Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Découvrabilité et accès des groupes de fonctionnalités entre comptes
Les scientifiques des données et les ingénieurs des données peuvent tirer parti de l'exploration de fonctionnalités couvrant plusieurs comptes, et de leur accès, afin de promouvoir la cohérence des données, de rationaliser la collaboration et de réduire la duplication des efforts.
Avec Amazon SageMaker Feature Store, vous pouvez partager les ressources des groupes de fonctionnalités entre différents comptes. Les ressources qui peuvent être partagées dans Feature Store sont des entités de groupe de fonctionnalités ou le catalogue de groupes de fonctionnalités, dans lequel le catalogue de groupes de fonctionnalités contient toutes les entités de groupe de fonctionnalités dans votre compte. Le compte propriétaire des ressources partage les ressources avec les comptes consommateurs des ressources. Il existe deux catégories distinctes d'autorisations associées au partage de ressources :
+ **Autorisation de découvrabilité** : la *découvrabilité* signifie être en mesure de voir les noms et les métadonnées des groupes de fonctionnalités. Lorsque vous partagez le catalogue de groupes de fonctionnalités et que vous accordez l'autorisation de découvrabilité, toutes les entités de groupe de fonctionnalités du compte à partir duquel vous effectuez le partage (compte propriétaire des ressources) peuvent être découvertes par les comptes avec lesquels vous effectuez le partage (comptes consommateurs des ressources). Par exemple, si vous rendez le catalogue de groupes de fonctionnalités figurant dans le compte propriétaire des ressources découvrable pour un compte consommateur de ressources, les principaux du compte consommateur des ressources peuvent voir tous les groupes de fonctionnalités contenus dans le compte propriétaire des ressources. Cela signifie que la découvrabilité est de type « tout ou rien » au niveau d'un compte (régionalisée). Cette autorisation est accordée aux comptes consommateurs des ressources en utilisant le type de ressource du catalogue de groupes de fonctionnalités.
+ **Autorisations d'accès** : lorsque vous accordez une autorisation d'accès, vous le faites au niveau des ressources d'un groupe de fonctionnalités (et non au niveau du compte). Cela vous donne un contrôle plus précis sur l'octroi de l'accès aux données. Les types des autorisations d'accès pouvant être accordées sont : de lecture seule, de lecture-écriture et d'administration. Par exemple, vous pouvez sélectionner uniquement certains groupes de fonctionnalités à partir du compte propriétaire des ressources afin qu'ils soient accessibles aux principaux du compte consommateur des ressources, en fonction des besoins de votre entreprise. Cette autorisation est accordée aux comptes consommateurs des ressources en utilisant le type de ressource du groupe de fonctionnalités et en spécifiant les entités de groupe de fonctionnalités.
Il est important de garder à l’esprit la distinction entre découvrabilité et accès lorsque vous configurez le partage entre comptes. En outre, les méthodes de partage des ressources varient selon que vous partagez des groupes de fonctionnalités en ligne ou hors connexion. Pour obtenir des informations sur les groupes de fonctionnalités en ligne et hors connexion, consultez [Concepts liés à Feature Store](feature-store-concepts.md). Dans les rubriques suivantes, vous pourrez découvrir comment appliquer les autorisations de découvrabilité et d’accès à vos ressources partagées.
L’exemple de diagramme suivant illustre la ressource du catalogue de groupes de caractéristiques par rapport à une entité de ressource de groupe de caractéristiques. Le catalogue de groupes de caractéristiques contient *toutes* vos entités de groupe de caractéristiques et peut être partagé en utilisant l’autorisation de découvrabilité. Lorsqu’une autorisation de découvrabilité est accordée, le compte consommateur de ressources peut rechercher et découvrir *toutes* les entités de groupe de caractéristiques au sein du compte propriétaire des ressources. Une entité de groupe de caractéristiques contient vos données de machine learning et peut être partagée à l’aide de l’autorisation d’accès. Lorsqu’une autorisation d’accès est accordée, le compte consommateur de ressources peut accéder aux données du groupe de caractéristiques, l’accès étant déterminé par l’autorisation d’accès correspondante.
![\[Example showing how a resource owner account contains a feature group catalog, which contains feature groups.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/feature-store/feature-store-cross-account-resource-types.png)
**Topics**
+ [Activation de la découvrabilité entre comptes](feature-store-cross-account-discoverability.md)
+ [Activation de l’accès intercompte](feature-store-cross-account-access.md)
# Activation de la découvrabilité entre comptes
Avec AWS Resource Access Manager (AWS RAM), vous pouvez partager en toute sécurité le catalogue des groupes d'entités, qui contient tous vos groupes de fonctionnalités et ressources de fonctionnalités, avec d'autres personnes Comptes AWS. Cela permet aux membres de votre équipe de rechercher et de découvrir des groupes de fonctionnalités et des fonctionnalités couvrant plusieurs comptes, ce qui favorise la cohérence des données, rationalise la collaboration et réduit la duplication des efforts.
