Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Reperibilità e accesso ai gruppi di funzionalità tra account
I data scientist e i data engineer possono trarre vantaggio dall'esplorazione e dall'accesso a funzionalità che si estendono su più account, al fine di promuovere la coerenza dei dati, semplificare la collaborazione e ridurre la duplicazione degli sforzi.
Con Amazon SageMaker Feature Store, puoi condividere le risorse dei gruppi di funzionalità tra più account. Le risorse che possono essere condivise nell'archivio funzionalità sono le entità dei gruppi di funzionalità o il catalogo dei gruppi di funzionalità, dove il catalogo del gruppi di funzionalità contiene tutte le entità dei gruppi di funzionalità del tuo account. L'account proprietario delle risorse condivide le risorse con gli account utilizzatori delle risorse. Esistono due categorie distinte di autorizzazioni associate alla condivisione delle risorse:
+ **Autorizzazione di reperibilità**: *reperibilità* significa essere in grado di visualizzare i nomi e i metadati dei gruppi di funzionalità. Quando condividi il catalogo dei gruppi di funzionalità e concedi l'autorizzazione di reperibilità, tutte le entità dei gruppi di funzionalità nell'account da cui condividi (account proprietario delle risorse) diventano reperibili dagli account con cui condividi (account utilizzatore delle risorse). Ad esempio, se fai in modo che il catalogo dei gruppi di funzionalità nell'account proprietario delle risorse sia reperibile da un account utilizzatore delle risorse, i principali dell'account utilizzatore delle risorse possono vedere tutti i gruppi di funzionalità contenuti nell'account proprietario delle risorse. Significa che la reperibilità è "tutto o niente" a livello di account (regionalizzato). Questa autorizzazione viene concessa agli account utilizzatori delle risorse tramite il tipo di risorsa del catalogo dei gruppi di funzionalità.
+ **Autorizzazioni di accesso**: quando concedi un'autorizzazione di accesso, lo fai a livello di risorsa dei gruppi di funzionalità (non a livello di account). Questo ti offre un controllo più granulare sulla concessione dell'accesso ai dati. I tipi di autorizzazioni di accesso che possono essere concesse sono: sola lettura, lettura-scrittura e admin. Ad esempio, è possibile selezionare solo determinati gruppi di funzionalità dall'account proprietario delle risorse in modo che siano accessibili ai principali dell'account utilizzatore delle risorse, a seconda delle esigenze aziendali. Questa autorizzazione viene concessa agli account utilizzatori delle risorse tramite il tipo di risorsa dei gruppi di funzionalità e specificando le entità dei gruppi di funzionalità.
La distinzione tra reperibilità e accesso è importante da tenere a mente quando si configura la condivisione tra account. Inoltre, i metodi di condivisione delle risorse variano a seconda che si condividano gruppi di funzionalità online o offline. Per informazioni sui gruppi di funzionalità online e offline, consulta [Concetti di base sul Feature Store](feature-store-concepts.md). Nei seguenti argomenti, puoi imparare come applicare le autorizzazioni di reperibilità e accesso alle tue risorse condivise.
Il seguente diagramma di esempio visualizza la risorsa del catalogo dei gruppi di funzionalità rispetto a un'entità di risorsa dei gruppi di funzionalità. Il catalogo dei gruppi di funzionalità contiene *tutte* le entità dei gruppi di funzionalità e può essere condiviso tramite l'autorizzazione di reperibilità. Quando viene concessa un'autorizzazione di reperibilità, l'account utilizzatore delle risorse può cercare e reperire *tutte* le entità dei gruppi di funzionalità all'interno dell'account proprietario delle risorse. Un'entità dei gruppi di funzionalità contiene i dati di machine learning e può essere condivisa tramite l'autorizzazione di accesso. Quando viene concessa un'autorizzazione di accesso, l'account utilizzatore delle risorse può accedere ai dati dei gruppi di funzionalità, con accesso determinato dall'autorizzazione di accesso pertinente.
