本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定合作夥伴 AI 應用程式
下列主題描述開始使用 Amazon SageMaker 合作夥伴 AI 應用程式所需的許可。所需的許可分為兩個部分,取決於使用者許可層級:
+ **管理許可** – 管理員設定資料科學家和機器學習 (ML) 開發人員環境的許可。
+ AWS Marketplace
+ 合作夥伴 AI 應用程式管理
+ AWS License Manager
+ **使用者許可** – 資料科學家和機器學習開發人員的許可。
+ 使用者授權
+ 身分傳播
+ SDK 存取
## 先決條件
管理員可以完成下列先決條件,以設定合作夥伴 AI 應用程式。
+ (選用) 加入 SageMaker AI 網域。您可以直接從 SageMaker AI 網域存取合作夥伴 AI 應用程式。如需詳細資訊,請參閱[Amazon SageMaker AI 網域概觀](gs-studio-onboard.md)。
+ 如果在僅限 VPC 模式下的 SageMaker AI 網域中使用合作夥伴 AI 應用程式,管理員必須使用下列格式建立端點,才能連線至合作夥伴 AI 應用程式。如需在僅限 VPC 模式下使用 Studio 的詳細資訊,請參閱[將 VPC 中的 Amazon SageMaker Studio 筆記本連線至外部資源](studio-updated-and-internet-access.md)。
```
aws.sagemaker.region.partner-app
```
+ (選用) 如果管理員使用 與網域互動 AWS CLI,他們也必須完成下列先決條件。
1. AWS CLI 依照[安裝目前 AWS CLI 版本](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv1.html#install-tool-bundled)中的步驟更新 。
1. 從您的本機電腦中,執行 `aws configure` 並提供 AWS 憑證。如需 AWS 登入資料的資訊,請參閱[了解並取得您的 AWS 登入](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)資料。
## 管理許可
管理員必須新增下列許可,才能在 SageMaker AI 中啟用合作夥伴 AI 應用程式。
+ 完成合作夥伴 AI 應用程式 AWS Marketplace 訂閱的許可
+ 設定合作夥伴 AI 應用程式執行角色
### AWS Marketplace 合作夥伴 AI 應用程式的訂閱
管理員必須完成下列步驟,才能新增 的許可 AWS Marketplace。如需使用 的詳細資訊 AWS Marketplace,請參閱[使用 以買方身分開始 AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-getting-started.html)。
1. 授予 的許可 AWS Marketplace。合作夥伴 AI 應用程式管理員需要這些許可,才能從中購買合作夥伴 AI 應用程式的訂閱 AWS Marketplace。若要存取AWS Marketplace,管理員必須將 `AWSMarketplaceManageSubscriptions` 受管政策連接至他們用來存取 SageMaker AI 主控台和購買應用程式的 IAM 角色。如需 受管 `AWSMarketplaceManageSubscriptions`政策的詳細資訊,請參閱[AWS 適用於 AWS Marketplace 買方的 受管政策](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)。如需連接受管政策的相關資訊,請參閱[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
1. 授予 SageMaker AI 使用其他 AWS 服務代表管理員執行操作的許可。管理員必須授予 SageMaker AI 許可,才能使用這些服務及其所處理的資源。下列政策定義示範如何授予所需的合作夥伴 AI 應用程式許可。除了管理員角色的現有許可之外,還需要這些許可。如需詳細資訊,請參閱[如何使用 SageMaker AI 執行角色](sagemaker-roles.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerApp",
"sagemaker:DeletePartnerApp",
"sagemaker:UpdatePartnerApp",
"sagemaker:DescribePartnerApp",
"sagemaker:ListPartnerApps",
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:CreatePartnerApp",
"sagemaker:AddTags",
"sagemaker:ListTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### 設定合作夥伴 AI 應用程式執行角色
1. 合作夥伴 AI 應用程式需要執行角色,才能與 AWS 帳戶中的資源互動。管理員可以使用 AWS CLI建立此執行角色。合作夥伴 AI 應用程式使用此角色,來完成與合作夥伴 AI 應用程式功能相關的動作。
```
aws iam create-role --role-name PartnerAiAppExecutionRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. 遵循為 License Manager 建立 AWS License Manager 服務連結角色中的步驟來建立服務連結角色。 [https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html#create-slr-core](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager-role-core.html#create-slr-core)
