Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie verwendet man SageMaker AI-Ausführungsrollen
Amazon SageMaker AI führt Operationen in Ihrem Namen mithilfe anderer AWS Dienste durch. Sie müssen SageMaker KI Berechtigungen zur Nutzung dieser Dienste und der Ressourcen, auf die sie zurückgreifen, erteilen. Sie gewähren SageMaker KI diese Berechtigungen mithilfe einer AWS Identity and Access Management (IAM-) Ausführungsrolle. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen.
Verwenden Sie zum Erstellen und Verwenden einer Ausführungsrolle die folgenden Verfahren.
Erstellen einer Ausführungsrolle
Gehen Sie wie folgt vor, um eine Ausführungsrolle mit der angehängten IAM-verwalteten Richtlinie, AmazonSageMakerFullAccess, zu erstellen. Wenn Ihr Anwendungsfall detailliertere Berechtigungen erfordert, verwenden Sie andere Abschnitte auf dieser Seite, um eine Ausführungsrolle zu erstellen, die Ihren Geschäftsanforderungen entspricht. Sie können eine Ausführungsrolle mithilfe der SageMaker AI-Konsole oder der AWS CLI erstellen.
Wichtig
Die im folgenden Verfahren verwendete IAM-verwaltete Richtlinie, AmazonSageMakerFullAccess, gewährt der Ausführungsrolle nur die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit SageMaker, Sagemaker, sagemaker oder aws-glue im Namen auszuführen. Informationen zum Hinzufügen einer zusätzlichen Richtlinie zu einer Ausführungsrolle, um ihr Zugriff auf andere Amazon-S3-Buckets und -Objekte zu gewähren, finden Sie unter Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen.
Anmerkung
Sie können eine Ausführungsrolle direkt erstellen, wenn Sie eine SageMaker AI-Domäne oder eine Notebook-Instanz erstellen.
-
Informationen zum Erstellen einer SageMaker AI-Domain finden Sie unterLeitfaden zur Einrichtung von Amazon SageMaker AI.
-
Informationen über die Erstellung einer Notebook-Instance finden Sie unter Erstellen Sie eine Amazon SageMaker Notebook-Instance für das Tutorial.
So erstellen Sie eine neue Ausführungsrolle über die SageMaker AI-Konsole
Öffnen Sie unter https://console.aws.amazon.com/iam/
die IAM-Konsole. -
Wählen Sie Roles (Rollen) und anschließend Create role (Rolle erstellen).
-
Verwenden Sie für den AWS Dienst den Entitätstyp Vertrauenswürdig und verwenden Sie dann den Abwärtspfeil, um unter Anwendungsfälle für andere AWS Dienste nach SageMaker KI zu suchen.
-
Wählen Sie SageMaker KI — Ausführung und dann Weiter.
-
Die von IAM verwaltete Richtlinie,
AmazonSageMakerFullAccess, wird automatisch an die Rolle angefügt. Um die in dieser Richtlinie enthaltenen Berechtigungen zu sehen, wählen Sie das Pluszeichen (+) neben dem Richtliniennamen. Wählen Sie Weiter. -
Geben Sie einen Rollennamen und eine Beschreibung ein.
-
(Optional) Fügen Sie der Rolle zusätzliche Berechtigungen und Tags hinzu.
-
Wählen Sie Rolle erstellen.
-
Suchen Sie im Bereich Rollen der IAM-Konsole nach der Rolle, die Sie gerade erstellt haben. Verwenden Sie bei Bedarf das Textfeld, um anhand des Rollennamens nach der Rolle zu suchen.
-
Notieren Sie sich auf der Seite mit der Rollenübersicht den ARN.
Um eine neue Ausführungsrolle aus dem AWS CLI zu erstellen
Bevor Sie eine Ausführungsrolle mithilfe der erstellen, stellen Sie sicher AWS CLI, dass Sie sie aktualisieren und konfigurieren(Optional) Konfigurieren Sie AWS CLI, indem Sie den Anweisungen unter folgen. Fahren Sie dann mit den Anweisungen unter fortBenutzerdefiniertes Setup mit dem AWS CLI.