![\[Example showing how a resource owner account contains a feature group catalog, which contains feature groups.\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/feature-store/feature-store-cross-account-resource-types.png)
**Topics**
+ [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md)
+ [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md)
# Abilitare la reperibilità tra account
Con AWS Resource Access Manager (AWS RAM) puoi condividere in modo sicuro il catalogo dei gruppi di funzionalità, che contiene tutte le tue risorse relative ai gruppi di funzionalità e alle funzionalità, con altri. Account AWS Ciò consente ai membri del team di cercare e reperire gruppi di funzionalità e funzionalità che si estendono su più account, promuovendo la coerenza dei dati, semplificando la collaborazione e riducendo la duplicazione degli sforzi.
L'account proprietario della risorsa può condividere risorse con altri individui Account AWS concedendo le autorizzazioni utilizzando. AWS RAM L'account consumatore di risorse è l'account Account AWS con cui viene condivisa una risorsa, limitato dalle autorizzazioni concesse dall'account del proprietario della risorsa. Se sei un'organizzazione, potresti voler sfruttare la possibilità di AWS Organizations condividere le risorse con singoli utenti Account AWS, con tutti gli account dell'organizzazione o in un'unità organizzativa (OU), senza dover applicare le autorizzazioni a ciascun account. Per video didattici e ulteriori informazioni su AWS RAM concetti e vantaggi, vedi [Cos'è? AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) nella Guida per l' AWS RAM utente.
Questa sezione spiega come l'account proprietario delle risorse può scegliere il catalogo dei gruppi di funzionalità e concedere il privilegio di reperibilità agli account utilizzatori delle risorse, e quindi come gli account utilizzatori delle risorse con privilegio di reperibilità possono utilizzare la ricerca e reperire i gruppi di funzionalità all'interno dell'account proprietario delle risorse. L'autorizzazione di reperibilità non concede autorizzazioni di accesso (sola lettura, lettura-scrittura o admin). Le autorizzazioni di accesso vengono concesse a livello di risorsa e non a livello di account. Per informazioni sulla concessione di autorizzazioni di accesso, consulta [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md).
Nei seguenti argomenti viene descritto come condividere il catalogo dei gruppi di funzionalità e come cercare risorse condivise con le autorizzazioni di reperibilità applicate.
**Topics**
+ [Condividi il catalogo del tuo gruppo di funzionalità](feature-store-cross-account-discoverability-share-feature-group-catalog.md)
+ [Cerca risorse reperibili](feature-store-cross-account-discoverability-use.md)
# Condividi il catalogo del tuo gruppo di funzionalità
Il catalogo dei gruppi di funzionalità, `DefaultFeatureGroupCatalog`, contiene *tutte* le entità dei gruppi di funzionalità di proprietà dell'account proprietario delle risorse. Il catalogo può essere condiviso dall’account proprietario di risorse per concedere la rilevabilità a uno o più account consumer di risorse. Per farlo, crea una condivisione di risorse in AWS Resource Access Manager (AWS RAM). Un gruppo di funzionalità è la risorsa principale di Amazon SageMaker Feature Store ed è composto da definizioni e record di funzionalità gestiti da Feature Store. Per ulteriori informazioni sui gruppo di funzionalità, consulta [Concetti di base sul Feature Store](feature-store-concepts.md).
Il termine “rilevabilità” indica che gli account consumer di risorse possono cercare le risorse rilevabili. Le risorse rilevabili vengono visualizzate come se fossero nel proprio account (tag esclusi). Quando si consente la reperibilità del catalogo dei gruppi di funzionalità, per impostazione predefinita agli account utilizzatori delle risorse non vengono concesse autorizzazioni di accesso (sola lettura, lettura-scrittura o admin). Le autorizzazioni di accesso vengono concesse a livello di risorsa e non a livello di account. Per informazioni sulla concessione di autorizzazioni di accesso, consulta [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md).
Per consentire la reperibilità su più account, dovrai specificare l' SageMaker AI Resource Catalog e il catalogo dei gruppi di funzionalità utilizzando le istruzioni [AWS RAM per la creazione di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) nella guida per gli AWS RAM sviluppatori. Di seguito forniamo le specifiche per l'uso della AWS RAM console.
1. **Specifica i dettagli della condivisione delle risorse**:
+ Tipo di risorsa: scegli **SageMaker AI Resource Catalogs.**
+ ARN: scegli l'ARN del catalogo dei gruppi di funzionalità con il formato: `arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog`
*`us-east-1`* è la Regione della risorsa e *`111122223333`* è l'ID dell'account proprietario delle risorse.
+ ID risorsa: scegli `DefaultFeatureGroupCatalog`.
