Sicherheit und Berechtigungen - Amazon SageMaker
Fügen Sie eine Bucket-Richtlinie hinzu, um den Zugriff auf in Data Wrangler importierte Datensätze einzuschränkenErstellen Sie eine Zulassungsliste für Data WranglerErteilen Sie einer IAM Rolle die Berechtigung zur Verwendung von Data WranglerSnowflake und Data WranglerDatenverschlüsselung mit AWS KMS AppFlow Amazon-BerechtigungenVerwenden von Lebenszykluskonfigurationen in Data Wrangler

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit und Berechtigungen

Wenn Sie Daten von Athena oder Amazon Redshift abfragen, wird der abgefragte Datensatz automatisch im SageMaker Standard-S3-Bucket für die AWS Region gespeichert, in der Sie Studio Classic verwenden. Wenn Sie ein Jupyter Notebook aus Amazon SageMaker Data Wrangler exportieren und ausführen, werden Ihre Datenflüsse oder .flow-Dateien außerdem in demselben Standard-Bucket unter dem Präfix data_wrangler_flows gespeichert.

Für hohe Sicherheitsanforderungen können Sie eine Bucket-Richtlinie konfigurieren, die die Rollen einschränkt, die Zugriff auf diesen standardmäßigen S3-Bucket haben. AWS SageMaker Verwenden Sie den folgenden Abschnitt, um diese Art von Richtlinie zu einem S3-Bucket hinzuzufügen. Um den Anweisungen auf dieser Seite zu folgen, verwenden Sie die AWS Command Line Interface (AWS CLI). Wie das geht, erfahren Sie AWS CLIim IAM Benutzerhandbuch unter Konfiguration von.

Darüber hinaus müssen Sie jeder IAM Rolle, die Data Wrangler verwendet, Berechtigungen für den Zugriff auf die erforderlichen Ressourcen gewähren. Wenn Sie für die IAM Rolle, die Sie für den Zugriff auf Data Wrangler verwenden, keine detaillierten Berechtigungen benötigen, können Sie die IAM verwaltete Richtlinie, zu einer IAM Rolle hinzufügen AmazonSageMakerFullAccess, mit der Sie Ihren Studio Classic-Benutzer erstellen. Diese Richtlinie gewährt Ihnen die volle Berechtigung zur Nutzung von Data Wrangler. Wenn Sie detailliertere Berechtigungen benötigen, lesen Sie den Abschnitt, Erteilen Sie einer IAM Rolle die Berechtigung zur Verwendung von Data Wrangler.

Fügen Sie eine Bucket-Richtlinie hinzu, um den Zugriff auf in Data Wrangler importierte Datensätze einzuschränken

Sie können dem S3-Bucket, der Ihre Data Wrangler-Ressourcen enthält, mithilfe einer Amazon-S3-Bucket-Richtlinie, eine Richtlinie hinzufügen. Zu den Ressourcen, die Data Wrangler in Ihren SageMaker Standard-S3-Bucket in der AWS Region hochlädt, in der Sie Studio Classic verwenden, gehören:

  • Abgefragte Amazon Redshift-Ergebnisse. Diese werden unter dem Präfix redshift/ gespeichert.

  • Abgefragte Athena-Ergebnisse. Diese werden unter dem Präfix athena/ gespeichert.

  • Die .flow-Dateien, die zu Amazon S3 hochgeladen werden, wenn Sie ein exportiertes Jupyter Notebook ausführen, das Data Wrangler erzeugt. Diese werden unter dem Präfix data_wrangler_flows/ gespeichert.

Verwenden Sie das folgende Verfahren, um eine S3-Bucket-Richtlinie zu erstellen, die Sie hinzufügen können, um den IAM Rollenzugriff auf diesen Bucket einzuschränken. Informationen zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter Wie füge ich eine Richtlinie für S3-Bucket hinzu? .