Le compte du propriétaire de la ressource peut partager des ressources avec d'autres personnes Comptes AWS en accordant des autorisations à l'aide de AWS RAM. Le compte consommateur de ressources est le compte Compte AWS avec lequel une ressource est partagée, limité par les autorisations accordées par le compte du propriétaire de la ressource. Si vous êtes une organisation, vous souhaiterez peut-être en tirer parti AWS Organizations, grâce à laquelle vous pouvez partager des ressources avec des individus Comptes AWS, avec tous les comptes de votre organisation ou au sein d'une unité organisationnelle (UO), sans avoir à appliquer d'autorisations à chaque compte. Pour des vidéos pédagogiques et de plus amples informations sur les AWS RAM concepts et les avantages, voir [Qu'est-ce que c'est ? AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) dans le guide de AWS RAM l'utilisateur.
Cette section explique comment le compte propriétaire d'une ressource peut choisir le catalogue de groupes de fonctionnalités et accorder le privilège de découvrabilité aux comptes consommateurs de la ressource, puis comment les comptes consommateurs de la ressource dotés du privilège de découvrabilité peuvent utiliser la recherche et la découverte des groupes de fonctionnalités au sein du compte propriétaire de la ressource. L'autorisation de découvrabilité n'accorde pas d'autorisations d'accès (de lecture seule, de lecture-écriture ou d'administration). Les autorisations d'accès sont accordées au niveau d'une ressource et non au niveau du compte. Pour en savoir plus sur la façon d'accorder des autorisations d'accès, consultez [Activation de l’accès intercompte](feature-store-cross-account-access.md).
Les rubriques suivantes expliquent comment partager le catalogue de groupes de fonctionnalités et comment rechercher des ressources partagées avec des autorisations de découvrabilité appliquées.
**Topics**
+ [Partage de votre catalogue de groupes de fonctionnalités](feature-store-cross-account-discoverability-share-feature-group-catalog.md)
+ [Recherche de ressources découvrables](feature-store-cross-account-discoverability-use.md)
# Partage de votre catalogue de groupes de fonctionnalités
Le catalogue de groupes de fonctionnalités, `DefaultFeatureGroupCatalog`, contient *toutes* les entités de groupe de fonctionnalités détenues par le compte propriétaire des ressources. Le catalogue peut être partagé par le compte propriétaire des ressources pour autoriser la découvrabilité d’un ou de plusieurs comptes consommateurs de ressources. Cela se fait en créant un partage de ressources dans AWS Resource Access Manager (AWS RAM). Un groupe de fonctionnalités est la principale ressource d'Amazon SageMaker Feature Store. Il est composé de définitions de fonctionnalités et d'enregistrements gérés par le Feature Store. Pour en savoir plus sur les groupes de fonctionnalités, consultez [Concepts liés à Feature Store](feature-store-concepts.md).
La découvrabilité signifie que les comptes consommateurs de ressources peuvent rechercher les ressources découvrables. Les ressources découvrables sont visualisées comme si elles se trouvaient dans leur propre compte (à l’exception des balises). Lorsque vous autorisez la découverte du catalogue de groupes de caractéristiques, les comptes consommateurs de ressources ne disposent par défaut d’aucune autorisation d’accès (de lecture seule, de lecture-écriture ou d’administration). Les autorisations d'accès sont accordées au niveau d'une ressource et non au niveau du compte. Pour en savoir plus sur la façon d’accorder des autorisations d’accès, consultez [Activation de l’accès intercompte](feature-store-cross-account-access.md).
Afin d'activer la découvrabilité entre comptes, vous devez spécifier le catalogue de ressources SageMaker AI et le catalogue de groupes de fonctionnalités en utilisant les instructions de [AWS RAM création d'un partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) figurant dans le guide du AWS RAM développeur. Dans ce qui suit, nous donnons les spécifications d'utilisation des instructions de la AWS RAM console.
1. **Spécifiez les détails du partage de ressources** :
+ Type de ressource : Choisissez **SageMaker AI Resource Catalogs**.
+ ARN : choisissez l’ARN du catalogue de groupes de caractéristiques au format : `arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog`
*`us-east-1`* est la région de la ressource et *`111122223333`* est l'ID du compte propriétaire de la ressource.
+ ID de ressource : choisissez `DefaultFeatureGroupCatalog`.
1. **Associez les autorisations gérées** :
+ Autorisation gérée : choisissez `AWSRAMPermissionSageMakerCatalogResourceSearch`.
