Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Deberá instalar las políticas y los permisos adecuados antes de programar la primera ejecución del cuaderno. A continuación, se proporcionan instrucciones para configurar los siguientes permisos:
-
Relaciones de confianza del rol de ejecución de trabajos
-
Permisos de IAM adicionales asociados al rol de ejecución de trabajos
-
(opcional) La política de AWS KMS permisos para usar una clave KMS personalizada
importante
Si su AWS cuenta pertenece a una organización que cuenta con políticas de control de servicios (SCP), sus permisos efectivos son la intersección lógica entre lo que permiten sus políticas de usuario SCPs y rol de IAM y lo que permiten. Por ejemplo, si la SCP de su organización especifica que solo puede acceder a los recursos de us-east-1 y us-west-1, y sus políticas solo le permiten acceder a los recursos de us-west-1 yus-west-2, en última instancia, solo podrá acceder a los recursos de us-west-1. Si quieres ejercer todos los permisos permitidos en tus políticas de rol y usuario, las de tu organización SCPs deberían concederte el mismo conjunto de permisos que tus propias políticas de usuario y rol de IAM. Para obtener información acerca de cómo determinar las solicitudes permitidas, consulte Cómo determinar si se una solicitud se permite o se deniega dentro de una cuenta.
Relaciones de confianza
Para modificar las relaciones de confianza, siga los pasos siguientes:
-
Abra la consola de IAM
. -
En el panel izquierdo, seleccione Roles.
-
Busque el rol de ejecución de trabajos para el trabajo del cuaderno y elija el nombre del rol.
-
Seleccione la pestaña Relaciones de confianza.
-
Elija Editar la política de confianza.
-
Copie y pegue la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Elija Actualizar política.
Permisos de IAM adicionales
Es posible que tenga que incluir permisos de IAM adicionales en las siguientes situaciones:
-
Los roles de trabajo del cuaderno y los roles de ejecución de Studio son diferentes
-
Debe acceder a los recursos de Amazon S3 a través de un punto de conexión de VPC de S3
-
Desea utilizar una clave de KMS personalizada para cifrar los buckets de Amazon S3 de entrada y salida
El siguiente análisis proporciona las políticas que necesita para cada caso.
Permisos necesarios si los roles de trabajo del cuaderno y los roles de ejecución de Studio son diferentes
El siguiente fragmento de código JSON es un ejemplo de política que debe agregar a los roles de trabajo del cuaderno y de ejecución de Studio si no utiliza el rol de ejecución de Studio como rol de trabajo del cuaderno. Revise y modifique esta política si necesita restringir aún más los privilegios.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}Permisos necesarios para acceder a los recursos de Amazon S3 a través de un punto de conexión de VPC de S3
Si ejecutas SageMaker Studio en modo de VPC privada y accedes a S3 a través del punto de enlace de VPC de S3, puedes añadir permisos a la política de puntos de enlace de VPC para controlar a qué recursos de S3 se puede acceder a través del punto de enlace de VPC. Agregue los siguientes permisos a su política de puntos de conexión de VPC. Puede modificar la política si necesita restringir aún más los permisos; por ejemplo, puede proporcionar una especificación más específica para el campo Principal.
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}Para obtener más información sobre cómo configurar una política de puntos de conexión de VPC de S3, consulte Edición de la política del punto de conexión de VPC.
Permisos necesarios para usar una clave de KMS personalizada (opcional)
De forma predeterminada, los buckets de Amazon S3 de entrada y salida se cifran mediante el cifrado del lado del servidor, pero puede especificar una clave de KMS personalizada para cifrar los datos en el bucket de Amazon S3 de salida y en el volumen de almacenamiento asociado al trabajo del cuaderno.
Si desea utilizar una clave de KMS personalizada, asocie la siguiente política y proporcione su propio ARN de clave de KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:CreateGrant" ], "Resource":"your_KMS_key_ARN" } ] }
