Schritt 6: Erstellen einer IAM-Richtlinie für SageMaker-Notebooks - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 6: Erstellen einer IAM-Richtlinie für SageMaker-Notebooks

Wenn Sie SageMaker-Notebooks mit Entwicklungsendpunkten verwenden möchten, müssen Sie beim Erstellen des Notebooks Berechtigungen angeben. Diese Berechtigungen stellen Sie mithilfe von AWS Identity and Access Management (IAM) zur Verfügung.

Eine IAM-Richtlinie für SageMaker-Notebooks erstellen
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich die Option Policies (Richtlinien) aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Navigieren Sie auf der Seite Create Policy (Richtlinie erstellen) zu einer Registerkarte, um das JSON zu bearbeiten. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen. Bearbeiten Sie bucket-name, region-code und account-id für Ihre Umgebung.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code:account-id:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code:account-id:notebook-instance/*" ] } ] }

    Wählen Sie dann Review policy (Richtlinie prüfen).

    Die folgende Tabelle beschreibt die Berechtigungen, die von dieser Richtlinie erteilt werden.

    Action (Aktion) Resource Beschreibung

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Erteilt die Berechtigung zum Auflisten von Amazon-S3-Buckets

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    Erteilt die Berechtigung zum Abrufen von Amazon-S3-Objekten, die von SageMaker-Notebooks verwendet werden.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    Erteilt die Berechtigung zum Schreiben von Protokollen nach Amazon CloudWatch Logs aus Notebooks.

    Namenskonvention: Schreibt Protokolle in Protokollgruppen, deren Namen mit aws-glue beginnen.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    Erteilt die Berechtigung zur Verwendung eines Entwicklungsendpunkts von SageMaker-Notebooks aus.

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    Erteilt die Berechtigung, Tags für eine SageMaker-Ressource zurückzugeben. Der aws-glue-dev-endpoint-Tag wird auf dem SageMaker-Notebook benötigt, um das Notebook mit einem Entwicklungsendpunkt zu verbinden.

  5. Geben Sie auf Bildschirm Review Policy (Richtlinie überprüfen) Ihren Policy Name (Richtlinienname) ein, z. B. AWSGlueSageMakerNotebook. Geben Sie eine optionale Beschreibung ein und wählen Sie Create policy (Richtlinie erstellen) aus, wenn Sie mit der Richtlinie zufrieden sind.