Los administradores de aprendizaje automático (ML) desempeñan un papel fundamental en el mantenimiento de la seguridad y la integridad de las cargas de trabajo de ML. Su enfoque principal es garantizar que los usuarios operen con la máxima seguridad, adhiriéndose al principio de privilegio mínimo. Sin embargo, adaptarse a las diversas necesidades de las diferentes personas de los usuarios y crear políticas de permisos adecuadas a veces puede impedir la agilidad. Para hacer frente a este desafío, AWS introdujo Administrador de funciones de Amazon SageMaker en diciembre de 2022. SageMaker Role Manager es una poderosa herramienta que puede usar para desarrollar rápidamente roles basados ​​en personas, que se pueden personalizar fácilmente para cumplir con requisitos específicos.

Con SageMaker Role Manager, los administradores pueden definir eficientemente roles basados ​​en personas adaptados a distintos grupos de usuarios. Este enfoque garantiza que las personas solo tengan acceso a los recursos y acciones esenciales para sus tareas, lo que reduce el riesgo de acciones no autorizadas o infracciones. SageMaker Role Manager también permite una personalización detallada. Los administradores de ML pueden adaptar los roles para cumplir con requisitos específicos modificando los permisos asociados con cada persona. Esta flexibilidad garantiza que los permisos se alineen con precisión con las tareas y responsabilidades de los usuarios individuales, lo que proporciona un marco de seguridad sólido y se adapta a casos de uso únicos.

SageMaker Role Manager está actualmente disponible en el Amazon SageMaker consola de todas las Regiones comerciales. Hoy lanzamos la capacidad de definir permisos personalizados en minutos con SageMaker Role Manager a través de la Kit de desarrollo en la nube de AWS (CDK de AWS). Esto aborda un obstáculo crítico para una adopción más amplia porque los administradores de ML ahora pueden automatizar sus tareas mediante programación. Con el poder de AWS CDK, los administradores de ML pueden optimizar los flujos de trabajo, reducir los esfuerzos manuales y garantizar la coherencia en la administración de permisos para su infraestructura de ML.

Resumen de la solución

Con el lanzamiento del CDK de SageMaker Role Manager, estamos lanzando dos nuevas capacidades de infraestructura como código (IaC):

Puede crear granulado fino Gestión de identidades y accesos de AWS (IAM) roles para personas de ML, como científico de datos, ingeniero de ML o ingeniero de datos. SageMaker Role Manager ofrece personalidades predefinidas y actividades de ML combinadas para agilizar su proceso de generación de permisos, lo que permite a sus profesionales de ML desempeñar sus responsabilidades con los permisos de privilegios mínimos. Para un acceso seguro a sus recursos de aprendizaje automático, SageMaker Role Manager le permite especificar permisos de red y cifrado para Nube privada virtual de Amazon (Amazon VPC) recursos y Servicio de administración de claves de AWS (AWS KMS) claves de cifrado. Además, puede personalizar los permisos adjuntando sus propias políticas administradas por el cliente.

El CDK de SageMaker Role Manager le permite definir permisos personalizados para los usuarios de SageMaker en minutos. Viene con un conjunto de plantillas de políticas predefinidas para diferentes personas y actividades de ML. Las personas representan los diferentes tipos de usuarios que necesitan permisos para realizar actividades de ML en SageMaker, como científicos de datos o ingenieros de MLOps. Las actividades de ML son un conjunto de permisos para realizar una tarea de ML común, como ejecutar Estudio Amazon SageMaker aplicaciones o la gestión de experimentos, modelos o canalizaciones. Una vez que haya seleccionado el tipo de persona y el conjunto de actividades de ML, el CDK del Administrador de roles de SageMaker crea automáticamente el rol y las políticas de IAM necesarios que puede asignar a los usuarios de SageMaker. Del mismo modo, también puede crear roles de IAM con permisos detallados para trabajos automatizados, como ejecutar SageMaker Pipelines.

Requisitos previos

Para comenzar a usar el CDK del Administrador de roles de SageMaker, debe completar los siguientes pasos de requisitos previos:

1. Configure un rol para que su administrador de ML cree y administre personas, así como los permisos de IAM para esos usuarios. Para obtener una política de administración de muestra, consulte la sección de requisitos previos en Defina permisos personalizados en minutos con Amazon SageMaker Role Manager entrada de blog.
2. Cree un rol de persona de solo cómputo (si no tiene ninguno) para pasar a trabajos y puntos finales. Para obtener instrucciones sobre cómo configurar ese rol, consulte Uso del administrador de funciones.
3. Configure su entorno de desarrollo de AWS CDK. Para obtener instrucciones, consulte Introducción a AWS CDK.