Sobald Sie eine Ausführungsrolle erstellt haben, können Sie sie einer SageMaker AI-Domäne, einem Benutzerprofil oder einer Jupyter-Notebook-Instanz zuordnen.
-
Informationen zum Zuordnen einer Ausführungsrolle zu einer vorhandenen SageMaker AI-Domain finden Sie unter. Bearbeiten Sie die Domäneneinstellungen
-
Informationen darüber, wie Sie eine Ausführungsrolle einem vorhandenen Benutzerprofil zuordnen, finden Sie unter Benutzerprofil hinzufügen.
-
Informationen zum Zuordnen einer Ausführungsrolle zu einer vorhandenen Notebook-Instance finden Sie unter Aktualisiert eine Notebook-Instance.
Sie können auch den ARN einer Ausführungsrolle an Ihren API-Aufruf übergeben. Mit dem Amazon SageMaker Python SDK
import sagemaker, boto3 from sagemaker import image_uris sess = sagemaker.Session() region = sess.boto_region_name bucket = sess.default_bucket() prefix = "sagemaker/DEMO-xgboost-churn" container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1") xgb = sagemaker.estimator.Estimator( container,execution-role-ARN, instance_count=1, instance_type="ml.m4.xlarge", output_path="s3://{}/{}/output".format(bucket, prefix), sagemaker_session=sess, ) ...
Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen
Wenn Sie eine SageMaker KI-Funktion mit Ressourcen in Amazon S3 verwenden, wie z. B. Eingabedaten, wird die Ausführungsrolle, die Sie in Ihrer Anfrage angeben (zum BeispielCreateTrainingJob), für den Zugriff auf diese Ressourcen verwendet.
Wenn Sie die von IAM verwaltete Richtlinie, AmazonSageMakerFullAccess, an eine Ausführungsrolle anhängen, hat diese Rolle die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit SageMaker, Sagemaker, sagemaker oder aws-glue im Namen auszuführen. Es ist auch berechtigt, die folgenden Aktionen auf jeder Amazon S3-Ressource durchzuführen:
"s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors"
Um einer Ausführungsrolle Berechtigungen für den Zugriff auf einen oder mehrere bestimmte Buckets in Amazon S3 zu erteilen, können Sie der Rolle eine Richtlinie ähnlich der folgenden hinzufügen. Diese Richtlinie gewährt einer IAM-Rolle die Berechtigung, alle Aktionen auszuführen, die diesen Zugriff auf die Buckets AmazonSageMakerFullAccess amzn-s3-demo-bucket1 und amzn-s3-demo-bucket2 ermöglichen, aber einschränken. Weitere Informationen zu den für diese Funktion erforderlichen Amazon S3 S3-Berechtigungen finden Sie in der Sicherheitsdokumentation der jeweiligen SageMaker KI-Funktion, die Sie verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket2" ] } ] }
Holen Sie sich Ihre Ausführungsrolle
Sie können die SageMaker AI-Konsole
Themen
Holen Sie sich die Domain-Ausführungsrolle
Im Folgenden finden Sie Anweisungen zur Suche nach der Ausführungsrolle Ihrer Domain.
Finden Sie die Ihrer Domain zugeordnete Ausführungsrolle
-
Öffnen Sie die SageMaker AI-Konsole, https://console.aws.amazon.com/sagemaker/
-
Wählen Sie im linken Navigationsbereich unter Admin-Konfigurationen die Option Domains aus.
-
Wählen Sie den Link, der Ihrer Domain entspricht.
-
Wählen Sie den Tab Domain-Einstellungen.
-
Im Abschnitt Allgemeine Einstellungen ist der ARN der Ausführungsrolle unter Ausführungsrolle aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen
/im ARN der Ausführungsrolle.