Um eine Bucket-Richtlinie für den S3-Bucket einzurichten, der Ihre Data Wrangler-Ressourcen speichert:

  1. Konfigurieren Sie eine oder mehrere IAM Rollen, für die Sie Zugriff auf Data Wrangler haben möchten.

  2. Öffnen Sie eine Befehlszeile oder Shell. Ersetzen Sie für jede Rolle, die Sie erstellen role-name durch den Namen der Rolle und führen Sie Folgendes aus:

    $ aws iam get-role --role-name role-name

    In der Antwort sehen Sie einen RoleId String, die mit AROA beginnt. Kopiere diesen String.

  3. Fügen Sie die folgende Richtlinie zum SageMaker Standard-Bucket in der AWS Region hinzu, in der Sie Data Wrangler verwenden. Ersetzen region mit der AWS Region, in der sich der Bucket befindet, und account-id mit Ihrer AWS Konto-ID. Ersetze userId s, beginnend mit AROAEXAMPLEID durch die IDs einer AWS Rolle, der Sie die Erlaubnis zur Verwendung von Data Wrangler erteilen möchten. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/",
        "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/*",
        "arn:aws:s3:::sagemaker-region-account-id/athena",
        "arn:aws:s3:::sagemaker-region-account-id/athena/*",
        "arn:aws:s3:::sagemaker-region-account-id/redshift",
        "arn:aws:s3:::sagemaker-region-account-id/redshift/*"
        
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userId": [
            "AROAEXAMPLEID_1:*",
            "AROAEXAMPLEID_2:*"
          ]
        }
      }
    }
  ]
}

Erstellen Sie eine Zulassungsliste für Data Wrangler

Immer wenn ein Benutzer beginnt, Data Wrangler von der Amazon SageMaker Studio Classic-Benutzeroberfläche aus auszuführen, ruft er die SageMaker Anwendungsprogrammierschnittstelle (API) auf, um eine Data Wrangler-Anwendung zu erstellen.

Ihre Organisation gewährt Ihren Benutzern möglicherweise standardmäßig keine Berechtigungen, um diese API Aufrufe zu tätigen. Um Berechtigungen bereitzustellen, müssen Sie mithilfe der folgenden Richtlinienvorlage eine Richtlinie erstellen und an die IAM Rollen des Benutzers anhängen: Data Wrangler Allow List Example.

Anmerkung

Das obige Richtlinienbeispiel gewährt Ihren Benutzern nur Zugriff auf die Data Wrangler-Anwendung.

Informationen zum Erstellen einer Richtlinie finden Sie unter Richtlinien erstellen auf der JSON Registerkarte. Wenn Sie eine Richtlinie erstellen, kopieren Sie die JSON Richtlinie aus dem Data Wrangler Allow List Example und fügen Sie sie in den JSONTab ein.

Wichtig

Löschen Sie alle IAM Richtlinien, die Benutzer daran hindern, die folgenden Operationen auszuführen:

Wenn Sie die Richtlinien nicht löschen, könnten Ihre Benutzer immer noch von ihnen betroffen sein.

Nachdem Sie die Richtlinie mithilfe der Vorlage erstellt haben, fügen Sie sie den IAM Rollen Ihrer Benutzer hinzu. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen von IAM Identitätsberechtigungen (Konsole).

Erteilen Sie einer IAM Rolle die Berechtigung zur Verwendung von Data Wrangler

Sie können einer IAM Rolle die Berechtigung zur Verwendung von Data Wrangler mit der allgemeinen IAM verwalteten Richtlinie, erteilen. AmazonSageMakerFullAccess Dies ist eine allgemeine Richtlinie, die die für die Nutzung aller SageMaker Dienste erforderlichen Berechtigungen umfasst. Diese Richtlinie gewährt einer IAM Rolle vollen Zugriff auf Data Wrangler. Sie sollten bei der Verwendung von AmazonSageMakerFullAccess zur Gewährung von Zugriff auf Data Wrangler Folgendes beachten:

  • Wenn Sie Daten aus Amazon Redshift importieren, muss der Datenbankbenutzername das Präfix sagemaker_access haben.

