Richten Sie Richtlinien und Berechtigungen für Studio ein - Amazon SageMaker
Zusätzliche IAM Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Richtlinien und Berechtigungen für Studio ein

Sie müssen die richtigen Richtlinien und Berechtigungen installieren, bevor Sie Ihren ersten Notebook-Lauf planen. Im Folgenden finden Sie Anweisungen zum Einrichten der folgenden Berechtigungen:

  • Rolle bei der Ausführung von einem Auftrag, Vertrauensbeziehungen

  • Zusätzliche IAM Berechtigungen, die mit der Rolle „Auftragsausführung“ verknüpft sind

  • (optional) Die AWS KMS Berechtigungsrichtlinie zur Verwendung eines benutzerdefinierten KMS Schlüssels

Wichtig

Wenn Ihr AWS Konto zu einer Organisation gehört, für die Richtlinien zur Dienststeuerung (SCP) gelten, stellen Ihre effektiven Berechtigungen die logische Schnittstelle zwischen dem, was durch die zulässig ist, SCPs und dem, was durch Ihre IAM Rollen- und Benutzerrichtlinien zulässig ist, dar. Wenn Ihre Organisation beispielsweise SCP festlegt, dass Sie nur auf Ressourcen in us-east-1 und zugreifen könnenus-west-1, und Ihre Richtlinien Ihnen nur den Zugriff auf Ressourcen in us-west-1 und gestattenus-west-2, dann können Sie letztendlich nur auf Ressourcen in zugreifenus-west-1. Wenn Sie alle in Ihren Rollen- und Benutzerrichtlinien zulässigen Berechtigungen ausüben möchten, SCPs sollten Sie in Ihrer Organisation dieselben Berechtigungen wie in Ihren eigenen IAM Benutzer- und Rollenrichtlinien gewähren. Weitere Informationen darüber, wie Sie Ihre erlaubten Anfragen ermitteln können, finden Sie unter Ermitteln, ob eine Anforderung innerhalb eines Kontos zugelassen oder verweigert wird.

Vertrauensstellungen

Führen Sie die folgenden Schritte aus, um die Vertrauensstellungen zu ändern:

  1. Öffnen Sie die IAMKonsole.

  2. Wählen Sie im linken Navigationsbereich Rollen aus.

  3. Suchen Sie die Auftragsausführungsrolle für Ihren Notebook-Auftrag und wählen Sie den Rollennamen aus.

  4. Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen).

  5. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  6. Kopieren Sie die folgende Richtlinie und fügen Sie sie ein:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Wählen Sie Richtlinie aktualisieren.

Zusätzliche IAM Berechtigungen

In den folgenden Situationen müssen Sie möglicherweise zusätzliche IAM Berechtigungen hinzufügen:

  • Ihre Rollen für die Ausführung und den Notebook-Auftrag in Studio unterscheiden sich

  • Sie müssen über einen VPC S3-Endpunkt auf Amazon S3-Ressourcen zugreifen

  • Sie möchten einen benutzerdefinierten KMS Schlüssel verwenden, um Ihre Ein- und Ausgabe von Amazon S3 S3-Buckets zu verschlüsseln.

Die folgende Erläuterung enthält die Richtlinien, die Sie für jeden Fall benötigen.

Erforderliche Berechtigungen, wenn sich Ihre Rollen in Studio Execution und Notebook-Auftrag unterscheiden

Der folgende JSON Codeausschnitt ist ein Beispiel für eine Richtlinie, die Sie den Rollen Studio Execution und Notebook hinzufügen sollten, wenn Sie die Ausführungsrolle Studio nicht als Notebook-Job-Rolle verwenden. Überprüfen und ändern Sie diese Richtlinie, wenn Sie die Rechte weiter einschränken müssen.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Erforderliche Berechtigungen für den Zugriff auf Amazon S3 S3-Ressourcen über einen VPC S3-Endpunkt

Wenn Sie SageMaker Studio im privaten VPC Modus ausführen und über den S3-Endpunkt auf S3 zugreifen, können Sie der VPC Endpunktrichtlinie Berechtigungen hinzufügen, um zu steuern, auf welche S3-Ressourcen über den VPC Endpunkt zugegriffen werden kann. VPC Fügen Sie Ihrer VPC Endpunktrichtlinie die folgenden Berechtigungen hinzu. Sie können die Richtlinie ändern, wenn Sie die Berechtigungen weiter einschränken möchten. Sie können beispielsweise eine engere Spezifikation für das Feld Principal angeben.

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Einzelheiten zum Einrichten einer VPC S3-Endpunktrichtlinie finden Sie unter VPCEndpunktrichtlinie bearbeiten.

Für die Verwendung eines benutzerdefinierten KMS Schlüssels sind Berechtigungen erforderlich (optional)

Standardmäßig werden die Amazon S3 S3-Eingabe- und Ausgabe-Buckets mit serverseitiger Verschlüsselung verschlüsselt. Sie können jedoch einen benutzerdefinierten KMS Schlüssel angeben, um Ihre Daten im Amazon S3 S3-Ausgabe-Bucket und das an den Notebook-Job angehängte Speichervolume zu verschlüsseln.

Wenn Sie einen benutzerdefinierten KMS Schlüssel verwenden möchten, fügen Sie die folgende Richtlinie bei und geben Sie Ihren eigenen KMS Schlüssel an. ARN

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}