Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit und Berechtigungen
Wenn Sie Daten von Athena oder Amazon Redshift abfragen, wird der abgefragte Datensatz automatisch im standardmäßigen SageMaker AI S3-Bucket für die AWS Region gespeichert, in der Sie Studio Classic verwenden. Wenn Sie ein Jupyter Notebook aus Amazon SageMaker Data Wrangler exportieren und ausführen, werden Ihre Datenflüsse oder .flow-Dateien außerdem in demselben Standard-Bucket unter dem Präfix data_wrangler_flows gespeichert.
Für hohe Sicherheitsanforderungen können Sie eine Bucket-Richtlinie konfigurieren, die die Rollen einschränkt, die Zugriff auf diesen standardmäßigen AI S3-Bucket haben. AWS SageMaker Verwenden Sie den folgenden Abschnitt, um diese Art von Richtlinie zu einem S3-Bucket hinzuzufügen. Verwenden Sie die AWS Command Line Interface (AWS CLI), um den Anweisungen auf dieser Seite zu folgen. Wie das geht, erfahren Sie unter Konfiguration der AWS CLI im IAM-Benutzerhandbuch.
Darüber hinaus müssen Sie jeder IAM-Rolle, die Data Wrangler-Daten verwendet, Berechtigungen für den Zugriff auf die erforderlichen Ressourcen gewähren. Wenn Sie keine detaillierten Berechtigungen für die IAM-Rolle benötigen, die Sie für den Zugriff auf Data Wrangler verwenden, können Sie die von IAM verwaltete Richtlinie, zu einer IAM-Rolle hinzufügen AmazonSageMakerFullAccess
Fügen Sie eine Bucket-Richtlinie hinzu, um den Zugriff auf in Data Wrangler importierte Datensätze einzuschränken
Sie können dem S3-Bucket, der Ihre Data Wrangler-Ressourcen enthält, mithilfe einer Amazon-S3-Bucket-Richtlinie, eine Richtlinie hinzufügen. Zu den Ressourcen, die Data Wrangler in Ihren standardmäßigen SageMaker AI S3-Bucket in der AWS Region hochlädt, in der Sie Studio Classic verwenden, gehören:
-
Abgefragte Amazon Redshift-Ergebnisse. Diese werden unter dem Präfix redshift/ gespeichert.
-
Abgefragte Athena-Ergebnisse. Diese werden unter dem Präfix athena/ gespeichert.
-
Die .flow-Dateien, die zu Amazon S3 hochgeladen werden, wenn Sie ein exportiertes Jupyter Notebook ausführen, das Data Wrangler erzeugt. Diese werden unter dem Präfix data_wrangler_flows/ gespeichert.
Verwenden Sie das folgende Verfahren, um eine S3-Bucket-Richtlinie zu erstellen, die Sie hinzufügen können, um den IAM-Rollenzugriff auf diesen Bucket einzuschränken. Informationen zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter Wie füge ich eine Richtlinie für S3-Bucket hinzu? .
Um eine Bucket-Richtlinie für den S3-Bucket einzurichten, der Ihre Data Wrangler-Ressourcen speichert:
-
Konfigurieren von einer oder mehreren IAM-Rollen, mit denen Sie auf Data Wrangler zugreifen können möchten.
-
Öffnen Sie eine Befehlszeile oder Shell. Ersetzen Sie jede Rolle, die Sie erstellen,
role-namedurch den Namen der Rolle und führen Sie Folgendes aus:$ aws iam get-role --role-namerole-nameIn der Antwort sehen Sie einen
RoleIdString, die mitAROAbeginnt. Kopiere diesen String. -
Fügen Sie dem SageMaker AI-Standard-Bucket in der AWS Region, in der Sie Data Wrangler verwenden, die folgende Richtlinie hinzu.
