Amazon SageMaker Studio ahora permite a los usuarios de diferentes perfiles gestionar el acceso a los datos almacenados en Amazon Simple Storage Service (Amazon S3) de manera más eficiente y flexible. Este avance es vital para científicos de datos, ingenieros de aprendizaje automático (ML) y desarrolladores que utilizan SageMaker Studio para construir, entrenar, depurar, desplegar y monitorear modelos de ML.
Tradicionalmente, el acceso a Amazon S3 desde SageMaker Studio se gestionaba mediante roles configurados a nivel de dominio o de perfil de usuario. El rol de dominio otorga permisos para que todos los usuarios dentro de ese dominio puedan interactuar con servicios de AWS, incluyendo Amazon S3. Este enfoque puede ser restrictivo, obligando a administrar y actualizar permisos a medida que cambian las necesidades de acceso.
Para una gestión más granular, los roles de perfiles de usuario individuales permiten definir acciones y accesos específicos. Sin embargo, esta flexibilidad también conlleva un mantenimiento adicional debido a la necesidad de actualizar frecuentemente las políticas de acceso, lo que puede resultar en un proceso laborioso.
Con el lanzamiento de Amazon S3 Access Grants, la gestión de acceso se ha simplificado. Los S3 Access Grants permiten a los propietarios de datos o administradores de permisos establecer permisos de acceso de una manera más dinámica. Estos permisos pueden otorgarse a distintos niveles de Amazon S3, como a nivel de bucket, prefijo u objeto, sin la necesidad de actualizar constantemente los roles de AWS Identity and Access Management (IAM). Además, los permisos pueden ser establecidos tanto para principales de IAM como para usuarios y grupos del directorio corporativo integrado con AWS IAM Identity Center.
Por ejemplo, imagine un equipo de productos con dos miembros, Usuario A y Usuario B, que necesitan acceder a un bucket S3 específico. Los requisitos de acceso se definen de la siguiente manera:
– Todos los miembros del equipo tienen acceso a la carpeta denominada Product.
– La carpeta denominada UserA es accesible solo por Usuario A.
– La carpeta denominada UserB es accesible solo por Usuario B.
Usuario A puede ejecutar un trabajo de procesamiento en Amazon SageMaker que utiliza S3 Access Grants para obtener datos del bucket S3. Este trabajo accederá a los datos necesarios utilizando credenciales temporales proporcionadas por los grants de acceso, asegurando así una gestión eficiente y segura.
Para validar este acceso, se utilizó el conjunto de datos Abalone. Una función Lambda cargó los datos en Amazon S3 como parte del proceso de implementación del stack de CloudFormation, distribuyendo el archivo abalone.csv en las carpetas Product, UserA y UserB dentro del bucket S3.
El despliegue de estos recursos incluyó la creación de un entorno de SageMaker Studio, la configuración de los perfiles de usuario, y la implementación y configuración del bucket S3 con las carpetas necesarias. Además, la implementación de S3 Access Grants fue fundamental para asegurar el correcto acceso a los datos.
Una vez completado el trabajo, es importante eliminar el stack de CloudFormation para evitar incurrir en futuros cargos, lo que incluye la eliminación de recursos como el dominio de SageMaker Studio, la instancia de S3 Access Grants y el bucket S3 creado.
Este avance en la gestión de acceso no solo facilita la colaboración y el acceso seguro a los datos para equipos que trabajan en SageMaker Studio, sino que también simplifica la administración de permisos, ofreciendo un método más flexible y escalable en comparación con las técnicas tradicionales basadas en IAM.
