Администраторы машинного обучения (ML) играют решающую роль в поддержании безопасности и целостности рабочих нагрузок ML. Их основная задача — обеспечить максимальную безопасность пользователей, соблюдая принцип наименьших привилегий. Однако учет разнообразных потребностей различных пользователей и создание соответствующих политик разрешений иногда может препятствовать гибкости. Чтобы решить эту проблему, в декабре 2022 года AWS представила Amazon SageMaker Role Manager. SageMaker Role Manager — это мощный инструмент, который можно использовать для быстрой разработки ролей на основе персонажей, которые можно легко настроить в соответствии с конкретными требованиями.

С помощью SageMaker Role Manager администраторы могут эффективно определять персональные роли, адаптированные к отдельным группам пользователей. Такой подход гарантирует, что пользователи имеют доступ только к тем ресурсам и действиям, которые необходимы для выполнения их задач, что снижает риск несанкционированных действий или нарушений. SageMaker Role Manager также позволяет осуществлять точную настройку. Администраторы машинного обучения могут настраивать роли в соответствии с конкретными требованиями, изменяя разрешения, связанные с каждым персонажем. Эта гибкость гарантирует точное соответствие разрешений задачам и обязанностям отдельных пользователей, обеспечивая надежную структуру безопасности и приспосабливаясь к уникальным вариантам использования.

SageMaker Role Manager в настоящее время доступен на консоли Amazon SageMaker во всех коммерческих регионах. Сегодня мы запускаем возможность определения настраиваемых разрешений за считанные минуты с помощью SageMaker Role Manager через AWS Cloud Development Kit (AWS CDK). Это устраняет серьезное препятствие для более широкого внедрения, поскольку администраторы машинного обучения теперь могут программно автоматизировать свои задачи. Благодаря возможностям AWS CDK администраторы машинного обучения могут оптимизировать рабочие процессы, сократить количество ручных операций и обеспечить единообразие в управлении разрешениями для своей инфраструктуры машинного обучения.

Обзор решения

С выпуском SageMaker Role Manager CDK мы запускаем две новые возможности инфраструктуры как кода (IaC):

Вы можете создавать детализированные роли AWS Identity and Access Management (IAM) для таких персонажей машинного обучения, как специалист по данным, инженер по машинному обучению или инженер по данным. SageMaker Role Manager предлагает предопределенные персонажи и действия машинного обучения в сочетании, чтобы упростить процесс создания разрешений, позволяя специалистам по машинному обучению выполнять свои обязанности с минимальными правами доступа. Для безопасного доступа к вашим ресурсам машинного обучения SageMaker Role Manager позволяет указать сетевые разрешения и разрешения на шифрование для ресурсов Amazon Virtual Private Cloud (Amazon VPC) и ключей шифрования AWS Key Management Service (AWS KMS). Кроме того, вы можете настроить разрешения, присоединив собственные политики, управляемые клиентом.

CDK SageMaker Role Manager позволяет за считанные минуты определить настраиваемые разрешения для пользователей SageMaker. Он поставляется с набором предопределенных шаблонов политик для различных персонажей и действий ML. Персонажи представляют различные типы пользователей, которым требуются разрешения для выполнения операций машинного обучения в SageMaker, например, специалисты по данным или инженеры MLOps. Действия машинного обучения — это набор разрешений для выполнения общих задач машинного обучения, таких как запуск приложений Amazon SageMaker Studio или управление экспериментами, моделями или конвейерами. После того как вы выбрали тип пользователя и набор действий машинного обучения, CDK SageMaker Role Manager автоматически создает требуемую роль IAM и политики, которые вы можете назначить пользователям SageMaker. Точно так же вы также можете создавать роли IAM с детализированными разрешениями для автоматизированных заданий, таких как запуск конвейеров SageMaker.

Предпосылки

Чтобы начать использовать CDK SageMaker Role Manager, необходимо выполнить следующие предварительные действия:

1. Настройте роль администратора машинного обучения для создания персонажей и управления ими, а также для разрешений IAM для этих пользователей. Образец политики администрирования см. в разделе «Предварительные требования» статьи «Определение настраиваемых разрешений за считанные минуты с помощью Amazon SageMaker Role Manager».
2. Создайте роль пользователя только для вычислений (если у вас ее нет) для передачи заданиям и конечным точкам. Инструкции по настройке этой роли см. в разделе Использование диспетчера ролей.
3. Настройте среду разработки AWS CDK. Инструкции см. в разделе Начало работы с AWS CDK.

Установите и запустите CDK SageMaker Role Manager.