regionErsetzen Sie es durch die AWS Region, in der sich der Bucket befindet, undaccount-iddurch Ihre AWS Konto-ID. Ersetzen SieuserIds, beginnendAROAEXAMPLEIDmit der IDs Zahl der AWS Rollen, denen Sie die Erlaubnis zur Nutzung von Data Wrangler erteilen möchten.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/", "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/*", "arn:aws:s3:::sagemaker-region-account-id/athena", "arn:aws:s3:::sagemaker-region-account-id/athena/*", "arn:aws:s3:::sagemaker-region-account-id/redshift", "arn:aws:s3:::sagemaker-region-account-id/redshift/*" ], "Condition": { "StringNotLike": { "aws:userId": [ "AROAEXAMPLEID_1:*", "AROAEXAMPLEID_2:*" ] } } } ] }
Erstellen Sie eine Zulassungsliste für Data Wrangler
Immer wenn ein Benutzer beginnt, Data Wrangler über die Amazon SageMaker Studio Classic-Benutzeroberfläche auszuführen, ruft er die SageMaker KI-Anwendungsprogrammierschnittstelle (API) auf, um eine Data Wrangler-Anwendung zu erstellen.
Ihre Organisation gewährt Ihren Benutzern möglicherweise nicht standardmäßig Berechtigungen zum Durchführen dieser API-Aufrufe. Um Berechtigungen bereitzustellen, müssen Sie mithilfe der folgenden Richtlinienvorlage eine Richtlinie erstellen und an die IAM-Rollen des Benutzers anhängen: Data Wrangler-Beispielzulassungsliste
Anmerkung
Das obige Richtlinienbeispiel gewährt Ihren Benutzern nur Zugriff auf die Data Wrangler-Anwendung.
Informationen zum Erstellen einer Richtlinie finden Sie im Abschnitt Erstellen von Richtlinien auf der Registerkarte JSON. Wenn Sie eine Richtlinie erstellen, kopieren Sie die JSON-Richtlinie aus der Data Wrangler-Beispielzulassungsliste
Wichtig
Löschen Sie alle IAM-Richtlinien, die Benutzer daran hindern, die folgenden Operationen auszuführen:
Wenn Sie die Richtlinien nicht löschen, könnten Ihre Benutzer immer noch von ihnen betroffen sein.
Nachdem Sie die Richtlinie mithilfe der Vorlage erstellt haben, fügen Sie sie den IAM-Rollen Ihrer Benutzer hinzu. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen von IAM-Identitätsberechtigungen (Konsole).
Erteilen Sie einer IAM-Rolle die Erlaubnis, Data Wrangler zu verwenden
Sie können einer IAM-Rolle die Berechtigung zur Verwendung von Data Wrangler mit der allgemeinen verwalteten IAM-Richtlinie, AmazonSageMakerFullAccessAmazonSageMakerFullAccess zur Gewährung von Zugriff auf Data Wrangler Folgendes beachten:
-
Wenn Sie Daten aus Amazon Redshift importieren, muss der Datenbankbenutzername das Präfix
sagemaker_accesshaben. -
Diese verwaltete Richtlinie gewährt nur die Erlaubnis, auf Buckets zuzugreifen, deren Name eine der folgenden Angaben enthält:
SageMaker AI,SageMaker AI,sagemaker, oderaws-glue. Wenn Sie Data Wrangler verwenden möchten, um aus einem S3-Bucket ohne diese Ausdrücke im Namen zu importieren, lesen Sie im letzten Abschnitt auf dieser Seite nach, wie Sie einer IAM-Entität die Erlaubnis erteilen, auf Ihre S3-Buckets zuzugreifen.
Wenn Sie hohe Sicherheitsanforderungen haben, können Sie die Richtlinien in diesem Abschnitt an eine IAM-Entität anhängen, um die für die Verwendung von Data Wrangler erforderlichen Berechtigungen zu gewähren.
Wenn Sie Datensätze in Amazon Redshift oder Athena haben, die eine IAM-Rolle aus Data Wrangler importieren muss, müssen Sie dieser Entität eine Richtlinie hinzufügen, um auf diese Ressourcen zuzugreifen. Die folgenden Richtlinien sind die restriktivsten Richtlinien, die Sie verwenden können, um einer IAM-Rolle die Erlaubnis zu erteilen, Daten aus Amazon Redshift und Athena zu importieren.
Informationen zum Anhängen einer benutzerdefinierten Richtlinie an eine IAM-Rolle finden Sie unter Verwalten von IAM-Richtlinien im IAM-Benutzerhandbuch.
