Richten Sie Richtlinien und Berechtigungen für Studio ein - Amazon SageMaker KI
Zusätzliche IAM-Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Richtlinien und Berechtigungen für Studio ein

Sie müssen die richtigen Richtlinien und Berechtigungen installieren, bevor Sie Ihren ersten Notebook-Lauf planen. Im Folgenden finden Sie Anweisungen zum Einrichten der folgenden Berechtigungen:

  • Rolle bei der Ausführung von einem Auftrag, Vertrauensbeziehungen

  • Zusätzliche IAM-Berechtigungen, die mit der Rolle „Auftragsausführung“ verknüpft sind

  • (optional) Die AWS KMS Berechtigungsrichtlinie zur Verwendung eines benutzerdefinierten KMS-Schlüssels

Wichtig

Wenn Ihr AWS Konto zu einer Organisation gehört, für die Service Control Policies (SCP) gelten, stellen Ihre effektiven Berechtigungen die logische Schnittmenge zwischen dem, was nach Ihren IAM-Rollen SCPs - und Benutzerrichtlinien zulässig ist, dar. Wenn der SCP Ihrer Organisation beispielsweise festlegt, dass Sie nur auf Ressourcen in us-east-1 und us-west-1 zugreifen können, und Ihre Richtlinien Ihnen nur den Zugriff auf Ressourcen in us-west-1 und us-west-2 gestatten, dann können Sie letztlich nur auf Ressourcen in us-west-1 zugreifen. Wenn Sie alle in Ihren Rollen- und Benutzerrichtlinien zulässigen Berechtigungen ausüben möchten, SCPs sollte Ihre Organisation dieselben Berechtigungen gewähren wie Ihren eigenen IAM-Benutzer- und Rollenrichtlinien. Weitere Informationen darüber, wie Sie Ihre erlaubten Anfragen ermitteln können, finden Sie unter Ermitteln, ob eine Anforderung innerhalb eines Kontos zugelassen oder verweigert wird.

Vertrauensstellungen

Führen Sie die folgenden Schritte aus, um die Vertrauensstellungen zu ändern:

  1. Öffnen Sie die IAM-Konsole.

  2. Wählen Sie im linken Navigationsbereich Rollen aus.

  3. Suchen Sie die Auftragsausführungsrolle für Ihren Notebook-Auftrag und wählen Sie den Rollennamen aus.

  4. Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen).

  5. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  6. Kopieren Sie die folgende Richtlinie und fügen Sie sie ein:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Wählen Sie Richtlinie aktualisieren.

Zusätzliche IAM-Berechtigungen

In folgenden Situationen müssen Sie möglicherweise zusätzliche IAM-Berechtigungen angeben:

  • Ihre Rollen für die Ausführung und den Notebook-Auftrag in Studio unterscheiden sich

  • Sie müssen über einen S3-VPC-Endpunkt auf Amazon S3-Ressourcen zugreifen

  • Sie möchten einen benutzerdefinierten KMS-Schlüssel verwenden, um Ihre Ein- und Ausgabe von Amazon-S3-Buckets zu verschlüsseln

Die folgende Erläuterung enthält die Richtlinien, die Sie für jeden Fall benötigen.

Erforderliche Berechtigungen, wenn sich Ihre Rollen in Studio Execution und Notebook-Auftrag unterscheiden

Das folgende JSON-Snippet ist ein Beispiel für eine Richtlinie, die Sie zu den Rollen Studio Execution und Notebook-Auftrag hinzufügen sollten, wenn Sie die Studio-Ausführungsrolle nicht als Notebook-Auftragsrolle verwenden. Überprüfen und ändern Sie diese Richtlinie, wenn Sie die Rechte weiter einschränken müssen.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Für den Zugriff auf Amazon S3-Ressourcen über ein S3 VPC-Endpunkt erforderliche Berechtigungen

Wenn Sie SageMaker Studio im privaten VPC-Modus ausführen und über den S3-VPC-Endpunkt auf S3 zugreifen, können Sie der VPC-Endpunktrichtlinie Berechtigungen hinzufügen, um zu steuern, auf welche S3-Ressourcen über den VPC-Endpunkt zugegriffen werden kann. Fügen Sie Ihrer VPC-Endpunktrichtlinie die folgenden Berechtigungen hinzu. Sie können die Richtlinie ändern, wenn Sie die Berechtigungen weiter einschränken möchten. Sie können beispielsweise eine engere Spezifikation für das Feld Principal angeben.

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Einzelheiten zum Einrichten einer S3-VPC-Endpunktrichtlinie finden Sie unter VPC-Endpunktrichtlinie bearbeiten.

Für die Verwendung eines benutzerdefinierten KMS-Schlüssels sind Berechtigungen erforderlich (optional)

Standardmäßig werden die Amazon S3-Eingabe- und Ausgabe-Buckets mit serverseitiger Verschlüsselung verschlüsselt. Sie können jedoch einen benutzerdefinierten KMS-Schlüssel angeben, um Ihre Daten im Amazon S3-Ausgabe-Bucket und das an den Notebook-Auftrag angehängte Speichervolume zu verschlüsseln.

Wenn Sie einen benutzerdefinierten KMS-Schlüssel verwenden möchten, fügen Sie die folgende Richtlinie bei und geben Sie Ihren eigenen KMS-Schlüssel-ARN an.

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}