1. **Associa autorizzazioni gestite**:
+ Autorizzazione gestita: scegli `AWSRAMPermissionSageMakerCatalogResourceSearch`.
1. **Concedi l'accesso ai principali:**
+ Scegli i tipi principali (Account AWS, organizzazione o unità organizzativa) e inserisci l'ID appropriato.
Le organizzazioni possono sfruttare AWS Organizations. Con Organizations puoi condividere le risorse con singoli account Account AWS, con tutti gli account dell'organizzazione o con un'unità organizzativa (OU). Questo semplifica l’applicazione delle autorizzazioni, perché non devi applicare le autorizzazioni a ciascun account. Per ulteriori informazioni sulla condivisione delle risorse e sulla concessione delle autorizzazioni interne AWS, consulta [Abilitare la condivisione delle risorse all'interno AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) della Guida per gli AWS Resource Access Manager sviluppatori.
1. **Revisione e creazione**:
+ Revisiona, quindi seleziona **Crea condivisione risorse**.
Il completamento delle associazioni tra la condivisione di risorse e il principale o l'account utilizzatore delle risorse potrebbe richiedere alcuni minuti. Una volta impostate le associazioni tra la condivisione di risorse e il principale, gli account utilizzatori delle risorse specificati ricevono un invito a partecipare alla condivisione di risorse. Gli account consumer che utilizzano le risorse possono visualizzare e accettare gli inviti aprendo la pagina [Shared with me: Resource shared](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella console. AWS RAM Per ulteriori informazioni sull'accettazione e la visualizzazione delle risorse in AWS RAM, vedi [Accedere alle AWS risorse condivise con te](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html). Gli inviti non vengono inviati nei seguenti casi:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata. In questo caso, i principali dell’organizzazione ottengono automaticamente l’accesso alle risorse condivise senza inviti.
+ Se condividi Account AWS la risorsa con il proprietario, i responsabili dell'account avranno automaticamente accesso alle risorse condivise senza inviti.
Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse, consulta [Cerca risorse reperibili](feature-store-cross-account-discoverability-use.md).
## Condividi il catalogo del gruppo di funzionalità utilizzando il AWS SDK per Python (Boto3)
È possibile utilizzare il AWS SDK per Python (Boto3) form per AWS RAM APIs creare una condivisione di risorse. Il codice seguente è un esempio di ID di account del proprietario di una risorsa *`111122223333`* all'interno della regione*us-east-1*. Il proprietario delle risorse sta creando una condivisione di risorse denominata *`test-cross-account-catalog`*. Condivide il catalogo del gruppo di funzionalità con l’ID dell’account consumer di risorse *`444455556666`*. Per utilizzare Python SDK per AWS RAM APIs, allega la `AWSRAMPermissionSageMakerCatalogResourceSearch` policy al ruolo di esecuzione. Per ulteriori dettagli, consulta [AWS RAM APIs](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html).
```
#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()
# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-catalog', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)
```
I principali sono attori di un sistema di sicurezza. In una policy basata sulle risorse, i principali consentiti sono gli utenti IAM, i ruoli IAM, l'account root o un altro servizio. AWS
# Cerca risorse reperibili
L'account proprietario delle risorse deve concedere le autorizzazioni agli account utilizzatori delle risorse per consentire la reperibilità o i privilegi di accesso (sola lettura, lettura-scrittura o admin) a una risorsa condivisa. Nelle sezioni seguenti, forniamo istruzioni su come accettare un invito a risorse condivise ed esempi che mostrano come cercare gruppi di funzionalità reperibili.
**Accetta un invito a risorse condivise**
In qualità di account utilizzatore delle risorse, riceverai un invito a partecipare a una condivisione di risorse dopo che l'account proprietario delle risorse avrà concesso l'autorizzazione. Per accettare l'invito a qualsiasi risorsa condivisa, apri la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console per visualizzare e rispondere agli inviti. Gli inviti non vengono inviati nei seguenti casi:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, i responsabili dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.
+ Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account avranno automaticamente accesso alle risorse condivise senza inviti.
Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse in AWS RAM, vedi [Rispondere all'invito alla condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html).