1. **Accordez l'accès aux principaux** :
+ Choisissez les types de principaux (Compte AWS, organisation ou unité organisationnelle) et entrez l’ID approprié.
Si vous êtes une organisation, vous pouvez tirer parti d’ AWS Organizations. Avec Organizations, vous pouvez partager des ressources avec des individus Comptes AWS, avec tous les comptes de votre organisation ou avec une unité organisationnelle (UO). Cela simplifie l’application des autorisations, sans qu’il soit nécessaire d’appliquer des autorisations à chaque compte. Pour plus d'informations sur le partage de vos ressources et l'octroi d'autorisations au sein de celles-ci AWS, voir [Activer le partage des ressources AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le Guide du AWS Resource Access Manager développeur.
1. **Vérifiez et créez** :
+ Vérifiez, puis choisissez **Créer un partage de ressources**.
Les associations peuvent prendre quelques minutes entre le partage de ressources et le principal, ou le compte consommateur de ressources. Une fois que les associations entre le partage de ressources et le principal ont été définies, les comptes consommateurs de ressources spécifiés reçoivent une invitation à rejoindre le partage de ressources. Les comptes consommateurs de ressources peuvent consulter et accepter les invitations en ouvrant la page [Shared with me : Resource shares](https://console.aws.amazon.com/ram/home#SharedResourceShares) dans la AWS RAM console. Pour plus d'informations sur l'acceptation et l'affichage des ressources dans AWS RAM, consultez la section [Accès aux AWS ressources partagées avec vous](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html). Les invitations ne sont pas envoyées dans les cas suivants :
+ Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé. Dans ce cas, les principaux de l’organisation ont automatiquement accès aux ressources partagées sans invitations.
+ Si vous partagez avec Compte AWS le propriétaire de la ressource, les principaux de ce compte ont automatiquement accès aux ressources partagées sans invitation.
Pour plus d'informations sur l'acceptation et l'utilisation d'un partage de ressources, consultez [Recherche de ressources découvrables](feature-store-cross-account-discoverability-use.md).
## Partagez le catalogue des groupes de fonctionnalités à l'aide du AWS SDK pour Python (Boto3)
Vous pouvez utiliser le AWS SDK pour Python (Boto3) for AWS RAM APIs pour créer un partage de ressources. Le code suivant est un exemple d'identifiant de compte du propriétaire d'une ressource *`111122223333`* dans la région*us-east-1*. Le propriétaire des ressources est en train de créer un partage de ressources nommé *`test-cross-account-catalog`*. Il partage le catalogue des groupes de caractéristiques avec l’ID de compte consommateur de ressources *`444455556666`*. Pour utiliser le SDK Python pour AWS RAM APIs, associez la `AWSRAMPermissionSageMakerCatalogResourceSearch` politique au rôle d'exécution. Pour plus d’informations, consultez [AWS RAM APIs](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html).
```
#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()
# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-catalog', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)
```
Les principaux sont des acteurs dans un système de sécurité. Dans une politique basée sur les ressources, les principaux autorisés sont les utilisateurs IAM, les rôles IAM, le compte root ou un autre service. AWS
# Recherche de ressources découvrables
Le compte propriétaire des ressources doit accorder des autorisations aux comptes consommateurs des ressources afin d'accorder des privilèges de découvrabilité ou d'accès (en lecture seule, en lecture-écriture ou d'administration) à une ressource partagée. Dans les sections suivantes, nous fournissons des instructions sur la façon d'accepter une invitation à des ressources partagées, ainsi que des exemples montrant comment rechercher des groupes de fonctionnalités découvrables.
**Acceptation d'une invitation à des ressources partagées**
En tant que compte consommateur des ressources, vous recevez une invitation à rejoindre un partage de ressources une fois que le compte propriétaire des ressources en a accordé l'autorisation. Pour accepter l'invitation à accéder à des ressources partagées, ouvrez la page [Partagé avec moi : partages de ressources](https://console.aws.amazon.com/ram/home#SharedResourceShares) dans la AWS RAM console pour consulter les invitations et y répondre. Les invitations ne sont pas envoyées dans les cas suivants :
+ Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les responsables de l'organisation ont automatiquement accès aux ressources partagées sans invitation.
+ Si vous partagez avec Compte AWS le propriétaire de la ressource, les principaux de ce compte ont automatiquement accès aux ressources partagées sans invitation.
Pour plus d'informations sur l'acceptation et l'utilisation d'un partage de ressources AWS RAM, voir [Répondre à l'invitation de partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html).