1. 授予許可,讓合作夥伴 AI 應用程式可以使用 AWS CLI存取 License Manager。需要這些許可才能存取合作夥伴 AI 應用程式的授權。這可讓合作夥伴 AI 應用程式驗證對合作夥伴 AI 應用程式授權的存取。
```
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name LicenseManagerPolicy --policy-document '{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"license-manager:CheckoutLicense",
"license-manager:CheckInLicense",
"license-manager:ExtendLicenseConsumption",
"license-manager:GetLicense",
"license-manager:GetLicenseUsage"
],
"Resource": "*"
}
}'
```
1. 如果合作夥伴 AI 應用程式需要存取 Amazon S3 儲存貯體,請將 Amazon S3 許可新增至執行角色。如需詳細資訊,請參閱 [Amazon S3 API 操作的必要許可](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)。
### 設定 Amazon Bedrock 整合
Deepchecks 等合作夥伴 AI 應用程式支援與 Amazon Bedrock 整合,以啟用 LLM 型評估功能。使用 Amazon Bedrock 支援設定合作夥伴 AI 應用程式時,管理員可以指定可在應用程式中使用的基礎模型和推論設定檔。如果您需要提高 Amazon Bedrock 模型的配額限制,請參閱[請求提高 Amazon Bedrock 配額](https://docs.aws.amazon.com/bedrock/latest/userguide/quotas-increase.html)。
1. 確保合作夥伴 AI 應用程式執行角色具有必要的 Amazon Bedrock 許可。新增下列許可以啟用 Amazon Bedrock 模型存取:
```
aws iam put-role-policy --role-name PartnerAiAppExecutionRole --policy-name BedrockInferencePolicy --policy-document '{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetFoundationModel",
"bedrock:GetInferenceProfile"
],
"Resource": "*"
}
}'
```
1. 識別您的組織想要提供給合作夥伴 AI 應用程式的 Amazon Bedrock 模型。您可以使用 Amazon Bedrock 主控台檢視區域中可用的模型。如需跨區域模型可用性的相關資訊,請參閱[模型支援依據 AWS 區域](https://docs.aws.amazon.com/bedrock/latest/userguide/models-regions.html)。
1. (選用) 建立客戶管理的推論設定檔,以進行成本追蹤和模型管理。推論設定檔可讓您追蹤專門針對合作夥伴 AI 應用程式的 Amazon Bedrock 用量,並在目前區域中無法使用模型時啟用跨區域推論。如需詳細資訊,請參閱[在 Amazon Bedrock 中使用推論設定檔](https://docs.aws.amazon.com/bedrock/latest/userguide/inference-profiles.html)。
1. 建立或更新合作夥伴 AI 應用程式時,請使用 `CreatePartnerApp`或 `UpdatePartnerApp` API 指定允許的模型和推論設定檔。合作夥伴 AI 應用程式只能存取您明確設定的模型和推論設定檔。
**重要**
透過合作夥伴 AI 應用程式的 Amazon Bedrock 用量會使用 AWS 帳戶 您現有的 Amazon Bedrock 定價,直接向您的 計費。合作夥伴 AI 應用程式基礎設施成本與 Amazon Bedrock 模型推論成本不同。
#### Deepchecks Amazon Bedrock 整合
Deepchecks 支援 LLM 型評估功能的 Amazon Bedrock 整合,包括:
+ *LLM 做為判斷評估* - 使用基礎模型自動評估模型輸出的品質、相關性和其他條件
+ *自動化註釋* - 使用基礎模型產生資料集的標籤和註釋
+ *內容分析* - 使用 LLM 功能分析文字資料中的偏差、毒性和其他品質指標
如需 Deepchecks Amazon Bedrock 功能和組態的詳細資訊,請參閱應用程式中的 Deepchecks 文件。
## 使用者許可
在管理員完成了管理許可設定之後,他們必須確定使用者擁有存取合作夥伴 AI 應用程式所需的許可。
1. 授予 SageMaker AI 使用其他 AWS 服務代表您執行操作的許可。管理員必須授予 SageMaker AI 許可,才能使用這些服務及其所處理的資源。管理員會使用 IAM 執行角色授予 SageMaker AI 這些許可。如需 IAM 角色的詳細資訊,請參閱 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。下列政策定義示範如何授予所需的合作夥伴 AI 應用程式許可。此政策可以新增至使用者設定檔的執行角色。 如需詳細資訊,請參閱[如何使用 SageMaker AI 執行角色](sagemaker-roles.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribePartnerApp",
"sagemaker:ListPartnerApps",
"sagemaker:CreatePartnerAppPresignedUrl"
],
"Resource": "arn:aws:sagemaker:*:*:partner-app/app-*"