Rufen Sie die Space-Ausführungsrolle ab
Im Folgenden finden Sie Anweisungen, wie Sie die Ausführungsrolle Ihres Spaces ermitteln können.
Finden Sie die Ausführungsrolle, die Ihrem Bereich zugewiesen ist
-
Öffnen Sie die SageMaker AI-Konsole, https://console.aws.amazon.com/sagemaker/
-
Wählen Sie im linken Navigationsbereich unter Admin-Konfigurationen die Option Domains aus.
-
Wählen Sie den Link, der Ihrer Domain entspricht.
-
Wählen Sie den Tab Speicherverwaltung.
-
Im Abschnitt Details ist der ARN der Ausführungsrolle unter Ausführungsrolle aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen
/im ARN der Ausführungsrolle.
Anmerkung
Der folgende Code soll in einer SageMaker KI-Umgebung ausgeführt werden, wie jeder IDEs in Amazon SageMaker Studio. Sie erhalten eine Fehlermeldung, wenn Sie get_execution_role außerhalb einer SageMaker KI-Umgebung laufen.
Der folgende get_execution_role
from sagemaker import get_execution_role role = get_execution_role() print(role)
Der Name der Ausführungsrolle steht hinter dem letzten Namen / im ARN der Ausführungsrolle.
Ruft die Ausführungsrolle des Benutzers ab
Im Folgenden finden Sie Anweisungen zur Suche nach der Ausführungsrolle eines Benutzers.
Finden Sie die Ausführungsrolle, die einem Benutzer zugewiesen ist
-
Öffnen Sie die SageMaker AI-Konsole, https://console.aws.amazon.com/sagemaker/
-
Wählen Sie im linken Navigationsbereich unter Admin-Konfigurationen die Option Domains aus.
-
Wählen Sie den Link, der Ihrer Domain entspricht.
-
Wählen Sie den Tab Benutzerprofile.
-
Wählen Sie den Link, der Ihrem Benutzer entspricht.
-
Im Abschnitt Details ist der ARN der Ausführungsrolle unter Ausführungsrolle aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen
/im ARN der Ausführungsrolle.
Anmerkung
Um die folgenden Beispiele verwenden zu können, müssen Sie AWS Command Line Interface (AWS CLI) installiert und konfiguriert haben. Weitere Informationen finden Sie unter Erste Schritte mit dem AWS CLI im AWS Command Line Interface Benutzerhandbuch für Version 2.
Der folgende get-caller-identity
aws sts get-caller-identity
Der Name der Ausführungsrolle steht hinter dem letzten Namen / im ARN der Ausführungsrolle.
Ändern Sie Ihre Ausführungsrolle
Eine Ausführungsrolle ist eine IAM-Rolle, die eine SageMaker KI-Identität (wie ein SageMaker KI-Benutzer, ein Bereich oder eine Domäne) annimmt. Wenn Sie die IAM-Rolle ändern, ändern sich die Berechtigungen für alle Identitäten, die diese Rolle übernehmen.
Wenn Sie eine Ausführungsrolle ändern, ändert sich auch die Ausführungsrolle des entsprechenden Bereichs. Es kann einige Zeit dauern, bis sich die Auswirkungen der Änderung ausbreiten.
-
Wenn Sie die Ausführungsrolle eines Benutzers ändern, übernehmen die von diesem Benutzer erstellten privaten Bereiche die geänderte Ausführungsrolle.
-
Wenn Sie die standardmäßige Ausführungsrolle eines Bereichs ändern, übernehmen die gemeinsam genutzten Bereiche in der Domäne die geänderte Ausführungsrolle.
Weitere Informationen zu Ausführungsrollen und Spaces finden Sie unterGrundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen.
Sie können die Ausführungsrolle für eine Identität in eine andere IAM-Rolle ändern, indem Sie eine der folgenden Anweisungen verwenden.