## Exemple de recherche de groupes de fonctionnalités découvrables
Une fois les ressources partagées avec un compte de consommateur de ressources auquel l'autorisation de découvrabilité a été appliquée, le compte de consommateur de ressources peut rechercher et découvrir les ressources partagées dans Amazon SageMaker Feature Store à l'aide de l'interface utilisateur de la console et du SDK Feature Store. Notez que vous ne pouvez pas effectuer de recherche sur les balises pour des ressources entre comptes. Le nombre maximal de catalogues de groupes de fonctionnalités pouvant être consultés est de 1 000. Pour plus d’informations sur l’octroi d’autorisations de découvrabilité, consultez [Activation de la découvrabilité entre comptes](feature-store-cross-account-discoverability.md).
Pour plus de détails sur la visualisation des groupes de caractéristiques partagés dans la console, consultez [Recherche de groupes de fonctionnalités dans Feature Store](feature-store-search-feature-group-metadata.md).
Dans l'exemple suivant, le compte de consommateur de ressources utilise la recherche par SageMaker IA pour rechercher les ressources qu'il a rendues accessibles lorsqu'il `CrossAccountFilterOption` est défini sur : `"CrossAccount"`
```
from sagemaker.session import Session
sagemaker_session = Session(boto_session=boto_session)
sagemaker_session.search(
resource="FeatureGroup",
search_expression={
"Filters": [
{
"Name": "FeatureGroupName",
"Value": "MyFeatureGroup",
"Operator": "Contains",
}
],
"Operator": "And",
},
sort_by="Name",
sort_order="Ascending",
next_token="token",
max_results=50,
CrossAccountFilterOption="CrossAccount"
)
```
Pour plus d'informations sur la recherche SageMaker basée sur l'IA et les paramètres de requête, consultez la section [Rechercher](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) dans le manuel Amazon SageMaker API Reference.
# Activation de l’accès intercompte
Les autorisations d'accès sont des autorisations de lecture seule, de lecture-écriture ou d'administration. Le nom de l'autorisation, la description et la liste des informations spécifiques APIs disponibles pour chaque autorisation sont répertoriés ci-dessous :
+ Autorisation de lecture seule (`AWSRAMPermissionSageMakerFeatureGroupReadOnly`) : le privilège de lecture autorise les comptes consommateurs de ressources de lire les enregistrements figurant dans les groupes de fonctionnalités partagés et d'afficher les détails et les métadonnées.
+ `DescribeFeatureGroup` : récupère les détails relatifs à un groupe de fonctionnalités et à sa configuration
+ `DescribeFeatureMetadata` : affiche les métadonnées d’une fonctionnalité au sein d’un groupe de caractéristiques
+ `BatchGetRecord` : récupère un lot d'enregistrements à partir d'un groupe de fonctionnalités
+ `GetRecord` : récupère un enregistrement à partir d'un groupe de fonctionnalités
+ Autorisation de lecture-écriture (`AWSRAMPermissionSagemakerFeatureGroupReadWrite`) : le privilège de lecture-écriture permet aux comptes consommateurs de ressources d'écrire des enregistrements dans les groupes de fonctionnalités partagés et d'en supprimer des enregistrements, en plus des autorisations de lecture.
+ `PutRecord` : écrit un enregistrement dans un groupe de fonctionnalités
+ `DeleteRecord` : supprime un enregistrement d'un groupe de fonctionnalités
+ APIs listé dans `AWSRAMPermissionSageMakerFeatureGroupReadOnly`
+ Autorisation d'administration (`AWSRAMPermissionSagemakerFeatureGroupAdmin`) : le privilège d'administration permet aux comptes consommateurs de ressources de mettre à jour la description et les paramètres des fonctionnalités au sein des groupes de fonctionnalités partagés, de mettre à jour la configuration des groupes de fonctionnalités partagés, en plus des autorisations de lecture-écriture.
+ `DescribeFeatureMetadata` : affiche les métadonnées d'une fonctionnalité au sein d'un groupe de fonctionnalités
+ `UpdateFeatureGroup` : met à jour la configuration d'un groupe de fonctionnalités
+ `UpdateFeatureMetadata` : met à jour la description et les paramètres d'une fonctionnalité dans le groupe de fonctionnalités
+ APIs listé dans `AWSRAMPermissionSagemakerFeatureGroupReadWrite`
Dans les rubriques suivantes, vous découvrirez comment partager un magasin en ligne et des groupes de fonctionnalités hors connexion. Il existe des différences entre les deux en matière de partage.
**Topics**
+ [Partagez des groupes de fonctionnalités en ligne avec AWS Resource Access Manager](feature-store-cross-account-access-online-store.md)
+ [Accès entre comptes au magasin hors connexion](feature-store-cross-account-access-offline-store.md)
# Partagez des groupes de fonctionnalités en ligne avec AWS Resource Access Manager
Avec AWS Resource Access Manager (AWS RAM), vous pouvez partager en toute sécurité les groupes de SageMaker fonctionnalités en ligne d'Amazon Feature Store avec d'autres utilisateurs Comptes AWS. Les membres de votre équipe peuvent explorer des groupes de fonctionnalités qui couvrent plusieurs comptes, et y accéder, ce qui favorise la cohérence des données, rationalise la collaboration et réduit la duplication des efforts.