## Esempio di ricerca di gruppi di funzionalità reperibili
Una volta condivise le risorse con un account consumer di risorse con l'autorizzazione di reperibilità applicata, l'account consumer di risorse può cercare e scoprire le risorse condivise in Amazon SageMaker Feature Store utilizzando l'interfaccia utente della console e l'SDK Feature Store. Tieni presente che non puoi fare ricerche sui tag nelle risorse multi-account. Il numero massimo di cataloghi di gruppi di funzionalità visualizzabili è 1000. Per ulteriori informazioni su come concedere autorizzazioni di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
Per i dettagli sulla visualizzazione dei gruppi di funzionalità condivisi nella console, consulta [Ricerca di gruppi di funzionalità nel Feature Store](feature-store-search-feature-group-metadata.md).
Nell'esempio seguente, l'account consumer di risorse utilizza la ricerca SageMaker AI per cercare risorse rese individuabili per lui quando `CrossAccountFilterOption` è impostato su: `"CrossAccount"`
```
from sagemaker.session import Session
sagemaker_session = Session(boto_session=boto_session)
sagemaker_session.search(
resource="FeatureGroup",
search_expression={
"Filters": [
{
"Name": "FeatureGroupName",
"Value": "MyFeatureGroup",
"Operator": "Contains",
}
],
"Operator": "And",
},
sort_by="Name",
sort_order="Ascending",
next_token="token",
max_results=50,
CrossAccountFilterOption="CrossAccount"
)
```
Per ulteriori informazioni sulla ricerca SageMaker AI e sui parametri di richiesta, consulta [Search](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) in the Amazon SageMaker API Reference.
# Abilitazione dell'accesso multi-account
Le autorizzazioni di accesso sono autorizzazioni di sola lettura, lettura-scrittura e admin. Il nome dell'autorizzazione, la descrizione e l'elenco delle specifiche APIs disponibili per ogni autorizzazione sono elencati di seguito:
+ Autorizzazione di sola lettura (`AWSRAMPermissionSageMakerFeatureGroupReadOnly`): il privilegio di lettura consente agli account utilizzatori delle risorse di leggere i record nei gruppi di funzionalità condivisi e visualizzare dettagli e metadati.
+ `DescribeFeatureGroup`: recupera i dettagli su un gruppo di funzionalità e sulla sua configurazione
+ `DescribeFeatureMetadata`: mostra i metadati per una funzionalità all'interno di un gruppo di funzionalità
+ `BatchGetRecord`: recupera un batch di record da un gruppo di funzionalità
+ `GetRecord`: recupera un record da un gruppo di funzionalità
+ Autorizzazione di lettura-scrittura (`AWSRAMPermissionSagemakerFeatureGroupReadWrite`): il privilegio di lettura/scrittura consente agli account utilizzatori delle risorse di scrivere ed eliminare record dai gruppi di funzionalità condivisi, oltre alle autorizzazioni di lettura.
+ `PutRecord`: scrive un record in un gruppo di funzionalità
+ `DeleteRecord`: rimuove un record da un gruppo di funzionalità
+ APIs elencato in `AWSRAMPermissionSageMakerFeatureGroupReadOnly`
+ Autorizzazione admin (`AWSRAMPermissionSagemakerFeatureGroupAdmin`): il privilegio di admin consente agli account utilizzatori delle risorse di aggiornare la descrizione e i parametri delle funzionalità all'interno dei gruppi di funzionalità condivisi, aggiornare la configurazione dei gruppi di funzionalità condivisi, oltre alle autorizzazioni di lettura/scrittura.
+ `DescribeFeatureMetadata`: mostra i metadati per una funzionalità all'interno di un gruppo di funzionalità
+ `UpdateFeatureGroup`: aggiorna la configurazione di un gruppo di funzionalità
+ `UpdateFeatureMetadata`: aggiorna la descrizione e i parametri di una funzionalità nel gruppo di funzionalità
+ APIs elencato in `AWSRAMPermissionSagemakerFeatureGroupReadWrite`
Nei seguenti argomenti puoi scoprire come condividere gruppi di funzionalità dell'archivio online e offline: ci sono differenze tra i due quando si tratta di condivisione.