Выполните следующие шаги, чтобы настроить CDK SageMaker Role Manager:

1. Создайте свое приложение AWS CDK и дайте ему имя; например, RoleManager.
2. Перейдите к RoleManager папку и выполните следующую команду, чтобы создать пустой машинописный проект AWS CDK:

   cdk init app --language typescript

3. Открыть package.json и добавьте выделенный пакет, как показано в следующем коде:

   "dependencies": {
       "aws-cdk-lib": "2.85.0",
       "@cdklabs/cdk-aws-sagemaker-role-manager": "0.0.15",
       "constructs": "^10.0.0",
       "source-map-support": "^0.5.21"
     }

4. Выполните следующую команду, чтобы установить новый cdk-aws-sagemaker-role-manager упаковка:
5. Перейдите в папку lib и замените role_manager_stack.ts со следующим кодом:

   import * as cdk from 'aws-cdk-lib';
   import { Construct } from 'constructs';
   import * as iam from 'aws-cdk-lib/aws-iam';
   import { Activity } from '@cdklabs/cdk-aws-sagemaker-role-manager';
   
   export class RoleManagerStack extends cdk.Stack {
     constructor(scope: Construct, id: string, props?: cdk.StackProps) {
       super(scope, id, props);
   
       const activity = Activity.manageJobs(this, 'id1', {
           rolesToPass: (iam.Role.fromRoleName(this, 'passRoleId', 'passRoleName')),
       });
       
       activity.createRole(this, 'newRoleId', 'newRoleName', newRoleDescription');
       
     }
   }

6. Заменять passRoleId, passRoleName, newRoleId, newRoleNameи newRoleDescription в зависимости от ваших требований к созданию роли.
7. Вернитесь в домашнюю папку приложения AWS CDK и выполните следующую команду, чтобы проверить сгенерированный шаблон AWS CloudFormation:
8. Наконец, выполните следующую команду, чтобы запустить стек CloudFormation в своей учетной записи AWS:

Вы должны увидеть выходные данные развертывания AWS CDK, подобные показанным на следующем снимке экрана.

Дополнительные примеры CDK SageMaker Role Manager доступны в следующих репозиторий GitHub.

Справочник CDK по персонам и действиям ML

Администраторы могут определять действия ML, используя одну из статических функций действия ML класса действий ML. Список последних версий см. в справочнике по действиям ML.

Класс персоны ML поддерживает следующие методы:

• настроить VPC (подсети, группы безопасности) – Настраивает VPC для всех действий, которые поддерживают настройку VPC для персонажей.
• настроитьKMS(dataKeys, VolumeKeys) – Настраивает ключи KMS для всех действий, поддерживающих настройку ключей KMS для пользователей.
• createRole (область действия, идентификатор, roleNameSuffix, описание роли) – Создает роль с разрешениями действий персоны, аналогичными пользовательскому интерфейсу в области действия с идентификатором, с именем SageMaker-${roleNameSuffix} и необязательно с переданным описанием роли.
• грантПермишнсто (идентификация) – Предоставляет разрешения деятельности персоны на удостоверение. Передаваемое удостоверение может быть ролью или ресурсом AWS, связанным с ролью (например, функция Lambda с ролью функции Lambda, описывающей, к каким ресурсам функция Lambda может получить доступ).
• грантПермишнсто() – Обновляет роль переданного удостоверения, чтобы иметь разрешения, указанные в действии ML.

Класс действий ML поддерживает тот же набор функций, что и персоны ML; однако разница заключается в том, что действие ML ограничено одним действием при использовании этого интерфейса для создания ролей IAM.

Заключение

SageMaker Role Manager позволяет создавать настраиваемые роли на основе персонажей, предварительно созданных действий машинного обучения и настраиваемых политик, что значительно сокращает необходимое время. Теперь, благодаря последней поддержке AWS CDK, возможности определения ролей еще больше расширены для поддержки инфраструктуры как кода. Это позволяет специалистам по машинному обучению программно работать в SageMaker, повышая эффективность и обеспечивая беспрепятственную интеграцию в свои рабочие процессы.

Мы хотели бы услышать от вас о том, как эта новая функция помогает вам. Попробуйте новую поддержку AWS CDK для SageMaker Role Manager и отправьте нам свой отзыв!

Дополнительные сведения об использовании SageMaker Role Manager см. в Руководстве разработчика SageMaker Role Manager.

Об авторах

Акаш Бхатия является главным архитектором решений с опытом работы в различных отраслях, включая производство, автомобилестроение, розничную торговлю, космос и технологии. В настоящее время Акаш работает в корпоративных сегментах Amazon Web Services и тесно сотрудничает с широким кругом клиентов, в том числе с компаниями и стартапами из списка Fortune 100, чтобы облегчить их миграцию в облако. В дополнение к своему техническому опыту, Акаш руководил управлением продуктами и программами, успешно руководя многочисленными крупномасштабными инициативами на протяжении всей своей карьеры.

Рам Виттал является главным архитектором решений машинного обучения в AWS. Он имеет более чем 20-летний опыт проектирования и создания распределенных, гибридных и облачных приложений. Он увлечен созданием безопасных и масштабируемых решений AI/ML и больших данных, чтобы помочь корпоративным клиентам в их переходе на облачные технологии и их оптимизации для улучшения их бизнес-результатов. В свободное время любит кататься на мотоцикле, играть в теннис и фотографировать.

Озан Экен является старшим менеджером по продуктам в Amazon Web Services. Он имеет более чем 15-летний опыт работы в сфере консалтинга и управления продуктами. Он увлечен созданием продуктов управления и возможностями администрирования в машинном обучении для корпоративных клиентов. Вне работы ему нравится заниматься различными видами активного отдыха и смотреть футбол.