  • Diese verwaltete Richtlinie gewährt nur die Erlaubnis, auf Buckets zuzugreifen, deren Name eine der folgenden Angaben enthält: SageMaker, SageMaker, sagemaker, oder aws-glue. Wenn Sie Data Wrangler verwenden möchten, um aus einem S3-Bucket ohne diese Ausdrücke im Namen zu importieren, lesen Sie im letzten Abschnitt auf dieser Seite nach, wie Sie einer IAM Entität die Erlaubnis erteilen, auf Ihre S3-Buckets zuzugreifen.

Wenn Sie hohe Sicherheitsanforderungen haben, können Sie die Richtlinien in diesem Abschnitt einer IAM Entität zuordnen, um die für die Verwendung von Data Wrangler erforderlichen Berechtigungen zu gewähren.

Wenn Sie Datensätze in Amazon Redshift oder Athena haben, die eine IAM Rolle aus Data Wrangler importieren muss, müssen Sie dieser Entität eine Richtlinie hinzufügen, um auf diese Ressourcen zuzugreifen. Die folgenden Richtlinien sind die restriktivsten Richtlinien, die Sie verwenden können, um einer IAM Rolle die Erlaubnis zu erteilen, Daten aus Amazon Redshift und Athena zu importieren.

Informationen zum Anhängen einer benutzerdefinierten Richtlinie an eine IAM Rolle finden Sie unter IAMRichtlinien verwalten im IAM Benutzerhandbuch.

Richtlinienbeispiel zur Gewährung des Zugriffs auf einen Athena-Datensatz-Import

Bei der folgenden Richtlinie wird davon ausgegangen, dass die IAM Rolle über die Berechtigung verfügt, über eine separate IAM Richtlinie auf den zugrunde liegenden S3-Bucket zuzugreifen, in dem Daten gespeichert werden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateTable"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
                "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteTable"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:GetDatabase"
            ],
            "Resource": [
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/sagemaker_featurestore",
                "arn:aws:glue:*:*:database/sagemaker_processing",
                "arn:aws:glue:*:*:database/default",
                "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
            ]
        }
    ]
}

Beispiel für eine Richtlinie zur Gewährung des Zugriffs auf einen Amazon Redshift-Datensatzimport

Die folgende Richtlinie gewährt die Erlaubnis, eine Amazon Redshift-Verbindung zu Data Wrangler unter Verwendung von Datenbankbenutzern einzurichten, deren Name das Präfix sagemaker_access enthält. Um die Erlaubnis zu erteilen, mithilfe zusätzlicher Datenbankbenutzer eine Verbindung herzustellen, fügen Sie zusätzliche Einträge unter "Resources" in der folgenden Richtlinie hinzu. Bei der folgenden Richtlinie wird davon ausgegangen, dass die IAM Rolle berechtigt ist, auf den zugrunde liegenden S3-Bucket zuzugreifen, in dem Daten gespeichert werden, sofern zutreffend. IAM 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListSchemas",
                "redshift-data:ListTables"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
                "arn:aws:redshift:*:*:dbname:*"
            ]
        }
    ]
}

Richtlinie zur Gewährung des Zugriffs auf einen S3-Bucket

Wenn Ihr Datensatz in Amazon S3 gespeichert ist, können Sie einer IAM Rolle die Berechtigung zum Zugriff auf diesen Bucket mit einer ähnlichen Richtlinie wie der folgenden erteilen. Dieses Beispiel gewährt programmatischen Lese- und Schreibzugriff auf den Bucket mit dem Namen test.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::test"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::test/*"]
    }
  ]
}

Um Daten aus Athena und Amazon Redshift zu importieren, müssen Sie einer IAM Rolle die Berechtigung erteilen, auf die folgenden Präfixe unter dem Amazon S3 S3-Standard-Bucket in der AWS Region Data Wrangler zuzugreifen, in der Data Wrangler verwendet wird:,. athena/ redshift/ Wenn in der AWS Region noch kein standardmäßiger Amazon S3 S3-Bucket vorhanden ist, müssen Sie der IAM Rolle auch die Berechtigung erteilen, einen Bucket in dieser Region zu erstellen.