Richtlinienbeispiel zur Gewährung des Zugriffs auf einen Athena-Datensatz-Import
Die folgende Richtlinie geht davon aus, dass die IAM-Rolle über die Berechtigung verfügt, über eine separate IAM-Richtlinie auf den zugrunde liegenden S3-Bucket zuzugreifen, in dem Daten gespeichert werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] } ] }
Beispiel für eine Richtlinie zur Gewährung des Zugriffs auf einen Amazon Redshift-Datensatzimport
Die folgende Richtlinie gewährt die Erlaubnis, eine Amazon Redshift-Verbindung zu Data Wrangler unter Verwendung von Datenbankbenutzern einzurichten, deren Name das Präfix sagemaker_access enthält. Um die Erlaubnis zu erteilen, mithilfe zusätzlicher Datenbankbenutzer eine Verbindung herzustellen, fügen Sie zusätzliche Einträge unter "Resources" in der folgenden Richtlinie hinzu. Bei der folgenden Richtlinie wird davon ausgegangen, dass die IAM-Rolle berechtigt ist, auf den zugrunde liegenden S3-Bucket zuzugreifen, in dem Daten gespeichert werden, sofern zutreffend.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] } ] }
Richtlinie zur Gewährung des Zugriffs auf einen S3-Bucket
Wenn Ihr Datensatz in Amazon S3 gespeichert ist, können Sie einer IAM-Rollenberechtigung für den Zugriff auf diesen Bucket mit einer Richtlinie ähnlich der folgenden erteilen. In diesem Beispiel wird programmatischer Lese- und Schreibzugriff auf den genannten Bucket gewährt. test
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::test"] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": ["arn:aws:s3:::test/*"] } ] }
Um Daten aus Athena und Amazon Redshift zu importieren, müssen Sie einer IAM-Rollenberechtigung für den Zugriff auf die folgenden Präfixe im standardmäßigen Amazon S3 S3-Bucket in der AWS Region Data Wrangler, in der Data Wrangler verwendet wird, erteilen:,. athena/ redshift/ Wenn in der AWS Region noch kein standardmäßiger Amazon S3 S3-Bucket vorhanden ist, müssen Sie der IAM-Rolle auch die Berechtigung erteilen, einen Bucket in dieser Region zu erstellen.
Wenn Sie möchten, dass die IAM-Rolle die Job-Exportoptionen Amazon SageMaker Feature Store, Pipelines und Data Wrangler verwenden kann, müssen Sie außerdem Zugriff auf das Präfix data_wrangler_flows/ in diesem Bucket gewähren.
Data Wrangler verwendet die Präfixe athena/ und redshift/, um Vorschaudateien und importierte Datensätze zu speichern. Weitere Informationen hierzu finden Sie unter Speicher für importierte Daten.
Data Wrangler verwendet das data_wrangler_flows/ Präfix zum Speichern von .flow-Dateien, wenn Sie ein aus Data Wrangler exportiertes Jupyter Notebook ausführen. Weitere Informationen hierzu finden Sie unter Export.