**Topics**
+ [Condividi gruppi di funzionalità online con AWS Resource Access Manager](feature-store-cross-account-access-online-store.md)
+ [Accesso all'archivio offline multi-account](feature-store-cross-account-access-offline-store.md)
# Condividi gruppi di funzionalità online con AWS Resource Access Manager
Con AWS Resource Access Manager (AWS RAM) puoi condividere in modo sicuro i gruppi di SageMaker funzionalità online di Amazon Feature Store con altri Account AWS. I membri del team possono esplorare e accedere ai gruppi di funzionalità che si estendono su più account, promuovendo la coerenza dei dati, semplificando la collaborazione e riducendo la duplicazione degli sforzi.
L'account proprietario della risorsa può condividere risorse con altre persone Account AWS concedendo le autorizzazioni utilizzando. AWS RAM L'account consumatore di risorse è l'account Account AWS con cui viene condivisa una risorsa, limitato dalle autorizzazioni concesse dall'account del proprietario della risorsa. Se sei un'organizzazione, potresti voler sfruttare la possibilità di AWS Organizations condividere le risorse con singoli utenti Account AWS, con tutti gli account dell'organizzazione o in un'unità organizzativa (OU), senza dover applicare le autorizzazioni a ciascun account. Per video didattici e ulteriori informazioni su AWS RAM concetti e vantaggi, vedi [Cos'è? AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) nella Guida per l' AWS RAM utente.
Tieni presente che esiste un limite massimo flessibile alle transazioni al secondo (TPS) per API per Account AWS. Il limite TPS massimo si applica a *tutte* le transazioni sulle risorse all'interno dell'account proprietario delle risorse, pertanto anche le transazioni dagli account utilizzatori delle risorse vengono conteggiate ai fini di questo limite massimo. Per ulteriori informazioni sulle quote di servizio e su come richiedere un aumento delle quote, consulta [Quote di servizio AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Questa sezione illustra come l'account proprietario delle risorse può scegliere i gruppi di funzionalità e concedere privilegi di accesso (sola lettura, lettura-scrittura e admin) agli account utilizzatori delle risorse, e quindi come gli account utilizzatori delle risorse con privilegi di accesso possono utilizzare tali gruppi di funzionalità. Le autorizzazioni di accesso non consentono agli account utilizzatori delle risorse di cercare e reperire gruppi di funzionalità. Per consentire agli account utilizzatori delle risorse di cercare e reperire i gruppi di funzionalità dall'account proprietario delle risorse, l'account proprietario delle risorse deve concedere l'autorizzazione di reperibilità agli account utilizzatori delle risorse, per cui tutti i gruppi di funzionalità all'interno dell'account proprietario delle risorse sono reperibili dagli account utilizzatori delle risorse. Per ulteriori informazioni su come concedere l'autorizzazione di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
I seguenti argomenti mostrano come condividere le risorse del negozio online Feature Store utilizzando la AWS RAM console. Per informazioni sulla condivisione delle risorse e sulla concessione delle autorizzazioni all'interno della AWS AWS RAM console o AWS Command Line Interface (AWS CLI), consulta [Condivisione delle](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) risorse. AWS
**Topics**
+ [Condividi le entità del tuo gruppo di funzionalità](feature-store-cross-account-access-online-store-share-feature-group.md)
+ [Utilizza le risorse condivise dell'archivio online con autorizzazioni di accesso](feature-store-cross-account-access-online-store-use.md)
# Condividi le entità del tuo gruppo di funzionalità
In qualità di account proprietario della risorsa, puoi utilizzare il tipo di risorsa del gruppo di SageMaker funzionalità per Amazon Feature Store per condividere entità di gruppi di funzionalità, creando una condivisione di risorse in AWS Resource Access Manager (AWS RAM).
Utilizza le seguenti istruzioni insieme alle istruzioni per [la condivisione AWS delle risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) nella Guida per l' AWS RAM utente.
Quando si condivide il tipo di risorsa del gruppo di funzionalità utilizzando la AWS RAM console, è necessario effettuare le seguenti scelte.
1. **Specifica i dettagli della condivisione delle risorse**:
+ Tipo di risorsa: scegli **SageMaker AI Feature Groups**.
+ ARN: scegli l'ARN del gruppo di funzionalità con il formato: `arn:aws:sagemaker:us-east-1:111122223333:feature-group/your-feature-group-name`.
`us-east-1` è la Regione della risorsa, `111122223333` è l'ID dell'account proprietario della risorsa e `your-feature-group-name` è il gruppo di funzionalità che stai condividendo.