Le compte du propriétaire de la ressource peut partager des ressources avec d'autres personnes Comptes AWS en accordant des autorisations à l'aide de AWS RAM. Le compte consommateur de ressources est le compte Compte AWS avec lequel une ressource est partagée, limité par les autorisations accordées par le compte du propriétaire de la ressource. Si vous êtes une organisation, vous souhaiterez peut-être en tirer parti AWS Organizations, grâce à laquelle vous pouvez partager des ressources avec des individus Comptes AWS, avec tous les comptes de votre organisation ou au sein d'une unité organisationnelle (UO), sans avoir à appliquer d'autorisations à chaque compte. Pour des vidéos pédagogiques et de plus amples informations sur les AWS RAM concepts et les avantages, voir [Qu'est-ce que c'est ? AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) dans le guide de AWS RAM l'utilisateur.
Notez qu’il existe une limite maximale souple aux transactions par seconde (TPS) par API et par Compte AWS. La limite TPS maximale s’applique à *toutes* les transactions sur les ressources figurant dans le compte propriétaire des ressources, de sorte que les transactions provenant des comptes consommateurs de ressources sont également prises en compte dans cette limite maximale. Pour en savoir plus sur les quotas de service et sur la manière de demander une augmentation des quotas, consultez [Quotas de service AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Cette section explique comment le compte propriétaire de ressources peut choisir des groupes de caractéristiques et accorder des privilèges d’accès (en lecture seule, en lecture-écriture ou d’administration) aux comptes consommateurs des ressources, puis comment les comptes consommateurs des ressources dotés de privilèges d’accès peuvent utiliser ces groupes de caractéristiques. Les autorisations d'accès ne permettent pas aux comptes consommateurs des ressources de rechercher ni de découvrir des groupes de fonctionnalités. Pour permettre aux comptes consommateurs des ressources de rechercher et de découvrir des groupes de fonctionnalités à partir du compte propriétaire des ressources, le compte propriétaire des ressources doit accorder une autorisation de découvrabilité aux comptes consommateurs des ressources, permettant à tous les groupes de fonctionnalités du compte propriétaire des ressources d'être découverts par les comptes consommateurs des ressources. Pour plus d'informations sur l'octroi de l'autorisation de découvrabilité, consultez [Activation de la découvrabilité entre comptes](feature-store-cross-account-discoverability.md).
Les rubriques suivantes expliquent comment partager les ressources de la boutique en ligne Feature Store à l'aide de la AWS RAM console. Pour plus d'informations sur le partage de vos ressources et l'octroi d'autorisations dans le cadre de l' AWS utilisation de la AWS RAM console ou AWS Command Line Interface (AWS CLI), consultez la section [Partage de vos AWS ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html).
**Topics**
+ [Partage de vos entités de groupes de fonctionnalités](feature-store-cross-account-access-online-store-share-feature-group.md)
+ [Utilisation des ressources partagées d'un magasin en ligne avec les autorisations d'accès](feature-store-cross-account-access-online-store-use.md)
# Partage de vos entités de groupes de fonctionnalités
En tant que compte propriétaire de la ressource, vous pouvez utiliser le type de ressource de groupe de SageMaker fonctionnalités pour Amazon Feature Store afin de partager des entités de groupes de fonctionnalités, en créant un partage de ressources dans AWS Resource Access Manager (AWS RAM).
Suivez les instructions suivantes ainsi que les instructions relatives au [partage de vos AWS ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) figurant dans le guide de AWS RAM l'utilisateur.
Lorsque vous partagez le type de ressource du groupe d'entités à l'aide de la AWS RAM console, vous devez effectuer les choix suivants.
1. **Spécifiez les détails du partage de ressources** :
+ Type de ressource : Choisissez **SageMaker AI Feature Groups**.
+ ARN : choisissez l’ARN de votre groupe de caractéristiques au format : `arn:aws:sagemaker:us-east-1:111122223333:feature-group/your-feature-group-name`.
`us-east-1` est la région de la ressource, `111122223333` est l'ID du compte propriétaire de la ressource et `your-feature-group-name` est le groupe de fonctionnalités que vous partagez.
+ ID de ressource : choisissez le groupe de fonctionnalités, `your-feature-group-name`, auquel vous souhaitez accorder des autorisations d'accès.