Wenn Sie möchten, dass die IAM Rolle die Job-Exportoptionen Amazon SageMaker Feature Store, SageMaker Pipelines und Data Wrangler verwenden kann, müssen Sie außerdem Zugriff auf das Präfix data_wrangler_flows/ in diesem Bucket gewähren.

Data Wrangler verwendet die Präfixe athena/ und redshift/, um Vorschaudateien und importierte Datensätze zu speichern. Weitere Informationen hierzu finden Sie unter Speicher für importierte Daten.

Data Wrangler verwendet das data_wrangler_flows/ Präfix zum Speichern von .flow-Dateien, wenn Sie ein aus Data Wrangler exportiertes Jupyter Notebook ausführen. Weitere Informationen hierzu finden Sie unter Export.

Verwenden Sie eine Richtlinie, die der folgenden ähnelt, um die in den vorherigen Absätzen beschriebenen Berechtigungen zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/",
                "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/*",
                "arn:aws:s3:::sagemaker-region-account-id/athena",
                "arn:aws:s3:::sagemaker-region-account-id/athena/*",
                "arn:aws:s3:::sagemaker-region-account-id/redshift",
                "arn:aws:s3:::sagemaker-region-account-id/redshift/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::sagemaker-region-account-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        }
    ]
}

Sie können auch von einem anderen AWS Konto aus auf Daten in Ihrem Amazon S3 S3-Bucket zugreifen, indem Sie den Amazon S3 S3-Bucket angebenURI. Zu diesem Zweck sollte die IAM Richtlinie, die Zugriff auf den Amazon S3 S3-Bucket im anderen Konto gewährt, eine Richtlinie verwenden, die dem folgenden Beispiel ähnelt, in dem BucketFolder sich das spezifische Verzeichnis im Bucket des Benutzers befindetUserBucket. Diese Richtlinie sollte dem Benutzer hinzugefügt werden, der einem anderen Benutzer Zugriff auf seinen Bucket gewährt. 

{
   "Version": "2012-10-17",
   "Statement": [
       {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::UserBucket/BucketFolder/*"
            },
                {
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket"
                ],
                "Resource": "arn:aws:s3:::UserBucket",
                "Condition": {
                "StringLike": {
                    "s3:prefix": [
                    "BucketFolder/*"
                    ]
                }
            }
        } 
    ]
}

Der Benutzer, der auf den Bucket zugreift (nicht der Bucket-Besitzer), muss seinem Benutzer eine Richtlinie hinzufügen, die dem folgenden Beispiel ähnelt. Beachten Sie, dass sich AccountX und TestUser unten jeweils auf den Bucket-Besitzer und seinen Benutzer bezieht.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountX:user/TestUser"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::UserBucket/BucketFolder/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountX:user/TestUser"
            },
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::UserBucket"
            ]
        }
    ]
}

Beispiel für eine Richtlinie zur Gewährung des Zugriffs auf die Nutzung von SageMaker Studio

Verwenden Sie eine Richtlinie wie die folgende, um eine IAM Ausführungsrolle zu erstellen, die zum Einrichten einer Studio Classic-Instanz verwendet werden kann. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeDomain",
                "sagemaker:ListDomains",
                "sagemaker:DescribeUserProfile",
                "sagemaker:ListUserProfiles",
                "sagemaker:*App",
                "sagemaker:ListApps"
            ],
            "Resource": "*"
        }
    ]
}

Snowflake und Data Wrangler

Alle Berechtigungen für AWS Ressourcen werden über Ihre IAM Rolle verwaltet, die Ihrer Studio Classic-Instanz zugeordnet ist. Der Snowflake-Administrator verwaltet Snowflake-spezifische Berechtigungen, da er jedem Snowflake-Benutzer detaillierte Berechtigungen und Privilegien gewähren kann. Dazu gehören Datenbanken, Schemata, Tabellen, Warehouses und Objekte zur Speicherintegration. Sie müssen sicherstellen, dass die richtigen Berechtigungen außerhalb von Data Wrangler eingerichtet sind.