+ ID risorsa: scegli il gruppo di funzionalità, `your-feature-group-name`, a cui desideri concedere le autorizzazioni di accesso.
1. **Associa autorizzazioni gestite**:
+ Autorizzazione gestita: scegli l'autorizzazione di accesso. Per ulteriori informazioni sulle autorizzazioni di accesso, consultare [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md).
1. **Concedi l'accesso ai principali:**
+ Scegli il tipo di principale (Account AWS, organizzazione, unità organizzativa, ruolo IAM o utente IAM) e inserisci l'ID o l'ARN appropriato.
1. **Revisione e creazione**:
+ Revisiona, quindi seleziona **Crea condivisione risorse**.
La concessione di qualsiasi autorizzazione di accesso non concede agli utilizzatori delle risorse l'autorizzazione di reperibilità, quindi gli account utilizzatori delle risorse con autorizzazioni di accesso non possono cercare e reperire tali gruppi di funzionalità. Per consentire agli account utilizzatori delle risorse di cercare e reperire i gruppi di funzionalità dall'account proprietario delle risorse, l'account proprietario delle risorse deve concedere l'autorizzazione di reperibilità agli account utilizzatori delle risorse, per cui *tutti* i gruppi di funzionalità all'interno dell'account proprietario delle risorse sono reperibili dagli account utilizzatori delle risorse. Per ulteriori informazioni su come concedere l'autorizzazione di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
Se agli account utilizzatori delle risorse vengono concesse solo autorizzazioni di accesso, le entità del gruppo di funzionalità possono comunque essere visualizzate su AWS RAM. Per visualizzare le risorse su AWS RAM, consulta [Accedere alle AWS risorse condivise con te](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) nella Guida AWS RAM per l'utente.
Il completamento delle associazioni tra la condivisione di risorse e il principale o l'account utilizzatore delle risorse potrebbe richiedere alcuni minuti. Una volta impostate le associazioni tra la condivisione di risorse e il principale, gli account utilizzatori delle risorse specificati ricevono un invito a partecipare alla condivisione di risorse. Gli account consumer delle risorse possono visualizzare e accettare gli inviti aprendo la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console. Gli inviti non vengono inviati nei seguenti casi:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, i responsabili dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.
+ Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account avranno automaticamente accesso alle risorse condivise senza inviti.
Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse in AWS RAM, consulta [Utilizzo AWS delle risorse condivise nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html) per l' AWS RAM utente.
## Condividi i gruppi di funzionalità del negozio online utilizzando il AWS SDK per Python (Boto3)
Puoi usare il form AWS SDK per Python (Boto3) per AWS RAM APIs creare una condivisione di risorse. Il codice seguente è un esempio di un ID `111122223333` di account proprietario delle risorse che crea una condivisione di risorse denominata `'test-cross-account-fg'` e condivide il gruppo di funzionalità denominato `'my-feature-group'` con l'ID `444455556666` di account utilizzatore delle risorse, concedendo anche l'autorizzazione `AWSRAMPermissionSageMakerFeatureGroupReadOnly`. Per ulteriori informazioni sulle autorizzazioni di accesso, consultare [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md). Per utilizzare Python SDK per AWS RAM APIs, devi allegare una policy gestita ad accesso AWS RAM completo con il ruolo di esecuzione. Vedi l'API [create\$1resource\$1share](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html) AWS RAM per maggiori dettagli.
```
import boto3
# Choose feature group name
feature_group_name = 'my-feature-group' # Change to your feature group name
# Share 'my-feature-group' with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-fg', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:feature-group/' + feature_group_name, # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerFeatureGroupReadOnly"]
)
```
I principali sono attori di un sistema di sicurezza. In una policy basata sulle risorse, i principali consentiti sono utenti IAM, ruoli IAM, l'account root o un altro Servizio AWS.
# Utilizza le risorse condivise dell'archivio online con autorizzazioni di accesso
L'account proprietario delle risorse deve concedere le autorizzazioni agli account utilizzatori delle risorse per consentire i privilegi di reperibilità, sola lettura, lettura-scrittura o admin a una risorsa condivisa. Nelle sezioni seguenti, forniamo istruzioni su come accettare un invito ad accedere a risorse condivise e mostriamo esempi che illustrano come visualizzare e interagire con gruppi di funzionalità condivisi.
