extends cdk.Stack { constructor(scope: Construct, id: string, props?: cdk.StackProps) { super(scope, id, props); const activity = Activity.manageJobs(this, 'id1', { rolesToPass: [iam.Role.fromRoleName(this, 'passRoleId', 'passRoleName')], }); activity.createRole(this, 'newRoleId', 'newRoleName', newRoleDescription'); }
   }

6. vervangen passRoleId, passRoleName, newRoleId, newRoleName en newRoleDescription op basis van uw vereisten voor het maken van rollen.
7. Navigeer terug naar de thuismap van uw AWS CDK-app en voer de volgende opdracht uit om het gegenereerde AWS CloudFormatie sjabloon:
8. Voer ten slotte de volgende opdracht uit om de CloudFormation-stack in uw AWS-account uit te voeren:

   cdk deploy

U zou een AWS CDK-implementatie-uitvoer moeten zien die vergelijkbaar is met die in de volgende schermafbeelding.

Meer SageMaker Role Manager CDK-voorbeelden zijn hieronder beschikbaar GitHub repo.

ML persona en activiteit CDK-referentie

Beheerders kunnen ML-activiteiten definiëren met behulp van een van de statische ML-activiteitsfuncties van de ML-activiteitsklasse. Raadpleeg voor een lijst met de nieuwste versies ML-activiteitsreferentie.

De ML-personaklasse ondersteunt de volgende methoden:

• VPC aanpassen (subnetten, beveiligingsgroepen) - Past de VPC aan van alle activiteiten die VPC-aanpassing van persona's ondersteunen.
• aanpassenKMS(dataKeys, volumeKeys) - Past KMS-sleutels aan van alle activiteiten die KMS-sleutelaanpassing van persona's ondersteunen.
• createRole(scope, id, rolNaamSuffix, rolDescription) – Creëert een rol met de machtigingen voor de activiteiten van de persona, vergelijkbaar met de gebruikersinterface in het bereik met ID, met de naam SageMaker-${roleNameSuffix} en eventueel met de doorgegeven rolomschrijving.
• grantPermissionsTo(identiteit) - Verleent de machtigingen voor de activiteiten van de persona voor de identiteit. De doorgegeven identiteit kan een rol zijn of een AWS-bron die aan een rol is gekoppeld (bijvoorbeeld een Lambda-functie waarbij de rol van de Lambda-functie beschrijft tot welke bronnen de Lambda-functie toegang heeft).
• GrantPermissionsTo() - Werkt de rol van de doorgegeven identiteit bij zodat de machtigingen zijn opgegeven in de ML-activiteit.

De ML-activiteitsklasse ondersteunt dezelfde set functies als ML-persona's; het verschil is echter dat een ML-activiteit beperkt is tot een enkele activiteit wanneer deze interface wordt gebruikt om IAM-rollen te maken.

Conclusie

Met SageMaker Role Manager kunt u aangepaste rollen maken op basis van persona's, vooraf gebouwde ML-activiteiten en aangepast beleid, waardoor de benodigde tijd aanzienlijk wordt verkort. Nu, met deze nieuwste AWS CDK-ondersteuning, wordt de mogelijkheid om rollen te definiëren verder uitgebreid om infrastructuur als code te ondersteunen. Dit stelt ML-beoefenaars in staat om programmatisch in SageMaker te werken, waardoor de efficiëntie wordt verbeterd en naadloze integratie in hun workflows mogelijk wordt.

We horen graag van u hoe deze nieuwe functie u helpt. Probeer de nieuwe AWS CDK-ondersteuning voor SageMaker Role Manager uit en stuur ons uw feedback!

Raadpleeg voor meer informatie over het gebruik van SageMaker Role Manager de Handleiding voor ontwikkelaars van SageMaker Role Manager.

Over de Auteurs

Akasha Bhatia is een Principal Solution Architect met ervaring in meerdere sectoren, waaronder productie, auto-industrie, detailhandel en ruimtevaart en technologie. Akash werkt momenteel voor Amazon Web Services Enterprise Segments en werkt nauw samen met een breed scala aan klanten, waaronder Fortune 100-bedrijven en start-ups, om hun migratietraject naar de cloud te vergemakkelijken. Naast zijn technische expertise heeft Akash leiding gegeven aan product- en programmabeheer, waarbij hij gedurende zijn hele carrière met succes toezicht heeft gehouden op tal van grootschalige initiatieven.

Ram Vital is Principal ML Solutions Architect bij AWS. Hij heeft meer dan 20 jaar ervaring met het ontwerpen en bouwen van gedistribueerde, hybride en cloudapplicaties. Hij is gepassioneerd door het bouwen van veilige en schaalbare AI/ML- en big data-oplossingen om zakelijke klanten te helpen met hun cloudadoptie en -optimalisatietraject om hun bedrijfsresultaten te verbeteren. In zijn vrije tijd houdt hij van motorrijden, tennissen en fotograferen.

Ozan Eken is Senior Product Manager bij Amazon Web Services. Hij heeft meer dan 15 jaar ervaring in advisering en productmanagement. Hij is gepassioneerd door het bouwen van governance-producten en beheermogelijkheden op het gebied van machine learning voor zakelijke klanten. Buiten zijn werk houdt hij ervan om verschillende buitenactiviteiten te ontdekken en voetbal te kijken.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://aws.amazon.com/blogs/machine-learning/define-customized-permissions-in-minutes-with-amazon-sagemaker-role-manager-via-the-aws-cdk/