1. **Associez les autorisations gérées** :
+ Autorisation gérée : choisissez l'autorisation d'accès. Pour plus d’informations sur les autorisations d’accès, consultez [Activation de l’accès intercompte](feature-store-cross-account-access.md).
1. **Accordez l'accès aux principaux** :
+ Choisissez le type de principal (Compte AWS, organisation, unité organisationnelle, rôle IAM ou utilisateur IAM) et entrez l'ID ou l'ARN approprié.
1. **Vérifiez et créez** :
+ Vérifiez, puis choisissez **Créer un partage de ressources**.
L'octroi d'une autorisation d'accès n'accorde pas aux comptes consommateurs des ressources l'autorisation de découvrabilité, de sorte que les comptes consommateurs des ressources dotés d'autorisations d'accès ne peuvent pas rechercher ni découvrir ces groupes de fonctionnalités. Pour permettre aux comptes consommateurs des ressources de rechercher et de découvrir des groupes de fonctionnalités à partir du compte propriétaire des ressources, le compte propriétaire des ressources doit accorder l'autorisation de découvrabilité aux comptes consommateurs des ressources, permettant à *tous* les groupes de fonctionnalités du compte propriétaire des ressources d'être découverts par les comptes consommateurs des ressources. Pour plus d'informations sur l'octroi de l'autorisation de découvrabilité, consultez [Activation de la découvrabilité entre comptes](feature-store-cross-account-discoverability.md).
Si seules des autorisations d'accès sont accordées aux comptes consommateurs des ressources, les entités de groupes de fonctionnalités peuvent toujours être visualisées sur AWS RAM. Pour consulter les ressources sur AWS RAM, voir [Accéder aux AWS ressources partagées avec vous](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) dans le guide de AWS RAM l'utilisateur.
Les associations peuvent prendre quelques minutes entre le partage de ressources et le principal, ou le compte consommateur de ressources. Une fois que les associations entre le partage de ressources et le principal ont été définies, les comptes consommateurs de ressources spécifiés reçoivent une invitation à rejoindre le partage de ressources. Les comptes consommateurs de ressources peuvent consulter et accepter les invitations en ouvrant la page [Shared with me : Resource shares](https://console.aws.amazon.com/ram/home#SharedResourceShares) dans la AWS RAM console. Les invitations ne sont pas envoyées dans les cas suivants :
+ Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les responsables de l'organisation ont automatiquement accès aux ressources partagées sans invitation.
+ Si vous partagez avec Compte AWS le propriétaire de la ressource, les principaux de ce compte ont automatiquement accès aux ressources partagées sans invitation.
Pour plus d'informations sur l'acceptation et l'utilisation d'un partage de ressources AWS RAM, consultez la section [Utilisation de AWS ressources partagées](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html) dans le Guide de AWS RAM l'utilisateur.
## Partagez les groupes de fonctionnalités de la boutique en ligne à l'aide du AWS SDK pour Python (Boto3)
Vous pouvez utiliser le AWS SDK pour Python (Boto3) for AWS RAM APIs pour créer un partage de ressources. Le code suivant est un exemple d'ID de compte propriétaire de ressources `111122223333` créant un partage de ressources nommé `'test-cross-account-fg'`, partageant le groupe de fonctionnalités nommé `'my-feature-group'` avec l'ID de compte consommateur de ressources `444455556666` tout en accordant l'autorisation `AWSRAMPermissionSageMakerFeatureGroupReadOnly`. Pour plus d’informations sur les autorisations d’accès, consultez [Activation de l’accès intercompte](feature-store-cross-account-access.md). Pour utiliser le SDK Python pour AWS RAM APIs, vous devez associer une politique de gestion d'accès AWS RAM complet au rôle d'exécution. Consultez l'API [create\$1resource\$1share](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html) AWS RAM pour plus de détails.
```
import boto3
# Choose feature group name
feature_group_name = 'my-feature-group' # Change to your feature group name
# Share 'my-feature-group' with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-fg', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:feature-group/' + feature_group_name, # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerFeatureGroupReadOnly"]
)
```
Les principaux sont des acteurs dans un système de sécurité. Dans une politique basée sur les ressources, les principaux autorisés sont les utilisateurs IAM, les rôles IAM, le compte racine ou un autre Service AWS.
# Utilisation des ressources partagées d'un magasin en ligne avec les autorisations d'accès
Le compte propriétaire des ressources doit accorder des autorisations aux comptes consommateurs des ressources afin d'accorder des privilèges de découvrabilité, de lecture seule, d'écriture ou d'administration avec une ressource partagée. Dans les sections suivantes, nous fournissons des instructions sur la façon d'accepter une invitation pour accéder à des ressources partagées, ainsi que des exemples montrant comment visualiser les groupes de fonctionnalités partagés et interagir avec eux.