Wenn Sie stattdessen eine Rolle ändern möchten, die eine Identität annimmt, finden Sie Ändern Sie die Berechtigungen für die Ausführungsrolle weitere Informationen unter.
Themen
Ändern Sie die standardmäßige Ausführungsrolle der Domäne
Im Folgenden finden Sie Anweisungen zum Ändern der standardmäßigen Ausführungsrolle Ihrer Domain.
Ändern Sie die standardmäßige Ausführungsrolle, die Ihrer Domain zugewiesen ist
-
Öffnen Sie die SageMaker AI-Konsole, https://console.aws.amazon.com/sagemaker/
-
Wählen Sie im linken Navigationsbereich unter Admin-Konfigurationen die Option Domains aus.
-
Wählen Sie den Link, der Ihrer Domain entspricht.
-
Wählen Sie den Tab Domain-Einstellungen.
-
Wählen Sie im Abschnitt Allgemeine Einstellungen die Option Bearbeiten aus.
-
Erweitern Sie im Abschnitt Berechtigungen unter Standard-Ausführungsrolle die Dropdownliste.
-
In der Dropdownliste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „Rolle mithilfe des Assistenten zur Rollenerstellung erstellen“ auswählen.
-
Wählen Sie in den folgenden Schritten „Weiter“ und im letzten Schritt „Senden“.
Ändern Sie die standardmäßige Ausführungsrolle von Space
Im Folgenden finden Sie Anweisungen zum Ändern der Standard-Ausführungsrolle Ihres Spaces. Wenn Sie diese Ausführungsrolle ändern, ändert sich auch die Rolle, die von allen gemeinsam genutzten Bereichen in der Domäne eingenommen wird.
Ändern Sie die Standard-Ausführungsrolle für den Space, wenn Sie einen neuen Space erstellen
-
Öffnen Sie die SageMaker AI-Konsole, https://console.aws.amazon.com/sagemaker/
-
Wählen Sie im linken Navigationsbereich unter Admin-Konfigurationen die Option Domains aus.
-
Wählen Sie den Link, der Ihrer Domain entspricht.
-
Wählen Sie den Tab Domain-Einstellungen.
-
Wählen Sie im Abschnitt Allgemeine Einstellungen die Option Bearbeiten aus.
-
Erweitern Sie im Abschnitt Berechtigungen unter Space (Standardausführungsrolle) die Dropdownliste.
-
In der Dropdownliste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „Rolle mithilfe des Assistenten zur Rollenerstellung erstellen“ auswählen.
-
Wählen Sie in den folgenden Schritten „Weiter“ und im letzten Schritt „Senden“.
Ändern Sie die Ausführungsrolle des Benutzerprofils
Im Folgenden finden Sie Anweisungen zum Ändern der Ausführungsrolle eines Benutzers. Wenn Sie diese Ausführungsrolle ändern, ändert sich auch die Rolle, die von allen privaten Bereichen übernommen wird, die von diesem Benutzer erstellt wurden.
Ändern Sie die einem Benutzer zugewiesene Ausführungsrolle
-
Öffnen Sie die SageMaker AI-Konsole, https://console.aws.amazon.com/sagemaker/
-
Wählen Sie im linken Navigationsbereich unter Admin-Konfigurationen die Option Domains aus.
-
Wählen Sie den Link, der Ihrer Domain entspricht.
-
Wählen Sie den Tab Benutzerprofile.
-
Wählen Sie den Link, der dem Namen des Benutzerprofils entspricht.
-
Wählen Sie Edit (Bearbeiten) aus.
-
In der Dropdownliste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „Rolle mithilfe des Assistenten zur Rollenerstellung erstellen“ auswählen.
-
Wählen Sie in den folgenden Schritten „Weiter“ und im letzten Schritt „Senden“.