}
]
}
```
------
1. (選用) 如果從 Studio 啟動合作夥伴 AI 應用程式,請將 `sts:TagSession` 信任政策新增至用來直接啟動 Studio 或合作夥伴 AI 應用程式的角色,如下所示。這確保身分可以正確傳播。
```
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
```
1. (選用) 如果使用合作夥伴 AI 應用程式的 SDK 存取 SageMaker AI 中的功能,請將下列 `CallPartnerAppApi` 許可新增至用來執行 SDK 程式碼的角色。如果從 Studio 執行 SDK 程式碼,請將許可新增至 Studio 執行角色。如果從 Studio 以外的任何位置執行程式碼,請將許可新增至與筆記本搭配使用的 IAM 角色。這可讓使用者從合作夥伴 AI 應用程式的 SDK 存取合作夥伴 AI 應用程式功能。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"sagemaker:CallPartnerAppApi"
],
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:partner-app/app"
]
}
]
}
```
------
### 管理使用者授權和驗證
若要將合作夥伴 AI 應用程式的存取權提供給其團隊成員,管理員必須確保其使用者的身分傳播至合作夥伴 AI 應用程式。此傳播確保使用者可以正確存取合作夥伴 AI 應用程式的 UI,並執行授權的合作夥伴 AI 應用程式動作。
合作夥伴 AI 應用程式支援下列身分來源:
+ AWS IAM Identity Center
+ 外部身分提供者 (IdP)
+ IAM 工作階段型身分
下列各節提供合作夥伴 AI 應用程式支援的身分來源相關資訊,以及與該身分來源相關的重要詳細資訊。
#### IAM Identity Center
如果使用者使用 IAM Identity Center 向 Studio 進行驗證,並從 Studio 啟動應用程式,IAM Identity Center `UserName` 會自動以合作夥伴 AI 應用程式的使用者身分傳播。如果使用者直接使用 `CreatePartnerAppPresignedUrl` API 啟動合作夥伴 AI 應用程式,則不是這種情況。
#### 外部身分提供者 (IdP)
如果使用 SAML AWS 帳戶 進行聯合,管理員有兩個選項可轉移 IdP 身分,做為合作夥伴 AI 應用程式的使用者身分。如需設定 AWS 帳戶 聯合的相關資訊,請參閱 [如何為 AWS 帳戶 聯合設定 SAML 2.0](https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-Web-Service)。
+ **主體標籤** – 管理員可以設定 IdP 特定的 IAM Identity Center 應用程式,使用具有下列`Name`屬性的工作階段從登陸 AWS 工作階段 `PrincipalTag`傳遞身分資訊。使用 SAML 時,登陸角色工作階段會使用 IAM 角色。若要使用 `PrincipalTag`,管理員必須將 `sts:TagSession` 許可新增至此登陸角色,以及 Studio 執行角色。如需 `PrincipalTag` 的詳細資訊,請參閱[為驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-tags)。
```
https://aws.amazon.com/SAML/Attributes/PrincipalTag:SageMakerPartnerAppUser
```
+ **登陸工作階段名稱** – 管理員可以傳播登陸工作階段名稱,做為合作夥伴 AI 應用程式的身分。若要這樣做,他們必須為每個合作夥伴 AI 應用程式設定 `EnableIamSessionBasedIdentity` 選擇加入旗標。如需詳細資訊,請參閱[`EnableIamSessionBasedIdentity`](#partner-app-onboard-user-iam-session)。
#### IAM 工作階段型身分
**重要**
我們不建議將此方法用於生產帳戶。對於生產帳戶,請使用身分提供者以提高安全性。
使用 IAM 工作階段型身分時,SageMaker AI 支援下列選項進行身分傳播。除了搭配 使用工作階段標籤之外,所有選項 AWS STS都需要為每個應用程式設定 `EnableIamSessionBasedIdentity`選擇加入旗標。如需詳細資訊,請參閱[`EnableIamSessionBasedIdentity`](#partner-app-onboard-user-iam-session)。
傳播身分時,SageMaker AI 會驗證是否正在使用 AWS STS 工作階段標籤。如果未使用,則 SageMaker AI 會傳播 IAM 使用者名稱或 AWS STS 工作階段名稱。
+ **AWS STS 工作階段標籤** – 管理員可以設定啟動器 IAM `SageMakerPartnerAppUser`工作階段的工作階段標籤。當管理員使用 SageMaker AI 主控台或 啟動 合作夥伴 AI 應用程式時 AWS CLI, `SageMakerPartnerAppUser`工作階段標籤會自動傳遞為 合作夥伴 AI 應用程式的使用者身分。下列範例展示如何使用 AWS CLI設定 `SageMakerPartnerAppUser` 工作階段標籤。金鑰的值會新增為主體標籤。
```
aws sts assume-role \
--role-arn arn:aws:iam::account:role/iam-role-used-to-launch-partner-ai-app \
--role-session-name session_name \
--tags Key=SageMakerPartnerAppUser,Value=user-name
```