**Acceptation d'une invitation pour accéder à des ressources partagées à l'aide d' AWS RAM**
En tant que compte consommateur des ressources, vous recevez une invitation à rejoindre un partage de ressources une fois que le compte propriétaire des ressources en a accordé l'autorisation. Pour accepter l'invitation à accéder à des ressources partagées, ouvrez la page [Partagé avec moi : partages de ressources](https://console.aws.amazon.com/ram/home#SharedResourceShares) dans la AWS RAM console pour consulter les invitations et y répondre. Les invitations ne sont pas envoyées dans les cas suivants :
+ Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les responsables de l'organisation ont automatiquement accès aux ressources partagées sans invitation.
+ Si vous partagez avec Compte AWS le propriétaire de la ressource, les principaux de ce compte ont automatiquement accès aux ressources partagées sans invitation.
Pour plus d'informations sur l'acceptation et l'utilisation d'un partage de ressources AWS RAM, consultez la section [Utilisation de AWS ressources partagées](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html) dans le Guide de AWS RAM l'utilisateur.
## Afficher les ressources partagées sur la AWS RAM console
L'octroi d'autorisations d'accès quelconques n'accorde pas aux comptes consommateurs des ressources l'autorisation de découvrabilité, de sorte que les comptes consommateurs des ressources dotés d'autorisations d'accès ne peuvent pas rechercher ni découvrir ces groupes de fonctionnalités. Pour permettre aux comptes consommateurs des ressources de rechercher et de découvrir des groupes de fonctionnalités à partir du compte propriétaire des ressources, le compte propriétaire des ressources doit accorder l'autorisation de découvrabilité aux comptes consommateurs des ressources, permettant à tous les groupes de fonctionnalités du compte propriétaire des ressources d'être découverts par les comptes consommateurs des ressources. Pour plus d'informations sur l'octroi de l'autorisation de découvrabilité, consultez [Activation de la découvrabilité entre comptes](feature-store-cross-account-discoverability.md).
Pour afficher les ressources partagées sur la AWS RAM console, ouvrez la page [Partagé avec moi : partages de ressources](https://console.aws.amazon.com/ram/home#SharedResourceShares) dans la AWS RAM console.
## Exemple d'actions de lecture et d'écriture avec des groupes de fonctionnalités partagés
Une fois que les autorisations appropriées sont accordées à votre compte consommateur de ressources par le compte propriétaire de ressources, vous pouvez effectuer des actions sur les ressources partagées à l'aide du kit SDK Feature Store. Pour ce faire, vous pouvez fournir l’ARN des ressources en tant que `FeatureGroupName`. Pour obtenir l'ARN du groupe de fonctionnalités, vous pouvez utiliser la AWS SDK pour Python (Boto3) [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group)fonction ou utiliser l'interface utilisateur de la console. Pour en savoir plus sur l’utilisation de l’interface utilisateur de la console pour visualiser les détails des groupes de caractéristiques, consultez [Visualisation des détails des groupes de caractéristiques depuis la console](feature-store-use-with-studio.md#feature-store-view-feature-group-detail-studio).
Les exemples suivants utilisent `PutRecord` et `GetRecord` avec une entité de groupe de fonctionnalités partagée. Consultez la syntaxe des demandes et des réponses dans la AWS SDK pour Python (Boto3) documentation de [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record)et [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record).
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Put record into feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.put_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
Record=[value.to_dict() for value in record] # You will need to define record prior to calling PutRecord
)
```
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Choose record identifier
record_identifier_value = str(2990130)
# Get record from feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.get_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
RecordIdentifierValueAsString=record_identifier_value
)
```
Pour plus d'informations sur l'octroi d'autorisations aux entités de groupes de fonctionnalités, consultez [Partage de vos entités de groupes de fonctionnalités](feature-store-cross-account-access-online-store-share-feature-group.md).
# Accès entre comptes au magasin hors connexion
Amazon SageMaker Feature Store permet aux utilisateurs de créer un groupe de fonctionnalités dans un compte (compte A) et de le configurer avec un magasin hors ligne à l'aide d'un compartiment Amazon S3 dans un autre compte (compte B). Vous pouvez configurer cela à l'aide des étapes décrites dans la section suivante.