Ändern Sie die Berechtigungen für die Ausführungsrolle
Sie können bestehende Berechtigungen für die Ausführungsrolle einer Identität (z. B. eines SageMaker KI-Benutzers, eines Bereichs oder einer Domäne) ändern. Dazu müssen Sie die entsprechende IAM-Rolle finden, die die Identität annimmt, und dann diese IAM-Rolle ändern. Im Folgenden finden Sie Anweisungen, wie Sie dies über die Konsole erreichen können.
Wenn Sie eine Ausführungsrolle ändern, ändert sich auch die Ausführungsrolle des entsprechenden Bereichs. Die Änderung wirkt sich möglicherweise nicht unmittelbar aus.
-
Wenn Sie die Ausführungsrolle eines Benutzers ändern, übernehmen die von diesem Benutzer erstellten privaten Bereiche die geänderte Ausführungsrolle.
-
Wenn Sie die standardmäßige Ausführungsrolle eines Bereichs ändern, übernehmen die gemeinsam genutzten Bereiche in der Domäne die geänderte Ausführungsrolle.
Weitere Informationen zu Ausführungsrollen und Bereichen finden Sie unterGrundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen.
Wenn Sie stattdessen eine Rolle ändern möchten, die eine Identität annimmt, finden Sie unterÄndern Sie Ihre Ausführungsrolle.
Um die Berechtigungen für Ihre Ausführungsrollen zu ändern
-
Rufen Sie zunächst den Namen der Identität ab, die Sie ändern möchten.
-
Informationen zum Ändern einer Rolle, die eine Identität annimmt, finden Sie unter Ändern einer Rolle im AWS Identity and Access Management Benutzerhandbuch.
Weitere Informationen und Anweisungen zum Hinzufügen von Berechtigungen zu IAM-Identitäten finden Sie unter Hinzufügen oder Entfernen von Identitätsberechtigungen im AWS Identity and Access Management Benutzerhandbuch.
Rollen weitergeben
Aktionen wie die Übertragung einer Rolle zwischen Diensten sind eine übliche Funktion innerhalb von SageMaker KI. Weitere Informationen zu Aktionen, Ressourcen und Bedingungsschlüsseln für SageMaker KI finden Sie in der Service Authorization Reference.
Sie übergeben die Rolle (iam:PassRole), wenn Sie diese API-Aufrufe tätigen: CreateAutoMLJobCreateCompilationJobCreateDomainCreateFeatureGroup, CreateFlowDefiniton, CreateHyperParameterTuningJob, CreateImage, CreateLabelingJob, CreateModel, CreateMonitoringSchedule, CreateNotebookInstance, CreateProcessingJob, CreateTrainingJob, CreateUserProfile, RenderUiTemplate, UpdateImage, und UpdateNotebookInstance.
Sie fügen der IAM-Rolle die folgende Vertrauensrichtlinie hinzu, die SageMaker AI-Prinzipalberechtigungen zur Übernahme der Rolle gewährt. Sie gilt für alle Ausführungsrollen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Die Berechtigungen, die der Rolle erteilt werden müssen, hängen von der aufgerufenen API ab. Die folgenden Abschnitte erläutern diese Berechtigungen.
Anmerkung
Anstatt Berechtigungen zu verwalten, indem Sie eine Berechtigungsrichtlinie erstellen, können Sie die AWS-managed AmazonSageMakerFullAccess Permission Policy verwenden. Die Berechtigungen in dieser Richtlinie sind ziemlich breit gefächert und ermöglichen alle Aktionen, die Sie möglicherweise in SageMaker KI ausführen möchten. Eine Liste der Richtlinien einschließlich Informationen über die Gründe für das Hinzufügen vieler dieser Zugriffsrechte, finden Sie unter AWS verwaltete Richtlinie: AmazonSageMakerFullAccess. Wenn Sie lieber benutzerdefinierte Richtlinien erstellen und Berechtigungen so verwalten möchten, dass sie nur für die Aktionen, die Sie mit der Ausführungsrolle durchführen müssen, gelten, lesen Sie die folgenden Themen.