讓使用者可以使用 `CreatePartnerAppPresignedUrl` 存取合作夥伴 AI 應用程式時,我們建議驗證 `SageMakerPartnerAppUser` 金鑰的值。這有助於防止意外存取合作夥伴 AI 應用程式資源。下列信任政策會驗證工作階段標籤是否完全符合相關聯的 IAM 使用者。管理員可以為此目的使用任何主體標籤。它應該在啟動 Studio 或合作夥伴 AI 應用程式的角色上設定。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RoleTrustPolicyRequireUsernameForSessionName",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Condition": {
"StringLike": {
"aws:RequestTag/SageMakerPartnerAppUser": "prefix${aws:username}"
}
}
}
]
}
```
------
+ **已驗證的 IAM 使用者** – 使用者的使用者名稱會自動以合作夥伴 AI 應用程式使用者傳播。
+ **AWS STS 工作階段名稱** – 如果使用 時未設定`SageMakerPartnerAppUser`工作階段標籤 AWS STS,SageMaker AI 會在使用者啟動 合作夥伴 AI 應用程式時傳回錯誤。若要避免此錯誤,管理員必須為每個合作夥伴 AI 應用程式設定 `EnableIamSessionBasedIdentity` 選擇加入旗標。如需詳細資訊,請參閱[`EnableIamSessionBasedIdentity`](#partner-app-onboard-user-iam-session)。
啟用 `EnableIamSessionBasedIdentity` 選擇加入旗標時,請使用 [IAM 角色信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_rolesessionname)來確保 IAM 工作階段名稱是 IAM 使用者名稱或包含該使用者名稱。這確保使用者不會透過模擬其他使用者來取得存取權。下列信任政策會驗證工作階段名稱是否完全符合相關聯的 IAM 使用者。管理員可以為此目的使用任何主體標籤。它應該在啟動 Studio 或合作夥伴 AI 應用程式的角色上設定。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RoleTrustPolicyRequireUsernameForSessionName",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:username}"
}
}
}
]
}
```
------
管理員也必須將 `sts:TagSession` 信任政策新增至啟動 Studio 或合作夥伴 AI 應用程式的角色。這確保身分可以正確傳播。
```
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
```
設定登入資料後,管理員可以分別 AWS CLI 使用 或 `CreatePartnerAppPresignedUrl` API 呼叫,授予使用者從 存取 Studio `CreatePresignedDomainUrl`或 Partner AI 應用程式的權限。
使用者也可以從 SageMaker AI 主控台啟動 Studio,並從 Studio 啟動合作夥伴 AI 應用程式。
### `EnableIamSessionBasedIdentity`
`EnableIamSessionBasedIdentity` 是選擇加入旗標。設定 `EnableIamSessionBasedIdentity` 旗標時,SageMaker AI 會以合作夥伴 AI 應用程式使用者身分傳遞 IAM 工作階段資訊。如需 AWS STS 工作階段的詳細資訊,請參閱[搭配 AWS 資源使用臨時登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)資料。
### 存取控制
若要控制對合作夥伴 AI 應用程式的存取,請使用連接到使用者設定檔執行角色的 IAM 政策。若要直接從 Studio 或使用 啟動 合作夥伴 AI 應用程式 AWS CLI,使用者設定檔的執行角色必須具有授予 API `CreatePartnerAppPresignedUrl`許可的政策。從使用者設定檔的執行角色移除此許可,以確保其無法啟動合作夥伴 AI 應用程式。
### 根管理員使用者
Comet 和 Fiddler 合作夥伴 AI 應用程式至少需要一個根管理員使用者。根管理員使用者具有新增一般使用者和管理員使用者並管理資源的許可。以根管理員使用者身分提供的使用者名稱必須與來自身分來源的使用者名稱一致。
雖然根管理員使用者持續存在於 SageMaker AI,但一般管理員使用者不會持續存在,而且僅存在於合作夥伴 AI 應用程式內,直到合作夥伴 AI 應用程式終止為止。
管理員可以使用 `UpdatePartnerApp` API 呼叫更新根管理員使用者。根管理員使用者更新時,根管理員使用者的更新清單會傳遞至合作夥伴 AI 應用程式。合作夥伴 AI 應用程式確保清單中的所有使用者名稱都獲授予根管理員權限。如果根管理員使用者已從清單中移除,使用者仍會保留一般管理員許可,直到:
+ 使用者從應用程式中移除。
+ 另一個管理員使用者撤銷使用者的管理員許可。
**注意**
Fiddler 不支援更新管理員使用者。僅 Comet 支援根管理員使用者的更新。
若要刪除根管理員使用者,您必須先使用 `UpdatePartnerApp` API 更新根管理員使用者的清單。然後,透過合作夥伴 AI 應用程式的 UI 移除或撤銷管理員許可。
如果您從合作夥伴 AI 應用程式的 UI 中移除根管理員使用者,但未使用 `UpdatePartnerApp` API 更新根管理員使用者的清單,則變更是暫時的。當 SageMaker AI 傳送下一個合作夥伴 AI 應用程式更新請求時,SageMaker AI 會將仍包含使用者的根管理員清單傳送至合作夥伴 AI 應用程式。這會覆寫從合作夥伴 AI 應用程式 UI 完成的刪除。