**Topics**
+ [Étape 1 : Configurer le rôle d'accès au magasin hors connexion dans le compte A](#feature-store-setup-step1)
+ [Étape 2 : Configurer un compartiment Amazon S3 de magasin hors connexion dans le compte B](#feature-store-setup-step2)
+ [Étape 3 : configurer une clé de AWS KMS chiffrement de boutique hors ligne dans le compte A](#feature-store-setup-step3)
+ [Étape 4 : Créer un groupe de fonctionnalités dans le compte A](#feature-store-setup-step4)
## Étape 1 : Configurer le rôle d'accès au magasin hors connexion dans le compte A
Tout d'abord, configurez un rôle pour Amazon SageMaker Feature Store afin d'écrire les données dans le magasin hors ligne. Le plus simple consiste à créer un rôle à l'aide de la stratégie `AmazonSageMakerFeatureStoreAccess` ou d'utiliser un rôle existant auquel la stratégie `AmazonSageMakerFeatureStoreAccess` est déjà attachée. Ce document désigne cette stratégie sous `Account-A-Offline-Feature-Store-Role-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
}
]
}
```
------
L'extrait de code précédent montre la stratégie `AmazonSageMakerFeatureStoreAccess`. La section `Resource` de la stratégie est étendue par défaut aux compartiments S3 dont les noms contiennent `SageMaker`, `Sagemaker` ou `sagemaker`. Autrement dit, le compartiment S3 du magasin hors connexion utilisé doit suivre cette convention de dénomination. Si ce n'est pas votre cas, ou si vous voulez limiter encore la ressource, vous pouvez copier et coller cette politique dans votre politique de compartiment Amazon S3 dans la console, personnaliser la section `Resource` comme `arn:aws:s3:::your-offline-store-bucket-name`, puis l'attacher au rôle.
En outre, ce rôle doit être associé à AWS KMS des autorisations. Au minimum, il nécessite que l’autorisation `kms:GenerateDataKey` puisse écrire dans le magasin hors ligne à l’aide de votre clé gérée par le client. Consultez l'étape 3 pour savoir pourquoi le scénario entre comptes requiert une clé gérée par le client, et comment la configurer. L’exemple suivant illustre une stratégie en ligne :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
La section `Resource` de cette stratégie est étendue à n’importe quelle clé du compte A. Pour élargie encore la portée, après avoir configuré la clé KMS du magasin hors ligne à l’étape 3, revenez à cette stratégie et remplacez-la par l’ARN de clé.
## Étape 2 : Configurer un compartiment Amazon S3 de magasin hors connexion dans le compte B
Créez un compartiment Amazon S3 dans le compte B. Si vous utilisez la politique `AmazonSageMakerFeatureStoreAccess` par défaut, le nom du compartiment doit inclure `SageMaker`, `Sagemaker` ou `sagemaker`. Modifiez la stratégie de compartiment, comme illustré dans l’exemple suivant, afin d’autoriser le compte A à lire et écrire des objets.
Ce document désigne l'exemple de stratégie de compartiment suivant sous `Account-B-Offline-Feature-Store-Bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CrossAccountBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl"
],
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN"
]
},
"Resource": [
"arn:aws:s3:::offline-store-bucket-name/*",
"arn:aws:s3:::offline-store-bucket-name"
]
}
]
}
```
------
Dans la politique précédente, le principal est `Account-A-Offline-Feature-Store-Role-ARN` le rôle créé dans le compte A à l'étape 1 et fourni à Amazon SageMaker Feature Store pour qu'il écrive sur le magasin hors ligne. Vous pouvez fournir plusieurs rôles ARN sous `Principal`.
## Étape 3 : configurer une clé de AWS KMS chiffrement de boutique hors ligne dans le compte A
Amazon SageMaker Feature Store garantit que le chiffrement côté serveur est toujours activé pour les objets Amazon S3 dans le magasin hors ligne. Pour les cas d'utilisation entre comptes, vous devez fournir une clé gérée par le client afin de pouvoir contrôler qui peut écrire dans le magasin hors connexion (dans ce cas, `Account-A-Offline-Feature-Store-Role-ARN` à partir du compte A) et qui peut lire à partir du magasin hors connexion (dans ce cas, les identités issues du compte B).
Ce document désigne l’exemple de stratégie de clé suivant sous `Account-A-Offline-Feature-Store-KMS-Key-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow Feature Store to get information about the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## Étape 4 : Créer un groupe de fonctionnalités dans le compte A
Ensuite, créez le groupe de fonctionnalités dans le compte A, avec un compartiment Amazon S3 de magasin hors connexion dans le compte B. Pour ce faire, fournissez les paramètres suivants pour `RoleArn`, `OfflineStoreConfig.S3StorageConfig.KmsKeyId` et `OfflineStoreConfig.S3StorageConfig.S3Uri`, respectivement :
+ Fournissez `Account-A-Offline-Feature-Store-Role-ARN` en tant que `RoleArn`.
+ Fournissez `Account-A-Offline-Feature-Store-KMS-Key-ARN` pour `OfflineStoreConfig.S3StorageConfig.KmsKeyId`.
+ Fournissez `Account-B-Offline-Feature-Store-Bucket` pour `OfflineStoreConfig.S3StorageConfig.S3Uri`.