Verwenden Sie eine Richtlinie, die der folgenden ähnelt, um die in den vorherigen Absätzen beschriebenen Berechtigungen zu gewähren.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/", "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/*", "arn:aws:s3:::sagemaker-region-account-id/athena", "arn:aws:s3:::sagemaker-region-account-id/athena/*", "arn:aws:s3:::sagemaker-region-account-id/redshift", "arn:aws:s3:::sagemaker-region-account-id/redshift/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListBucket" ], "Resource": "arn:aws:s3:::sagemaker-region-account-id" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" } ] }
Sie können auch von einem anderen AWS Konto aus auf Daten in Ihrem Amazon S3 S3-Bucket zugreifen, indem Sie die Amazon S3 S3-Bucket-URI angeben. Zu diesem Zweck sollte die IAM-Richtlinie, die Zugriff auf den Amazon-S3-Bucket im anderen Konto gewährt, eine Richtlinie verwenden, die dem folgenden Beispiel ähnelt, in dem BucketFolder das spezifische Verzeichnis im Bucket UserBucket des Benutzers ist. Diese Richtlinie sollte dem Benutzer hinzugefügt werden, der einem anderen Benutzer Zugriff auf seinen Bucket gewährt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::UserBucket/BucketFolder/*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::UserBucket", "Condition": { "StringLike": { "s3:prefix": [ "BucketFolder/*" ] } } } ] }
Der Benutzer, der auf den Bucket zugreift (nicht der Bucket-Besitzer), muss seinem Benutzer eine Richtlinie hinzufügen, die dem folgenden Beispiel ähnelt. Beachten Sie, dass sich AccountX und TestUser unten jeweils auf den Bucket-Besitzer und seinen Benutzer bezieht.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountX:user/TestUser" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::UserBucket/BucketFolder/*" ] }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountX:user/TestUser" }, "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::UserBucket" ] } ] }
Beispiel für eine Richtlinie zur Gewährung des Zugriffs auf die Nutzung von SageMaker AI Studio
Verwenden Sie eine Richtlinie wie die folgende, um eine IAM-Ausführungsrolle zu erstellen, die zum Einrichten einer Studio Classic-Instanz verwendet werden kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:*App", "sagemaker:ListApps" ], "Resource": "*" } ] }
Snowflake und Data Wrangler
Alle Berechtigungen für AWS Ressourcen werden über Ihre IAM-Rolle verwaltet, die Ihrer Studio Classic-Instanz zugeordnet ist. Der Snowflake-Administrator verwaltet Snowflake-spezifische Berechtigungen, da er jedem Snowflake-Benutzer detaillierte Berechtigungen und Privilegien gewähren kann. Dazu gehören Datenbanken, Schemata, Tabellen, Warehouses und Objekte zur Speicherintegration. Sie müssen sicherstellen, dass die richtigen Berechtigungen außerhalb von Data Wrangler eingerichtet sind.
Beachten Sie, dass der Snowflake COPY INTO Amazon S3-Befehl standardmäßig Daten von Snowflake nach Amazon S3 über das öffentliche Internet verschiebt, Daten während der Übertragung jedoch mit SSL gesichert sind. Daten im Ruhezustand in Amazon S3 werden standardmäßig mit SSE-KMS verschlüsselt. AWS KMS key
In Bezug auf die Speicherung von Snowflake-Anmeldeinformationen speichert Data Wrangler keine Kundenanmeldeinformationen. Data Wrangler verwendet Secrets Manager, um die Anmeldeinformationen geheim zu speichern, und wechselt die Geheimnisse im Rahmen eines Best-Practice-Sicherheitsplans. Der Snowflake- oder Studio Classic-Administrator muss sicherstellen, dass der Studio Classic-Ausführungsrolle des Datenwissenschaftlers die Berechtigung erteilt wird, mit dem Geheimnis, in GetSecretValue dem die Anmeldeinformationen gespeichert sind, zu arbeiten. Wenn die AmazonSageMakerFullAccess Richtlinie bereits mit der Ausführungsrolle Studio Classic verknüpft ist, verfügt sie über die erforderlichen Berechtigungen zum Lesen von Geheimnissen, die von Data Wrangler erstellt wurden, sowie von Geheimnissen, die gemäß der Benennungs- und Tagging-Konvention in den obigen Anweisungen erstellt wurden. Geheimnissen, die nicht den Konventionen entsprechen, muss separat Zugriff gewährt werden. Wir empfehlen die Verwendung von Secrets Manager, um die Weitergabe von Anmeldeinformationen über ungesicherte Kanäle zu verhindern. Beachten Sie jedoch, dass ein angemeldeter Benutzer das Klartext-Passwort abrufen kann, indem er ein Terminal oder ein Python-Notizbuch in Studio Classic startet und dann API-Aufrufe von der Secrets Manager Manager-API aufruft.
Datenverschlüsselung mit AWS KMS
In Data Wrangler können Sie verschlüsselte Dateien entschlüsseln und sie Ihrem Data Wrangler-Datenfluss hinzufügen. Sie können die Ausgabe der Transformationen auch mit einem AWS KMS Standardschlüssel oder einem von Ihnen bereitgestellten Schlüssel verschlüsseln.
Sie können Dateien importieren, wenn sie Folgendes enthalten:
-
Serverseitige Verschlüsselung
-
SSE-KMS als Verschlüsselungstyp
Um die Datei zu entschlüsseln und in einen Data Wrangler-Flow zu importieren, müssen Sie den SageMaker Studio Classic-Benutzer hinzufügen, den Sie als Schlüsselbenutzer verwenden.