Wichtig
Wenn Sie auf Probleme stoßen, finden Sie weitere Informationen unter Fehlerbehebung bei Amazon SageMaker AI Identity and Access.
Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen in der Serviceautorisierungsreferenz.
Themen
CreateAutoMLJob und CreateAuto MLJob V2-API: Berechtigungen für Ausführungsrollen
CreateImage und UpdateImage APIs: Berechtigungen für die Ausführungsrolle
CreateNotebookInstance API: Berechtigungen für Ausführungsrollen
CreateHyperParameterTuningJob API: Berechtigungen für die Ausführungsrolle
CreateProcessingJob API: Berechtigungen für die Ausführungsrolle
CreateTrainingJob API: Berechtigungen für die Ausführungsrolle
SageMaker Funktionen und Rollen im Zusammenhang mit räumlichen Daten
CreateAutoMLJob und CreateAuto MLJob V2-API: Berechtigungen für Ausführungsrollen
Für eine Ausführungsrolle, die Sie in einer CreateAutoMLJob oder CreateAutoMLJobV2 API-Anfrage übergeben können, können Sie der Rolle die folgende Mindestberechtigungsrichtlinie zuordnen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:InvokeEndpoint", "sagemaker:ListTags", "sagemaker:DescribeEndpoint", "sagemaker:CreateModel", "sagemaker:CreateEndpointConfig", "sagemaker:CreateEndpoint", "sagemaker:DeleteModel", "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteEndpoint", "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Wenn Sie eine private VPC für Ihren AutoML-Auftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wird, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Wenn Sie einen KMS-Schlüssel in der Ausgabekonfiguration Ihres AutoML-Auftrags angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Wenn Sie einen Volume-KMS-Schlüssel in der Ressourcenkonfiguration Ihres AutoML-Auftrags angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateDomain API: Berechtigungen für die Ausführungsrolle
Die Ausführungsrolle für Domänen mit IAM Identity Center und die Benutzer-/Ausführungsrolle für IAM-Domänen benötigen die folgenden Berechtigungen, wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel KmsKeyId in der API-Anfrage übergeben. CreateDomain Die Berechtigungen werden während des CreateApp API-Aufrufs durchgesetzt.
Bei einer Ausführungsrolle, die Sie in einer CreateDomain-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" } ] }
Wenn die Berechtigungen in einer KMS-Richtlinie angegeben sind, können Sie der Rolle alternativ die folgende Richtlinie hinzufügen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/ExecutionRole" ] }, "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }
CreateImage und UpdateImage APIs: Berechtigungen für die Ausführungsrolle
Für eine Ausführungsrolle, die Sie in einer – CreateImageoder UpdateImage-API-Anfrage übergeben können, können Sie die folgende Berechtigungsrichtlinie an die Rolle anhängen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" } ] }
CreateNotebookInstance API: Berechtigungen für Ausführungsrollen
Die Berechtigungen, die Sie der Ausführungsrolle für den Aufruf der CreateNotebookInstance-API erteilen, hängen davon ab, was Sie mit der Notebook-Instance tun möchten. Wenn Sie damit SageMaker KI aufrufen und dieselbe Rolle beim Aufrufen von APIs und übergeben möchten CreateModel APIs, fügen Sie der CreateTrainingJob Rolle die folgende Berechtigungsrichtlinie hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage", "ecr:CreateRepository", "cloudwatch:PutMetricData", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents", "s3:CreateBucket", "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "ec2:CreateVpcEndpoint", "ec2:DescribeRouteTables", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Um die Berechtigungen einzuschränken, beschränken Sie sie auf bestimmte Amazon S3- und Amazon ECR-Ressourcen, indem Sie "Resource": "*" wie folgt einschränken:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "cloudwatch:PutMetricData", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object1", "arn:aws:s3:::outputbucket/path", "arn:aws:s3:::inputbucket/object2", "arn:aws:s3:::inputbucket/object3" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo1", "arn:aws:ecr:region::repository/my-repo2", "arn:aws:ecr:region::repository/my-repo3" ] } ] }