Beachten Sie, dass der COPY INTO Amazon S3 Snowflake-Befehl standardmäßig Daten von Snowflake nach Amazon S3 über das öffentliche Internet verschiebt, Daten während der Übertragung jedoch mit gesichert sind. SSL Daten im Ruhezustand in Amazon S3 werden mit SSE — KMS unter Verwendung der Standardeinstellung — verschlüsselt AWS KMS key.

In Bezug auf die Speicherung von Snowflake-Anmeldeinformationen speichert Data Wrangler keine Kundenanmeldeinformationen. Data Wrangler verwendet Secrets Manager, um die Anmeldeinformationen geheim zu speichern, und wechselt die Geheimnisse im Rahmen eines Best-Practice-Sicherheitsplans. Der Snowflake- oder Studio Classic-Administrator muss sicherstellen, dass der Studio Classic-Ausführungsrolle des Datenwissenschaftlers die Erlaubnis erteilt wird, das Geheimnis zu verwenden, in GetSecretValue dem die Anmeldeinformationen gespeichert sind. Wenn die AmazonSageMakerFullAccess Richtlinie bereits mit der Ausführungsrolle Studio Classic verknüpft ist, verfügt sie über die erforderlichen Berechtigungen zum Lesen von Geheimnissen, die von Data Wrangler erstellt wurden, sowie von Geheimnissen, die gemäß der Benennungs- und Tagging-Konvention in den obigen Anweisungen erstellt wurden. Geheimnissen, die nicht den Konventionen entsprechen, muss separat Zugriff gewährt werden. Wir empfehlen die Verwendung von Secrets Manager, um die Weitergabe von Anmeldeinformationen über ungesicherte Kanäle zu verhindern. Beachten Sie jedoch, dass ein angemeldeter Benutzer das Klartext-Passwort abrufen kann, indem er ein Terminal oder ein Python-Notizbuch in Studio Classic startet und dann Aufrufe vom Secrets Manager aufruftAPI. API

Datenverschlüsselung mit AWS KMS

In Data Wrangler können Sie verschlüsselte Dateien entschlüsseln und sie Ihrem Data Wrangler-Datenfluss hinzufügen. Sie können die Ausgabe der Transformationen auch mit einem AWS KMS Standardschlüssel oder einem von Ihnen bereitgestellten Schlüssel verschlüsseln.

Sie können Dateien importieren, wenn sie Folgendes enthalten:

  • Serverseitige Verschlüsselung

  • SSE- KMS als Verschlüsselungstyp

Um die Datei zu entschlüsseln und in einen Data Wrangler-Flow zu importieren, müssen Sie den SageMaker Studio Classic-Benutzer hinzufügen, den Sie als Schlüsselbenutzer verwenden.

Der folgende Screenshot zeigt eine Studio Classic-Benutzerrolle, die als Hauptbenutzer hinzugefügt wurde. Informationen dazu, wie Sie diese Änderung vornehmen können, finden Sie im linken Bereich unter IAMRollen für den Zugriff auf Benutzer.

Der Bereich „Hauptbenutzer“ in der Konsole.

Vom Kunden verwaltete Amazon S3-Schlüsseleinrichtung für den importierten Datenspeicher von Data Wrangler

Standardmäßig verwendet Data Wrangler Amazon-S3-Buckets mit der folgenden Namenskonvention: sagemaker-region-account number. Wenn Ihre Kontonummer beispielsweise lautet 111122223333 und Sie Studio Classic in us-east-1 verwenden, werden Ihre importierten Datensätze mit der folgenden Namenskonvention gespeichert:. sagemaker-us-east-1-111122223333

In den folgenden Anweisungen wird erklärt, wie Sie einen vom Kunden verwalteten Schlüssel für Ihren standardmäßigen Amazon-S3-Bucket einrichten.