**Accetta un invito ad accedere a risorse condivise tramite AWS RAM**
In qualità di account utilizzatore delle risorse, riceverai un invito a partecipare a una condivisione di risorse dopo che l'account proprietario delle risorse avrà concesso l'autorizzazione. Per accettare l'invito a qualsiasi risorsa condivisa, apri la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console per visualizzare e rispondere agli inviti. Gli inviti non vengono inviati nei seguenti casi:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, i responsabili dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.
+ Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account avranno automaticamente accesso alle risorse condivise senza inviti.
Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse in AWS RAM, consulta [Utilizzo AWS delle risorse condivise nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html) per l' AWS RAM utente.
## Visualizza le risorse condivise sulla AWS RAM console
La concessione di qualsiasi autorizzazione di accesso non concede agli utilizzatori delle risorse l'autorizzazione di reperibilità, quindi gli account utilizzatori delle risorse con autorizzazioni di accesso non possono cercare e reperire tali gruppi di funzionalità. Per consentire agli account utilizzatori delle risorse di cercare e reperire i gruppi di funzionalità dall'account proprietario delle risorse, l'account proprietario delle risorse deve concedere l'autorizzazione di reperibilità agli account utilizzatori delle risorse, per cui tutti i gruppi di funzionalità all'interno dell'account proprietario delle risorse sono reperibili dagli account utilizzatori delle risorse. Per ulteriori informazioni su come concedere l'autorizzazione di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
Per visualizzare le risorse condivise sulla AWS RAM console, apri la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console.
## Azioni di lettura e scrittura con un esempio di gruppi di funzionalità condivisi
Dopo aver ottenuto sul tuo account utilizzatore delle risorse le autorizzazioni appropriate dall'account proprietario delle risorse, puoi eseguire azioni sulle risorse condivise utilizzando l'SDK dell'archivio funzionalità. È possibile fare ciò fornendo l'ARN della risorsa come `FeatureGroupName`. Per ottenere l'ARN del Feature Group, puoi utilizzare la AWS SDK per Python (Boto3) [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group)funzione o utilizzare l'interfaccia utente della console. Per informazioni sull’utilizzo dell’interfaccia utente della console per visualizzare i dettagli dei gruppi di funzionalità, consulta [Visualizzazione dei dettagli del gruppo di funzionalità dalla console](feature-store-use-with-studio.md#feature-store-view-feature-group-detail-studio).
I seguenti esempi utilizzano `PutRecord` e `GetRecord` con un'entità di gruppo di funzionalità condivisa. Consultate la sintassi di richiesta e risposta nella AWS SDK per Python (Boto3) documentazione di [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record)and. [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record)
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Put record into feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.put_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
Record=[value.to_dict() for value in record] # You will need to define record prior to calling PutRecord
)
```
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Choose record identifier
record_identifier_value = str(2990130)
# Get record from feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.get_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
RecordIdentifierValueAsString=record_identifier_value
)
```
Per ulteriori informazioni su come concedere autorizzazioni alle entità di gruppo di funzionalità, consulta [Condividi le entità del tuo gruppo di funzionalità](feature-store-cross-account-access-online-store-share-feature-group.md).
# Accesso all'archivio offline multi-account
Amazon SageMaker Feature Store consente agli utenti di creare un gruppo di funzionalità in un account (Account A) e configurarlo con un negozio offline utilizzando un bucket Amazon S3 in un altro account (Account B). Puoi configurare questa operazione completando le fasi riportate nella sezione seguente.