Wenn Sie planen, auf andere Ressourcen wie Amazon DynamoDB oder Amazon Relational Database Service zuzugreifen, fügen Sie die entsprechenden Berechtigungen zu dieser Richtlinie hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
-
Weisen Sie die
s3:ListBucket-Berechtigung dem spezifischen Bucket zu, den Sie alsInputDataConfig.DataSource.S3DataSource.S3Uriin einerCreateTrainingJob-Anforderung angegeben haben. -
Weisen Sie die Berechtigungen
s3:GetObject,s3:PutObjectunds3:DeleteObjectfolgendermaßen zu:-
Begrenzen Sie auf die folgenden Werte, die Sie in einer
CreateTrainingJob-Anforderung definieren:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Begrenzen Sie auf die folgenden Werte, die Sie in einer
CreateModel-Anforderung definieren:PrimaryContainer.ModelDataUrlSuplementalContainers.ModelDataUrl
-
-
Weisen Sie die
ecr-Berechtigungen folgendermaßen zu:-
Begrenzen Sie auf den
AlgorithmSpecification.TrainingImage-Wert, den Sie in einerCreateTrainingJob-Anforderung definieren. -
Begrenzen Sie auf den
PrimaryContainer.Image-Wert, den Sie in einerCreateModel-Anforderung definieren:
-
Die Aktionen cloudwatch und logs gelten für die Ressourcen "*". Weitere Informationen finden Sie unter CloudWatch Ressourcen und Abläufe im CloudWatch Amazon-Benutzerhandbuch.
CreateHyperParameterTuningJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer CreateHyperParameterTuningJob-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Anstatt dies zu spezifizieren"Resource": "*", könnten Sie diese Berechtigungen auf bestimmte Amazon S3-, Amazon ECR- und Amazon CloudWatch Logs-Ressourcen beschränken:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/TrainingJobs*" } ] }
Wenn der mit dem Hyperparameter-Abstimmungsauftrag verbundene Trainingscontainer auf andere Datenquellen wie DynamoDB- oder Amazon RDS-Ressourcen zugreifen muss, fügen Sie dieser Richtlinie die entsprechenden Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
-
Weisen Sie die
s3:ListBucket-Berechtigung einem spezifischen Bucket zu, den Sie alsInputDataConfig.DataSource.S3DataSource.S3Uriin einerCreateTrainingJob-Anforderung angeben. -
Weisen Sie die Berechtigungen
s3:GetObjectunds3:PutObjectfolgenden Objekten zu, die Sie in der Ein- und Ausgabedatenkonfiguration in einerCreateHyperParameterTuningJob-Anforderung spezifizieren:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (
AlgorithmSpecification.TrainingImage), den Sie in einerCreateHyperParameterTuningJobAnfrage angeben. -
Umfang der Amazon CloudWatch Logs-Berechtigungen zum Protokollieren von Gruppen von SageMaker Schulungsaufträgen.
Die cloudwatch Aktionen gelten für die Ressourcen "*". Weitere Informationen finden Sie unter CloudWatch Ressourcen und Abläufe im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für den Hyperparameter-Optimierungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wurde, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Wenn Sie in der Ausgabekonfiguration Ihres Hyperparameter-Optimierungsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Wenn Sie in der Ressourcenkonfiguration Ihres Hyperparameter-Optimierungsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateProcessingJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer CreateProcessingJob-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Anstatt "Resource": "*" anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
Wenn CreateProcessingJob.AppSpecification.ImageUri auf andere Datenquellen, wie DynamoDB- oder Amazon RDS-Ressourcen, zugreifen muss, fügen Sie dieser Richtlinie entsprechende Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
-
Weisen Sie die
s3:ListBucket-Berechtigung einem spezifischen Bucket zu, den Sie alsProcessingInputsin einerCreateProcessingJob-Anforderung angeben. -
Gültigkeitsbereich der Berechtigungen
s3:GetObjectunds3:PutObjectfür die Objekte, die in derProcessingInputsundProcessingOutputConfigin einerCreateProcessingJob-Anforderung heruntergeladen oder hochgeladen werden. -
Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (
AppSpecification.ImageUri), den Sie in einerCreateProcessingJobAnfrage angeben.