Instale y ejecute el CDK del administrador de roles de SageMaker

Complete los siguientes pasos para configurar el CDK del administrador de funciones de SageMaker:

1. Cree su aplicación AWS CDK y dale un nombre; Por ejemplo, RoleManager.
2. Navegue hasta la RoleManager y ejecute el siguiente comando para crear un proyecto de CDK de AWS mecanografiado en blanco:

   cdk init app --language typescript

3. Abierto package.json y agregue el paquete resaltado como se muestra en el siguiente código:

   "dependencies": { "aws-cdk-lib": "2.85.0", "@cdklabs/cdk-aws-sagemaker-role-manager": "0.0.15", "constructs": "^10.0.0", "source-map-support": "^0.5.21" }

4. Ejecute el siguiente comando para instalar el nuevo cdk-aws-sagemaker-role-manager paquete:

   npm install

5. Navegue a la carpeta lib y reemplace role_manager_stack.ts con el siguiente código:

   import * as cdk from 'aws-cdk-lib';
   import { Construct } from 'constructs';
   import * as iam from 'aws-cdk-lib/aws-iam';
   import { Activity } from '@cdklabs/cdk-aws-sagemaker-role-manager'; export class RoleManagerStack extends cdk.Stack { constructor(scope: Construct, id: string, props?: cdk.StackProps) { super(scope, id, props); const activity = Activity.manageJobs(this, 'id1', { rolesToPass: [iam.Role.fromRoleName(this, 'passRoleId', 'passRoleName')], }); activity.createRole(this, 'newRoleId', 'newRoleName', newRoleDescription'); }
   }

6. Reemplaza passRoleId, passRoleName, newRoleId, newRoleNamey newRoleDescription en función de sus requisitos para la creación de roles.
7. Vuelva a la carpeta de inicio de la aplicación AWS CDK y ejecute el siguiente comando para verificar la información generada. Formación en la nube de AWS modelo:
8. Finalmente, ejecute el siguiente comando para ejecutar la pila de CloudFormation en su cuenta de AWS:

   cdk deploy

Debería ver un resultado de implementación de AWS CDK similar al de la siguiente captura de pantalla.

Hay más ejemplos de CDK de SageMaker Role Manager disponibles en los siguientes Repositorio GitHub.

Referencia de CDK de persona y actividad de ML

Los administradores pueden definir actividades de ML mediante una de las funciones estáticas de actividad de ML de la clase de actividad de ML. Para obtener una lista de las últimas versiones, consulte Referencia de actividad de ML.

La clase de persona ML admite los siguientes métodos:

• personalizar VPC (subredes, grupos de seguridad) – Personaliza la VPC de todas las actividades que admiten la personalización de VPC de personas.
• personalizar KMS (claves de datos, claves de volumen) – Personaliza las claves KMS de todas las actividades que admiten la personalización de claves KMS de personas.
• createRole(alcance, id, roleNameSuffix, roleDescription) – Crea un rol con los permisos de actividades de la persona similar a la IU en el ámbito con ID, con el nombre SageMaker-${roleNameSuffix} y, opcionalmente, con la descripción del rol aprobado.
• grantPermissionsTo(identidad) – Otorga los permisos de las actividades de la persona a la identidad. La identidad pasada puede ser un rol o un recurso de AWS asociado con un rol (por ejemplo, una función Lambda con el rol de la función Lambda que describe a qué recursos puede acceder la función Lambda).
• conceder permisos a () – Actualiza el rol de la identidad pasada para tener los permisos especificados en la actividad de ML.

La clase de actividad de ML admite el mismo conjunto de funciones que las personas de ML; sin embargo, la diferencia es que una actividad de ML está restringida a una sola actividad cuando se usa esta interfaz para crear roles de IAM.

Conclusión

SageMaker Role Manager le permite crear roles personalizados basados ​​en personas, actividades de aprendizaje automático preconstruidas y políticas personalizadas, lo que reduce significativamente el tiempo requerido. Ahora, con este último soporte de AWS CDK, la capacidad de definir roles se amplía aún más para admitir la infraestructura como código. Esto permite a los profesionales de ML trabajar mediante programación en SageMaker, mejorando la eficiencia y permitiendo una integración perfecta en sus flujos de trabajo.

Nos gustaría saber de usted cómo le está ayudando esta nueva función. ¡Pruebe el nuevo soporte de AWS CDK para SageMaker Role Manager y envíenos sus comentarios!

Para obtener más información sobre cómo usar el Administrador de roles de SageMaker, consulte el Guía del desarrollador del Administrador de funciones de SageMaker.

Acerca de los Autores

akasha bhatia es un arquitecto principal de soluciones con experiencia en múltiples industrias, incluidas la fabricación, la automoción, el comercio minorista y el espacio y la tecnología. Akash, que actualmente trabaja en los segmentos empresariales de Amazon Web Services, trabaja en estrecha colaboración con una amplia gama de clientes, incluidas empresas Fortune 100 y nuevas empresas, para facilitar su viaje de migración a la nube. Además de su experiencia técnica, Akash ha liderado la gestión de programas y productos, y ha supervisado con éxito numerosas iniciativas a gran escala a lo largo de su carrera.

carnero vital es Arquitecto Principal de Soluciones de ML en AWS. Tiene más de 20 años de experiencia en la arquitectura y creación de aplicaciones distribuidas, híbridas y en la nube. Le apasiona crear soluciones seguras y escalables de AI/ML y big data para ayudar a los clientes empresariales con su proceso de optimización y adopción de la nube para mejorar sus resultados comerciales. En su tiempo libre, disfruta andar en motocicleta, jugar tenis y la fotografía.

Ozan Eken es gerente sénior de productos en Amazon Web Services. Tiene más de 15 años de experiencia en consultoría y gestión de productos. Le apasiona crear productos de gobernanza y capacidades de administración en aprendizaje automático para clientes empresariales. Fuera del trabajo, le gusta explorar diferentes actividades al aire libre y ver fútbol.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://aws.amazon.com/blogs/machine-learning/define-customized-permissions-in-minutes-with-amazon-sagemaker-role-manager-via-the-aws-cdk/