本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 Pipelines 设置跨账户支持
Amazon Pipel SageMaker ines 的跨账户支持使您能够与使用不同 AWS 账户运营的其他团队或组织在机器学习管道上进行协作。通过设置跨账户管道共享,您可以对管道授予受控访问权限,允许其他账户查看管道详情、触发执行和监控运行。以下主题介绍如何设置跨账户管道共享、共享资源可用的不同权限策略,以及如何通过对 SageMaker AI 的直接 API 调用来访问共享管道实体并与之交互。
## 设置跨账户管道共享
SageMaker AI 使用 R [es AWS ource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) (AWS RAM) 来帮助你安全地跨账户共享管道实体。
### 创建资源共享
1. 通过 [AWS RAM 控制台](https://console.aws.amazon.com/ram/home)选择**创建资源共享**。
1. 指定资源共享详细信息时,请选择管道资源类型,并选择要共享的一个或多个管道。当您与任何其他账户共享管道时,其所有执行也会被隐式共享。
1. 将权限与资源共享关联。选择默认只读权限策略或扩展的管道执行权限策略。有关更多详细信息,请参阅 [Pipelines 资源的权限策略](#build-and-manage-xaccount-permissions)。
**注意**
如果您选择扩展管道执行策略,请注意共享账户调用的任何启动、停止和重试命令都使用共享管道的 AWS 账户中的资源。
1. 使用 AWS 账户指定 IDs 要向其授予共享资源访问权限的账户。
1. 查看您的资源共享配置,然后选择**创建资源共享**。可能需要几分钟时间来完成资源共享和主体关联。
有关更多信息,请参阅《AWS Resource Access Manager 用户指南》**中的[共享 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。
### 获取对资源共享邀请的回复
设置资源共享和主体关联后,指定的 AWS 账户会收到加入资源共享的邀请。 AWS 账户必须接受邀请才能访问任何共享资源。
有关通过接受资源共享邀请的更多信息 AWS RAM,请参阅 [Resource Acc *ess Manager 用户指南*中的使用共享 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)。AWS
## Pipelines 资源的权限策略
创建资源共享时,请选择两个支持的权限策略之一,将其与 SageMaker AI 管道资源类型相关联。这两个策略都授予对任何选定管道及其所有执行的访问权限。
### 默认只读权限
`AWSRAMDefaultPermissionSageMakerPipeline` 策略允许执行以下只读操作:
```
"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"
```
### 扩展的管道执行权限
`AWSRAMPermissionSageMakerPipelineAllowExecution` 策略包括默认策略中的所有只读权限,还允许共享账户启动、停止和重试管道执行。
**注意**
使用扩展管道执行权限策略时,请注意 AWS 资源使用情况。使用此策略时,允许共享账户启动、停止和重试管道执行。用于共享管道执行的所有资源均由拥有者账户使用。
扩展的管道执行权限策略允许执行以下操作:
```
"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"
```
## 通过直接 API 调用访问共享管道实体
跨账户渠道共享设置完成后,您可以使用管道 ARN 调用以下 SageMaker API 操作:
**注意**
只有当 API 命令包含在与资源共享关联的权限中时,才能调用这些命令。如果您选择`AWSRAMPermissionSageMakerPipelineAllowExecution`策略,则启动、停止和重试命令将使用共享管道的 AWS 账户中的资源。
+ [DescribePipeline](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html)
+ [DescribePipelineDefinitionForExecution](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html)
+ [DescribePipelineExecution](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html)
+ [ListPipelineExecutions](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html)
+ [ListPipelineExecutionSteps](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html)
+ [ListPipelineParametersForExecution](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html)
+ [StartPipelineExecution](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html)
+ [StopPipelineExecution](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html)
+ [RetryPipelineExecution](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html)