Der folgende Screenshot zeigt eine Studio Classic-Benutzerrolle, die als Hauptbenutzer hinzugefügt wurde. Siehe IAM-Rollen
Vom Kunden verwaltete Amazon S3-Schlüsseleinrichtung für den importierten Datenspeicher von Data Wrangler
Standardmäßig verwendet Data Wrangler Amazon-S3-Buckets mit der folgenden Namenskonvention: sagemaker-region-account number. Wenn Ihre Kontonummer beispielsweise lautet 111122223333 und Sie Studio Classic in us-east-1 verwenden, werden Ihre importierten Datensätze mit der folgenden Namenskonvention gespeichert:. sagemaker-us-east-1-111122223333
In den folgenden Anweisungen wird erklärt, wie Sie einen vom Kunden verwalteten Schlüssel für Ihren standardmäßigen Amazon-S3-Bucket einrichten.
-
Informationen zur Aktivierung der serverseitigen Verschlüsselung und zur Einrichtung eines kundenverwalteten Schlüssels für Ihren standardmäßigen S3-Bucket finden Sie unter Verwenden von KMS-Verschlüsselung.
-
Nachdem Sie Schritt 1 ausgeführt haben, navigieren Sie zu in AWS KMS Ihrem. AWS Management Console Suchen Sie den vom Kunden verwalteten Schlüssel, den Sie in Schritt 1 des vorherigen Schritts ausgewählt haben, und fügen Sie die Studio Classic-Rolle als Schlüsselbenutzer hinzu. Folgen Sie dazu den Anweisungen unter Erlaubt Schlüsselbenutzern, einen vom Kunden verwalteten Schlüssel zu verwenden.
Verschlüsseln der Daten, die Sie exportieren
Sie können die Daten, die Sie exportieren, über eine der folgenden Methoden verschlüsseln:
-
Wenn Sie angeben, dass Ihr Amazon-S3-Bucket über ein Objekt verfügt, verwenden Sie die SSE-KMS-Verschlüsselung.
-
Angabe eines AWS KMS Schlüssels zur Verschlüsselung der Daten, die Sie aus Data Wrangler exportieren.
Geben Sie auf der Seite Daten exportieren einen Wert für die AWS KMS Schlüssel-ID oder den ARN an.
Weitere Informationen zur Verwendung von AWS KMS Schlüsseln finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit in AWSAWS Key Management Service gespeicherten AWS KMS Schlüsseln (SSE-KMS).
AppFlow Amazon-Berechtigungen
Wenn Sie eine Übertragung durchführen, müssen Sie eine IAM-Rolle angeben, die über Berechtigungen zum Durchführen der Übertragung verfügt. Sie können dieselbe IAM-Rolle verwenden, die über Berechtigungen zur Verwendung von Data Wrangler verfügt. Standardmäßig ist die IAM-Rolle, die Sie für den Zugriff auf Data Wrangler verwenden, die SageMakerExecutionRole.
Die Rolle muss auch über die folgenden Berechtigungen verfügen.
-
Berechtigungen für Amazon AppFlow
-
Berechtigungen für den AWS Glue Datenkatalog
-
Berechtigungen AWS Glue zum Ermitteln der verfügbaren Datenquellen
Wenn Sie eine Übertragung ausführen, AppFlow speichert Amazon Metadaten aus der Übertragung im AWS Glue Datenkatalog. Data Wrangler verwendet die Metadaten aus dem Katalog, um festzustellen, ob sie für Sie zum Abfragen und Importieren verfügbar sind.