Die Aktionen cloudwatch und logs gelten für die Ressourcen "*". Weitere Informationen finden Sie unter CloudWatch Ressourcen und Abläufe im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für Ihren Verarbeitungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu. Geben Sie in der Richtlinie keine Bedingungen oder Ressourcenfilter an. Andernfalls schlagen die Validierungsprüfungen, die während der Erstellung des Verarbeitungsauftrags durchgeführt werden, fehl.
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wurde, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Wenn Sie in der Ausgabekonfiguration Ihres Verarbeitungsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Wenn Sie in der Ressourcenkonfiguration Ihres Verarbeitungsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateTrainingJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer CreateTrainingJob-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Anstatt "Resource": "*" anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
Wenn CreateTrainingJob.AlgorithSpecifications.TrainingImage auf andere Datenquellen, wie DynamoDB- oder Amazon RDS-Ressourcen, zugreifen muss, fügen Sie dieser Richtlinie entsprechende Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
-
Weisen Sie die
s3:ListBucket-Berechtigung einem spezifischen Bucket zu, den Sie alsInputDataConfig.DataSource.S3DataSource.S3Uriin einerCreateTrainingJob-Anforderung angeben. -
Weisen Sie die Berechtigungen
s3:GetObjectunds3:PutObjectfolgenden Objekten zu, die Sie in der Ein- und Ausgabedatenkonfiguration in einerCreateTrainingJob-Anforderung spezifizieren:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (
AlgorithmSpecification.TrainingImage), den Sie in einerCreateTrainingJobAnfrage angeben.
Die Aktionen cloudwatch und logs gelten für die Ressourcen "*". Weitere Informationen finden Sie unter CloudWatch Ressourcen und Abläufe im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für den Trainingsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wurde, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Wenn Sie in der Ausgabekonfiguration Ihres Trainingsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Wenn Sie in der Ressourcenkonfiguration Ihres Trainingsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateModel API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer CreateModel-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Anstatt "Resource": "*" anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo", "arn:aws:ecr:region::repository/my-repo" ] } ] }
Wenn CreateModel.PrimaryContainer.Image Zugriff auf andere Datenquellen – z. B. Amazon DynamoDB- oder Amazon RDS-Ressourcen – benötigt, fügen Sie dieser Richtlinie die entsprechenden Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
-
Weisen Sie S3-Berechtigungen den Objekten zu, die Sie unter
PrimaryContainer.ModelDataUrlin einerCreateModel-Anforderung angeben. -
Erweitern Sie Amazon ECR-Berechtigungen auf einen bestimmten Registry-Pfad, den Sie als
PrimaryContainer.ImageundSecondaryContainer.Imagein einerCreateModelAnfrage angeben.
Die Aktionen cloudwatch und logs gelten für die Ressourcen "*". Weitere Informationen finden Sie unter CloudWatch Ressourcen und Abläufe im CloudWatch Amazon-Benutzerhandbuch.
Anmerkung
Wenn Sie planen, die SageMaker AI-Bereitstellungs-Guardrails-Funktion für die Modellbereitstellung in der Produktion zu verwenden, stellen Sie sicher, dass Ihre Ausführungsrolle berechtigt ist, die cloudwatch:DescribeAlarms Aktion für Ihre automatischen Rollback-Alarme auszuführen.
Wenn Sie eine private VPC für das Modell angeben, fügen Sie die folgenden Berechtigungen hinzu:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
