AWS política gestionada: AmazonSageMakerHyperPodServiceRolePolicy - Amazon SageMaker
Crear un rol vinculado a un servicio para SageMaker HyperPodEditar un rol vinculado a un servicio para SageMaker HyperPodEliminar un rol vinculado a un servicio para SageMaker HyperPodRegiones compatibles para SageMaker HyperPod los roles vinculados al servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS política gestionada: AmazonSageMakerHyperPodServiceRolePolicy

SageMaker HyperPod crea y usa el rol vinculado al servicio nombrado AWSServiceRoleForSageMakerHyperPod junto con el rol AmazonSageMakerHyperPodServiceRolePolicy adjunto al rol. Esta política otorga a Amazon SageMaker HyperPod permisos para relacionados AWS servicios como Amazon EKS y Amazon CloudWatch.

La función vinculada al servicio facilita la configuración SageMaker HyperPod , ya que no es necesario añadir manualmente los permisos necesarios. SageMaker HyperPod define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo SageMaker HyperPod puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus SageMaker HyperPod recursos porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS servicios que funcionan con IAM y buscan los servicios que tienen el valor Sí en la columna Funciones vinculadas al servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

AmazonSageMakerHyperPodServiceRolePolicyPermite SageMaker HyperPod realizar las siguientes acciones en los recursos especificados en su nombre.

Detalles de los permisos

Esta política de funciones vinculadas al servicio incluye los siguientes permisos.

  • eks— Permite a los directores leer la información del clúster de Amazon Elastic EKS Kubernetes Service ().

  • logs— Permite a los directores publicar transmisiones de CloudWatch registros de Amazon en. /aws/sagemaker/Clusters

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}

Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte los permisos de funciones vinculadas a un servicio en la Guía del IAM usuario.

Crear un rol vinculado a un servicio para SageMaker HyperPod

No necesita crear manualmente un rol vinculado a servicios. Al crear un SageMaker HyperPod clúster mediante la SageMaker consola, AWS CLI, o el AWS SDKs, SageMaker HyperPod crea el rol vinculado al servicio por usted.

Si eliminas este rol vinculado al servicio pero necesitas volver a crearlo, puedes usar el mismo proceso (crear un nuevo SageMaker HyperPod clúster) para volver a crear el rol en tu cuenta.

Editar un rol vinculado a un servicio para SageMaker HyperPod

SageMaker HyperPod no permite editar el rol vinculado al AWSServiceRoleForSageMakerHyperPod servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminar un rol vinculado a un servicio para SageMaker HyperPod

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminar los recursos SageMaker HyperPod del clúster mediante el rol vinculado al servicio

Use una de las siguientes opciones para eliminar los recursos SageMaker HyperPod del clúster.

nota

Si el SageMaker HyperPod servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Utilice la IAM consola, la AWS CLI, o el AWS APIpara eliminar el rol AWSServiceRoleForSageMakerHyperPod vinculado al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones compatibles para SageMaker HyperPod los roles vinculados al servicio

SageMaker HyperPod admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Requisitos previos para. SageMaker HyperPod