Um Amazon Berechtigungen hinzuzufügen AppFlow, fügen Sie die AmazonAppFlowFullAccess AWS
verwaltete Richtlinie zur IAM-Rolle hinzu. Weitere Informationen zum Hinzufügen von Richtlinen, finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
Wenn Sie Daten an Amazon S3 übertragen, müssen Sie auch die folgende Richtlinie beifügen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:GetBucketTagging", "s3:ListBucketVersions", "s3:CreateBucket", "s3:ListBucket", "s3:GetBucketPolicy", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutBucketTagging", "s3:GetObjectTagging", "s3:GetBucketOwnershipControls", "s3:PutObjectTagging", "s3:DeleteObject", "s3:DeleteBucket", "s3:DeleteObjectTagging", "s3:GetBucketPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:PutBucketPublicAccessBlock", "s3:PutAccountPublicAccessBlock", "s3:ListAccessPoints", "s3:PutBucketOwnershipControls", "s3:PutObjectVersionTagging", "s3:DeleteObjectVersionTagging", "s3:GetBucketVersioning", "s3:GetBucketAcl", "s3:PutObject", "s3:GetObject", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetAnalyticsConfiguration", "s3:GetBucketLocation" ], "Resource": "*" } ] }
Um AWS Glue Berechtigungen hinzuzufügen, fügen Sie die AWSGlueConsoleFullAccess verwaltete Richtlinie der IAM-Rolle hinzu. Weitere Informationen zu AWS Glue Berechtigungen bei Amazon AppFlow finden Sie unter [link-to-appflow-page].
Amazon AppFlow benötigt Zugriff auf AWS Glue Data Wrangler, damit Sie die von Ihnen übertragenen Daten importieren können. Um Amazon AppFlow Zugriff zu gewähren, fügen Sie der IAM-Rolle die folgende Vertrauensrichtlinie hinzu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root", "Service": [ "appflow.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Um die AppFlow Amazon-Daten in Data Wrangler anzuzeigen, fügen Sie der IAM-Rolle die folgende Richtlinie hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] } ] }
Verwenden von Lebenszykluskonfigurationen in Data Wrangler
Möglicherweise haben Sie eine EC2 Amazon-Instance, die für die Ausführung von Kernel Gateway-Anwendungen konfiguriert ist, aber nicht die Data Wrangler-Anwendung. Kernel Gateway-Anwendungen bieten Zugriff auf die Umgebung und die Kernel, die Sie zum Ausführen von Studio Classic-Notebooks und -Terminals verwenden. Die Data Wrangler-Anwendung ist die UI-Anwendung, die Data Wrangler ausführt. EC2 Amazon-Instances, die keine Data Wrangler-Instances sind, benötigen eine Änderung ihrer Lebenszykluskonfigurationen, um Data Wrangler ausführen zu können. Lebenszykluskonfigurationen sind Shell-Skripte, die die Anpassung Ihrer Amazon SageMaker Studio Classic-Umgebung automatisieren.
Weitere Informationen zur Lebenszyklus-Konfiguration finden Sie unter Verwenden Sie Lebenszykluskonfigurationen, um Studio Classic anzupassen.
Die standardmäßige Lebenszykluskonfiguration für Ihre Instance unterstützt die Verwendung von Data Wrangler nicht. Sie können die folgenden Änderungen an der Standardkonfiguration vornehmen, um Data Wrangler mit Ihrer Instance zu verwenden.
#!/bin/bash set -eux STATUS=$( python3 -c "import sagemaker_dataprep" echo $? ) if [ "$STATUS" -eq 0 ]; then echo 'Instance is of Type Data Wrangler' else echo 'Instance is not of Type Data Wrangler' # Replace this with the URL of your git repository export REPOSITORY_URL="https://github.com/aws-samples/sagemaker-studio-lifecycle-config-examples.git" git -C /root clone $REPOSTIORY_URL fi
Sie können das Skript unter speichern lifecycle_configuration.sh.
Sie fügen die Lebenszykluskonfiguration Ihrer Studio Classic-Domain oder Ihrem Benutzerprofil hinzu. Weitere Informationen zum Erstellen und Anhängen einer Lebenszykluskonfiguration finden Sie unter Erstellen und Zuordnen einer Lebenszykluskonfiguration.
Die folgenden Anweisungen zeigen Ihnen, wie Sie eine Lebenszykluskonfiguration an eine Studio Classic-Domäne oder ein Benutzerprofil anhängen.
Beim Erstellen oder Anhängen einer Lebenszykluskonfiguration können Fehler auftreten. Weitere Informationen zur Fehlerbehebung bei der Lebenszykluskonfiguration finden Sie unter KernelGateway App-Fehler.
