Configurer des politiques et des autorisations pour Studio - Amazon SageMaker AI
Autorisations IAM supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer des politiques et des autorisations pour Studio

Vous devez installer les politiques et les autorisations appropriées avant de planifier la première utilisation de votre bloc-notes. Vous trouverez ci-dessous des instructions sur la configuration des autorisations suivantes :

  • Relations de confiance entre le rôle et l'exécution de la tâche

  • Autorisations IAM supplémentaires associées au rôle d'exécution des tâches

  • (facultatif) La politique AWS KMS d'autorisation pour utiliser une clé KMS personnalisée

Important

Si votre AWS compte appartient à une organisation ayant mis en place des politiques de contrôle des services (SCP), vos autorisations effectives constituent le point d'intersection logique entre ce qui est autorisé par votre rôle IAM et les politiques utilisateur. SCPs Par exemple, si la politique SCP de votre organisation indique que vous ne pouvez accéder aux ressources que dans us-east-1 et us-west-1, et que vos politiques vous autorisent uniquement à accéder aux ressources dans us-west-1 et us-west-2, en fin de compte, vous pouvez accéder aux ressources uniquement dans us-west-1. Si vous souhaitez exercer toutes les autorisations autorisées dans votre rôle et vos politiques utilisateur, celles de votre organisation SCPs doivent accorder le même ensemble d'autorisations que vos propres politiques relatives aux utilisateurs et aux rôles IAM. Pour en savoir plus sur la manière de déterminer vos demandes autorisées, consultez Identification d'une demande autorisée ou refusée dans un compte.

Relations d'approbation

Pour modifier les relations d'approbation, procédez comme suit :

  1. Ouvrez la console IAM.

  2. Sélectionnez Roles (Rôles) dans le panneau de gauche.

  3. Recherchez le rôle d'exécution de la tâche pour votre tâche de bloc-notes et choisissez le nom du rôle.

  4. Choisissez l'onglet Trust relationships.

  5. Choisissez Edit trust policy (Modifier la politique d’approbation).

  6. Copiez-collez la politique suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Choisissez Update Policy (Mettre à jour la politique).

Autorisations IAM supplémentaires

Il se peut que vous deviez inclure des autorisations IAM supplémentaires dans les situations suivantes :

  • Les rôles de vos tâches de bloc-notes et d'exécution Studio sont différents

  • Vous devez accéder aux ressources Amazon S3 via le point de terminaison d'un VPC S3

  • Vous souhaitez utiliser une clé KMS personnalisée pour chiffrer vos compartiments Amazon S3 d'entrée et de sortie

La discussion suivante fournit les politiques dont vous avez besoin pour chaque cas.

Autorisations requises si les rôles de vos tâches de bloc-notes et d'exécution Studio sont différents

L'extrait JSON suivant est un exemple de politique que vous devez ajouter aux rôles d'exécution Studio et de tâche de bloc-notes si vous n'utilisez pas le rôle d'exécution Studio comme rôle de tâche de bloc-notes. Passez en revue cette politique et modifiez-la si vous devez restreindre davantage les privilèges.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Autorisations requises pour accéder aux ressources Amazon S3 via le point de terminaison d'un VPC S3

Si vous exécutez SageMaker Studio en mode VPC privé et que vous accédez à S3 via le point de terminaison VPC S3, vous pouvez ajouter des autorisations à la politique de point de terminaison VPC afin de contrôler quelles ressources S3 sont accessibles via le point de terminaison VPC. Ajoutez les autorisations suivantes à votre politique de point de terminaison de VPC. Vous pouvez modifier la politique si vous devez restreindre davantage les autorisations : par exemple, vous pouvez fournir une spécification plus précise pour le champ Principal.

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Pour plus de détails sur la façon de configurer une politique de point de terminaison de VPC S3, consultez Pour modifier la politique de point de terminaison de VPC.

Autorisations nécessaires pour utiliser une clé KMS personnalisée (facultatif)

Par défaut, les compartiments Amazon S3 d'entrée et de sortie sont chiffrés à l'aide d'un chiffrement côté serveur, mais vous pouvez spécifier une clé KMS personnalisée pour chiffrer vos données dans le compartiment Amazon S3 de sortie et le volume de stockage attaché à la tâche de bloc-notes.

Si vous souhaitez utiliser une clé KMS personnalisée, joignez la politique suivante et fournissez votre propre ARN de clé KMS.

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}