  1. Informationen zum Aktivieren der serverseitigen Verschlüsselung und zum Einrichten eines kundenverwalteten Schlüssels für Ihren Standard-S3-Bucket finden Sie unter Verschlüsselung verwenden. KMS

  2. Nachdem Sie Schritt 1 ausgeführt haben, navigieren Sie zu AWS KMS in Ihrem AWS Management Console. Suchen Sie den vom Kunden verwalteten Schlüssel, den Sie in Schritt 1 des vorherigen Schritts ausgewählt haben, und fügen Sie die Studio Classic-Rolle als Schlüsselbenutzer hinzu. Folgen Sie dazu den Anweisungen unter Erlaubt Schlüsselbenutzern, einen vom Kunden verwalteten Schlüssel zu verwenden.

Verschlüsseln der Daten, die Sie exportieren

Sie können die Daten, die Sie exportieren, über eine der folgenden Methoden verschlüsseln:

  • Geben Sie an, dass Ihr Amazon S3 S3-Bucket über Object Use SSE — KMS Verschlüsselung — verfügt.

  • Angabe eines AWS KMS Schlüssels zur Verschlüsselung der Daten, die Sie aus Data Wrangler exportieren.

Geben Sie auf der Seite Daten exportieren einen Wert für die AWS KMS Schlüssel-ID oder an. ARN

Weitere Informationen zur Verwendung von AWS KMS Schlüsseln finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS Schlüsseln, die in AWSAWS Key Management Service (SSE-KMS) gespeichert sind.

AppFlow Amazon-Berechtigungen

Wenn Sie eine Übertragung durchführen, müssen Sie eine IAM Rolle angeben, die über die erforderlichen Berechtigungen für die Übertragung verfügt. Sie können dieselbe IAM Rolle verwenden, die über Berechtigungen zur Verwendung von Data Wrangler verfügt. Standardmäßig ist die IAM Rolle, die Sie für den Zugriff auf Data Wrangler verwenden, die. SageMakerExecutionRole

Die IAM Rolle muss über die folgenden Berechtigungen verfügen:

  • Berechtigungen für Amazon AppFlow

  • Berechtigungen für den AWS Glue Datenkatalog

  • Berechtigungen AWS Glue zum Ermitteln der verfügbaren Datenquellen

Wenn Sie eine Übertragung ausführen, AppFlow speichert Amazon Metadaten aus der Übertragung im AWS Glue Datenkatalog. Data Wrangler verwendet die Metadaten aus dem Katalog, um festzustellen, ob sie für Sie zum Abfragen und Importieren verfügbar sind.

Um Amazon Berechtigungen hinzuzufügen AppFlow, fügen Sie die AmazonAppFlowFullAccess AWS verwaltete Richtlinie zur IAM Rolle hinzu. Weitere Informationen zum Hinzufügen von Richtlinien finden Sie unter Hinzufügen oder Entfernen von IAM Identitätsberechtigungen.

Wenn Sie Daten an Amazon S3 übertragen, müssen Sie auch die folgende Richtlinie beifügen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketTagging",
        "s3:ListBucketVersions",
        "s3:CreateBucket",
        "s3:ListBucket",
        "s3:GetBucketPolicy",
        "s3:PutEncryptionConfiguration",
        "s3:GetEncryptionConfiguration",
        "s3:PutBucketTagging",
        "s3:GetObjectTagging",
        "s3:GetBucketOwnershipControls",
        "s3:PutObjectTagging",
        "s3:DeleteObject",
        "s3:DeleteBucket",
        "s3:DeleteObjectTagging",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketPolicyStatus",
        "s3:PutBucketPublicAccessBlock",
        "s3:PutAccountPublicAccessBlock",
        "s3:ListAccessPoints",
        "s3:PutBucketOwnershipControls",
        "s3:PutObjectVersionTagging",
        "s3:DeleteObjectVersionTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketAcl",
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetAnalyticsConfiguration",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Um AWS Glue Berechtigungen hinzuzufügen, fügen Sie der IAM Rolle die AWSGlueConsoleFullAccess verwaltete Richtlinie hinzu. Weitere Informationen zu AWS Glue Berechtigungen bei Amazon AppFlow finden Sie unter [link-to-appflow-page].

