亚马逊AWS官方博客

适用于 Amazon SageMaker 的新机器学习管理工具 —— 简化访问控制并提高机器学习项目的透明度

随着公司越来越多地在业务应用程序中采用机器学习 (ML),他们正在寻找通过简化访问控制和增强机器学习生命周期中的可见性来改善机器学习项目的治理方法。在这项工作中,常见的挑战是在不同的群组和机器学习活动中管理正确的用户权限。例如,团队中负责构建和训练模型的数据科学家需要的权限与管理 ML 管道的 MLOPS 工程师权限不同。另一个挑战是提高机器学习项目的可见性。例如,模型信息,预期用途、范围外用例、风险评级和评估结果,通常通过电子邮件或文档捕获和共享。此外,通常没有简单的机制来监控和报告已部署的模型行为。

因此,我很高兴地宣布推出一套适用于 Amazon SageMaker 的机器学习管理新工具

作为 ML 系统或平台管理员,您现在可以使用 Amazon SageMaker Role Manager 在几分钟内为 SageMaker 用户定义自定义权限,这样您可以更快地加入用户。作为机器学习从业人员、企业主或模型风险与合规官员,您现在可以使用 Amazon SageMaker Model Cards 记录从构思到部署的模型信息,并使用 Amazon SageMaker Model Dashboard 通过统一的仪表板监控所有已部署的模型。

让我们深入了解每种工具,介绍入门知识。

Amazon SageMaker Role Manager 介绍
采用 SageMaker Role Manager,您可以在几分钟内为 SageMaker 用户定义自定义权限。它为不同的角色和机器学习活动提供了一组预定义的策略模板。角色代表需要权限才能在 SageMaker 中执行 ML 活动的不同类型的用户,例如数据科学家或 MLOPS 工程师。机器学习活动是完成常见 ML 任务的一组权限,例如运行 SageMaker Studio 应用程序或管理实验、模型或管道。您还可以定义其他角色、添加 ML 活动和托管策略来满足您的特定需求。选择角色类型和机器学习活动集后,SageMaker Role Manager 会自动创建所需的 AWS Identity and Access Management (IAM) 角色和策略,您可以将其分配给 SageMaker 用户。

SageMaker 和 IAM 角色入门
角色是一种有权使用 AWS 服务执行操作的 IAM 身份。用户通过身份提供者(IdP)的联合身份验证或 AWS 管理控制台担任的用户角色,除此之外,Amazon SageMaker 还需要服务角色(也称为执行角色)来代表用户执行操作。SageMaker Role Manager 可帮助您创建以下服务角色:

  • SageMaker Compute Role ——让 SageMaker 计算资源能够执行训练和推理等任务,通常通过 PassRole 使用这些任务。您可以在 SageMaker Role Manager 中选择 SageMaker Compute Role 角色来创建这个角色。根据在 SageMaker 服务角色中选择的 ML 活动,您需要先创建此计算角色。
  • SageMaker Service Role—— 一些 AWS 服务,包括 SageMaker,需要服务角色才能代表您执行操作。您可以在 SageMaker Role Manager 中选择 Data Scientist(数据科学家)、MLOPCustom (自定义)角色,开始为 ML 从业人员创建具有自定义权限的服务角色。

现在,让我向你展示这在实践中是如何运作的。

有两种方法可以进入 SageMaker Role Manager,可以通过 SageMaker 控制台中的入门进入,也可以在 SageMaker Studio 域控制面板中选择 Add user(添加用户)进入。

我从 SageMaker 控制台开始。在 Configure role(配置角色)下,选择 Create a role(创建角色)。这会打开一个工作流程,指导您完成所有必需的步骤。

Amazon SageMaker Admin Hub ——入门

假设我想为我的数据科学家团队创建一个具有一组特定权限的 SageMaker 服务角色。在步骤 1 中,我为 Data Scientist(数据科学家)角色选择了预定义的策略模板。

Amazon SageMaker Role Manager ——选择角色

我还可以在此步骤中通过选择 Amazon Virtual Private Cloud (Amazon VPC) 子网、安全组和加密密钥来定义网络和加密设置。

在步骤 2 中,我选择团队中的数据科学家需要执行的机器学习活动。

Amazon SageMaker Admin Hub——配置机器学习活动

某些选定的 ML 活动可能需要您指定 SageMaker Compute Role 的 Amazon 资源名称 (ARN),让 SageMaker 计算资源能够执行任务。

在步骤 3 中,您可以附加其他 IAM 策略,在需要时向角色添加标签。标签可帮助您识别和整理 AWS 资源。您可以使用标签向角色添加项目名称、成本中心或位置信息之类的属性。对步骤 4 中的设置进行最终审查后,选择 Submit(提交),即可创建角色。

在短短几分钟内,我设置了一个 SageMaker 服务角色,现在我已经准备好在 SageMaker 中加入数据科学家并设置了自定义权限。

Amazon SageMaker Model Cards 介绍
SageMaker Model Cards 通过为模型信息创建单一事实来源,帮助您简化整个 ML 生命周期中的模型文档。对于在 SageMaker 上训练的模型,SageMaker Model Cards 会发现并自动填充训练作业、训练数据集、模型构件和推理环境等细节。您还可以记录模型的详细信息,例如模型的预期用途、风险评级和评估结果。对于合规文件和模型证据报告,您可以将模型卡导出为 PDF 文件,然后轻松地与客户或监管机构进行共享。

要开始创建 SageMaker Model Cards,请前往 SageMaker 控制台,在左侧导航菜单中选择 Governance(治理),然后选择 Model cards(模型卡)。

Amazon SageMaker Model Cards

选择 Create model card(创建模型卡)记录您的模型信息。

Amazon SageMaker Model Card

Amazon SageMaker Model Cards

Amazon SageMaker Model Dashboard 介绍
SageMaker 模型仪表板可让您在一个地方监视所有模型。通过这个鸟瞰图,现在,您可以通过与 SageMaker Model MonitorSageMaker Clarify 的集成来查看生产中使用了哪些模型、查看模型卡、可视化模型谱系、跟踪资源以及监控模型行为。模型没有受到监控或偏离预期行为时,仪表板会自动提醒您。您也可以更深入地研究各个模型解决问题。

要访问 SageMaker 模型控制面板,请前往 SageMaker 控制台,在左侧导航菜单中选择 Governance(治理),然后选择 Model dashboard(模型仪表板)。

Amazon SageMaker Model Dashboard

注意:上面显示的风险评级仅用于说明目的,根据您提供的信息可能会有所不同。

现已推出
Amazon SageMaker Role Manager、SageMaker Model Cards 和 SageMaker Model Dashboard 在所有可用 Amazon SageMaker 的 AWS 区域上市,不收取额外费用, AWS GovCloud 和 AWS 中国区域除外。

要了解更多信息,请访问 Amazon SageMaker 的机器学习治理并查看 developer guide(开发者指南)。

立即开始使用 Amazon SageMaker 的新治理工具构建您的机器学习项目

– Antje