**Topics**
+ [Fase 1: configurazione del ruolo di accesso dell'archivio offline nell'Account A](#feature-store-setup-step1)
+ [Fase 2: configurazione di un bucket Amazon S3 dell'archivio offline nell'Account B](#feature-store-setup-step2)
+ [Passaggio 3: configura una chiave di AWS KMS crittografia per un negozio offline nell'Account A](#feature-store-setup-step3)
+ [Fase 4: creazione di un gruppo di funzionalità nell'account A](#feature-store-setup-step4)
## Fase 1: configurazione del ruolo di accesso dell'archivio offline nell'Account A
Innanzitutto, configura un ruolo per Amazon SageMaker Feature Store per scrivere i dati nell'archivio offline. Il modo più semplice per fare ciò è creare un nuovo ruolo utilizzando la policy `AmazonSageMakerFeatureStoreAccess` o utilizzare un ruolo esistente a cui è già collegata la policy `AmazonSageMakerFeatureStoreAccess`. Questo documento fa riferimento a questa policy come `Account-A-Offline-Feature-Store-Role-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
}
]
}
```
------
Il frammento di codice precedente mostra la policy `AmazonSageMakerFeatureStoreAccess`. Per impostazione predefinita, la sezione `Resource` della policy è limitata ai bucket S3 con nomi che contengono `SageMaker`, `Sagemaker`, o `sagemaker`. Ciò significa che il bucket Amazon S3 dell'archivio offline utilizzato deve seguire questa convenzione di denominazione. Se questo non è il tuo caso, o se desideri limitare ulteriormente la risorsa, puoi copiare e incollare la policy nella tua policy del bucket Amazon S3 nella console, personalizzare la sezione `Resource` inserendo `arn:aws:s3:::your-offline-store-bucket-name` e quindi collegarla al ruolo.
Inoltre, a questo ruolo devono essere associate AWS KMS delle autorizzazioni. Richiede almeno l'autorizzazione `kms:GenerateDataKey` per poter scrivere nell'archivio offline utilizzando la chiave gestita dal cliente. Consulta la fase 3 per scoprire perché è necessaria una chiave gestita dal cliente per lo scenario multi-account e come configurarla. L'esempio seguente mostra una policy inline:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
La sezione `Resource` di questa policy si applica a qualsiasi chiave dell'Account A. Per limitarla ulteriormente, dopo aver configurato la chiave KMS dell'archivio offline nella fase 3, torna a questa policy e sostituiscila con l'ARN della chiave.
## Fase 2: configurazione di un bucket Amazon S3 dell'archivio offline nell'Account B
Crea un bucket Amazon S3 nell'Account B. Se utilizzi la policy `AmazonSageMakerFeatureStoreAccess` predefinita, il nome del bucket deve includere `SageMaker`, `Sagemaker` o `sagemaker`. Modifica la policy del bucket come mostrato nell'esempio seguente per consentire all'Account A di leggere e scrivere oggetti.
Questo documento si riferisce al seguente esempio di policy del bucket come `Account-B-Offline-Feature-Store-Bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CrossAccountBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl"
],
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN"
]
},
"Resource": [
"arn:aws:s3:::offline-store-bucket-name/*",
"arn:aws:s3:::offline-store-bucket-name"
]
}
]
}
```
------
Nella politica precedente, il principale è `Account-A-Offline-Feature-Store-Role-ARN` il ruolo creato nell'Account A nella fase 1 e fornito ad Amazon SageMaker Feature Store per scrivere nello store offline. È possibile fornire più ruoli ARN alla voce `Principal`.
## Passaggio 3: configura una chiave di AWS KMS crittografia per un negozio offline nell'Account A
Amazon SageMaker Feature Store garantisce che la crittografia lato server sia sempre abilitata per gli oggetti Amazon S3 nello store offline. Per casi d'uso multi-account, è necessario fornire una chiave gestita dal cliente in modo da avere il controllo su chi può scrivere nell'archivio offline (in questo caso, `Account-A-Offline-Feature-Store-Role-ARN` dall'account A) e chi può leggere dall'archivio offline (in questo caso, le identità dall'account B).
Questo documento si riferisce al seguente esempio di policy della chiave come `Account-A-Offline-Feature-Store-KMS-Key-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow Feature Store to get information about the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## Fase 4: creazione di un gruppo di funzionalità nell'account A
Quindi, crea il gruppo di funzionalità nell'Account A, con un bucket Amazon S3 dell'archivio offline nell'Account B. A tale scopo, fornisci i seguenti parametri per `RoleArn`, `OfflineStoreConfig.S3StorageConfig.KmsKeyId` e `OfflineStoreConfig.S3StorageConfig.S3Uri`, rispettivamente:
+ Fornisci `Account-A-Offline-Feature-Store-Role-ARN` come `RoleArn`.
+ Fornisci `Account-A-Offline-Feature-Store-KMS-Key-ARN` per `OfflineStoreConfig.S3StorageConfig.KmsKeyId`.
+ Fornisci `Account-B-Offline-Feature-Store-Bucket` per `OfflineStoreConfig.S3StorageConfig.S3Uri`.