本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 跟踪跨账户脉络
<a name="xaccount-lineage-tracking"></a>

Amazon SageMaker AI 支持跟踪来自不同 AWS 账户的血统实体。其他 AWS 账户可以与你共享他们的血统实体，你可以通过直接的 API 调用或 SageMaker AI 血统查询来访问这些血统实体。

SageMaker AI [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)用来帮助您安全地共享血统资源。您可以通过 [AWS RAM 控制台](https://console.aws.amazon.com/ram/home)共享资源。



## 设置跨账户世系跟踪
<a name="setup-xaccount-lineage-tracking"></a>

您可以[世系跟踪实体](lineage-tracking-entities.md)通过 Amazon A SageMaker I 中的血统群组对自己的血统进行分组和共享。 SageMaker AI 仅支持每个账户一个默认血统组。 SageMaker 每当在您的账户中创建血统实体时，AI 都会创建默认血统组。您的账户拥有的每个世系实体都将分配给此默认世系组。要与其他账户共享世系实体，您需要与该账户共享此默认世系组。

**注意**  
您可以共享世系组中的所有世系跟踪实体，也可以不共享任何世系跟踪实体。

使用 AWS Resource Access Manager 控制台为您的世系实体创建资源共享。有关更多信息，请参阅《AWS Resource Access Manager 用户指南》**中的[共享您的 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)。

**注意**  
创建资源共享后，可能需要花几分钟时间，才能完成资源和主体关联。设置关联后，共享账户将收到加入资源共享的邀请。共享账户必须接受邀请才能访问共享资源。有关接受资源共享邀请的更多信息 AWS RAM，请参阅 [Resource Acc *ess Manager 用户指南*中的使用共享 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)。AWS 

### 您的跨账户世系跟踪资源策略
<a name="setup-xaccount-lineage-tracking-resource-policy"></a>

Amazon SageMaker AI 仅支持一种类型的资源策略。A SageMaker I 资源策略必须允许以下所有操作：

```
"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
```

**Example 以下是使用创建的 SageMaker AI 资源策略， AWS Resource Access Manager 用于为账户世系组创建资源共享。**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group"
    }
  ]
}
```

## 跟踪跨账户世系实体
<a name="tracking-lineage-xaccount"></a>

通过跨账户世系跟踪，您可以使用相同的 `AddAssociation` API 操作关联不同账户中的世系实体。当你关联两个世系实体时， SageMaker AI 会验证你是否有权对两个世系实体执行 `AddAssociation` API 操作。 SageMaker 然后，人工智能建立了该协会。如果您没有权限， SageMaker AI *不会*创建关联。建立跨账户关联后，您可以通过 `QueryLineage` API 操作从其他账户访问任一世系实体。有关更多信息，请参阅 [查询世系实体](querying-lineage-entities.md)。

除了 SageMaker AI 自动创建世系实体外，如果您拥有跨账户访问权限， SageMaker AI 还会连接引用相同对象或数据的工件。如果不同账户使用来自一个账户的数据进行血统跟踪， SageMaker AI 会在每个账户中创建一个工件来跟踪该数据。在跨账户血统中，每当 SageMaker AI 创建新工件时， SageMaker AI 都会检查是否还有其他针对相同数据创建的工件也与您共享。 SageMaker 然后，AI 在新创建的工件和与你共享的每个工件之间建立关联，`AssociationType`设置为`SameAs`。然后，您可以使用 `[QueryLineage](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_QueryLineage.html)` API 操作遍历您自己账户中的世系实体，找到与您共享但由其他 AWS 账户拥有的世系实体。有关更多信息，请参阅 [查询世系实体](querying-lineage-entities.md)。

**Topics**
+ [访问不同账户中的世系资源](#tracking-lineage-xaccount-accessing-resources)
+ [查询跨账户世系实体的授权](#tracking-lineage-xaccount-authorization)

### 访问不同账户中的世系资源
<a name="tracking-lineage-xaccount-accessing-resources"></a>

设置共享血统的跨账户访问权限后，您可以直接使用 ARN 调用以下 SageMaker API 操作来描述来自其他账户的共享血统实体：
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAction.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAction.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeArtifact.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeArtifact.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeContext.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeContext.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrialComponent.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrialComponent.html)

您还可以使用以下 SageMaker API 操作管理与您共享的不同账户所拥有的世系实体的[关联](https://docs.aws.amazon.com/sagemaker/latest/dg/lineage-tracking-entities.html)：
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddAssociation.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddAssociation.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAssociation.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAssociation.html)

[有关演示如何使用 SageMaker AI Lineage 跨账户查询血统的笔记本。 APIs ，请参阅 sagemaker-lineage-cross-account-with-ram.ipynb。](https://github.com/aws/amazon-sagemaker-examples/blob/master/sagemaker-lineage/sagemaker-lineage-cross-account-with-ram.ipynb)

### 查询跨账户世系实体的授权
<a name="tracking-lineage-xaccount-authorization"></a>

Amazon SageMaker AI 必须验证您是否有权在上执行 `QueryLineage` API 操作`StartArns`。这是通过附加到 `LineageGroup` 的资源策略强制执行的。此操作的结果包括您有权访问的所有世系实体，无论这些实体归您的账户所有还是由其他账户共享。有关更多信息，请参阅 [查询世系实体](querying-lineage-entities.md)。