Amazon AppFlow benötigt Zugriff auf AWS Glue Data Wrangler, damit Sie die von Ihnen übertragenen Daten importieren können. Um Amazon AppFlow Zugriff zu gewähren, fügen Sie der IAM Rolle die folgende Vertrauensrichtlinie hinzu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root",
                "Service": [
                    "appflow.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Um die AppFlow Amazon-Daten in Data Wrangler anzuzeigen, fügen Sie der Rolle die folgende Richtlinie hinzu: IAM


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "glue:SearchTables",
            "Resource": [
                "arn:aws:glue:*:*:table/*/*",
                "arn:aws:glue:*:*:database/*",
                "arn:aws:glue:*:*:catalog"
            ]
        }
    ]
}

Verwenden von Lebenszykluskonfigurationen in Data Wrangler

Möglicherweise haben Sie eine EC2 Amazon-Instance, die für die Ausführung von Kernel Gateway-Anwendungen konfiguriert ist, aber nicht die Data Wrangler-Anwendung. Kernel Gateway-Anwendungen bieten Zugriff auf die Umgebung und die Kernel, die Sie zum Ausführen von Studio Classic-Notebooks und -Terminals verwenden. Die Data Wrangler-Anwendung ist die UI-Anwendung, die Data Wrangler ausführt. EC2Amazon-Instances, die keine Data Wrangler-Instances sind, benötigen eine Änderung ihrer Lebenszykluskonfigurationen, um Data Wrangler ausführen zu können. Lebenszykluskonfigurationen sind Shell-Skripte, die die Anpassung Ihrer Amazon SageMaker Studio Classic-Umgebung automatisieren.

Weitere Informationen zur Lebenszyklus-Konfiguration finden Sie unter Verwenden Sie Lebenszykluskonfigurationen, um Studio Classic anzupassen.

Die standardmäßige Lebenszykluskonfiguration für Ihre Instance unterstützt die Verwendung von Data Wrangler nicht. Sie können die folgenden Änderungen an der Standardkonfiguration vornehmen, um Data Wrangler mit Ihrer Instance zu verwenden.


#!/bin/bash
set -eux
STATUS=$(
python3 -c "import sagemaker_dataprep"
echo $?
)
if [ "$STATUS" -eq 0 ]; then
echo 'Instance is of Type Data Wrangler'
else
echo 'Instance is not of Type Data Wrangler'

# Replace this with the URL of your git repository
export REPOSITORY_URL="https://github.com/aws-samples/sagemaker-studio-lifecycle-config-examples.git"

git -C /root clone $REPOSTIORY_URL

fi

Sie können das Skript unter speichern lifecycle_configuration.sh.

Sie fügen die Lebenszykluskonfiguration Ihrer Studio Classic-Domain oder Ihrem Benutzerprofil hinzu. Weitere Informationen zum Erstellen und Anhängen einer Lebenszykluskonfiguration finden Sie unter Erstellen und Zuordnen einer Lebenszykluskonfiguration.

Die folgenden Anweisungen zeigen Ihnen, wie Sie eine Lebenszykluskonfiguration an eine Studio Classic-Domäne oder ein Benutzerprofil anhängen.

Beim Erstellen oder Anhängen einer Lebenszykluskonfiguration können Fehler auftreten. Weitere Informationen zur Fehlerbehebung bei der Lebenszykluskonfiguration finden Sie unter KernelGateway App-Fehler.