Étape 6 : créer une politique IAM pour les bloc-notes SageMaker - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 6 : créer une politique IAM pour les bloc-notes SageMaker

Si vous prévoyez d'utiliser des blocs-notes SageMaker avec des points de terminaison de développement, vous devez spécifier des autorisations lorsque vous créez le serveur de bloc-notes. Vous fournissez ces autorisations à l'aide d'AWS Identity and Access Management (IAM).

Pour créer une politique IAM pour les bloc-notes SageMaker
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Sélectionnez Créer une politique.

  4. Sur la page Créer une politique, accédez à un onglet pour modifier le fichier JSON. Créez votre document de politique avec les instructions JSON suivantes. Modifiez bucket-name, region-code et account-id en fonction de votre environnement.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code:account-id:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code:account-id:notebook-instance/*" ] } ] }

    Sélectionnez ensuite Examiner une politique.

    Le tableau suivant décrit les autorisations accordées par cette politique.

    Action Ressource Description

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Octroie l’autorisation de répertorier les compartiments Amazon S3.

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    Octroie l'autorisation d'obtenir les objets Amazon S3 qui sont utilisés par les blocs-notes SageMaker.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    Octroie l'autorisation d'écrire des journaux dans Amazon CloudWatch Logs à partir des blocs-notes.

    Convention de dénomination : écrit dans les groupes de journaux dont le nom commence par aws-glue.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    Octroie l'autorisation d'utiliser un point de terminaison de développement à partir des blocs-notes SageMaker.

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    Accorde l'autorisation de renvoyer des balises pour une ressource SageMaker. La balise aws-glue-dev-endpoint est requise sur le bloc-notes SageMaker pour connecter le bloc-notes à un point de terminaison de développement.

  5. Sur l'écran Review policy (Examiner la politique), saisissez votre Policy Name (Nom de politique), par exemple, AWSGlueSageMakerNotebook. Saisissez éventuellement une description, et lorsque vous êtes satisfait de la politique, sélectionnez Créer une politique.