Configurer des politiques et des autorisations pour Studio - Amazon SageMaker
IAMAutorisations supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer des politiques et des autorisations pour Studio

Vous devez installer les politiques et les autorisations appropriées avant de planifier la première utilisation de votre bloc-notes. Vous trouverez ci-dessous des instructions sur la configuration des autorisations suivantes :

  • Relations de confiance entre le rôle et l'exécution de la tâche

  • IAMAutorisations supplémentaires associées au rôle d'exécution de la tâche

  • (facultatif) La politique AWS KMS d'autorisation pour utiliser une KMS clé personnalisée

Important

Si votre AWS compte appartient à une organisation ayant mis en place des politiques de contrôle des services (SCP), vos autorisations effectives constituent l'intersection logique entre ce qui est autorisé par le SCPs IAM rôle et les politiques utilisateur. Par exemple, si votre organisation SCP indique que vous ne pouvez accéder aux ressources que dans us-east-1 etus-west-1, et que vos politiques vous autorisent uniquement à accéder aux ressources dans us-west-1 etus-west-2, en fin de compte, vous ne pouvez accéder aux ressources que dansus-west-1. Si vous souhaitez exercer toutes les autorisations autorisées dans votre rôle et vos politiques utilisateur, celles de votre organisation SCPs doivent accorder le même ensemble d'autorisations que vos propres politiques relatives aux IAM utilisateurs et aux rôles. Pour en savoir plus sur la manière de déterminer vos demandes autorisées, consultez Identification d'une demande autorisée ou refusée dans un compte.

Relations d'approbation

Pour modifier les relations d'approbation, procédez comme suit :

  1. Ouvrez la IAMconsole.

  2. Sélectionnez Roles (Rôles) dans le panneau de gauche.

  3. Recherchez le rôle d'exécution de la tâche pour votre tâche de bloc-notes et choisissez le nom du rôle.

  4. Choisissez l'onglet Trust relationships.

  5. Choisissez Edit trust policy (Modifier la politique d’approbation).

  6. Copiez-collez la politique suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Choisissez Update Policy (Mettre à jour la politique).

IAMAutorisations supplémentaires

Il se peut que vous deviez inclure IAM des autorisations supplémentaires dans les situations suivantes :

  • Les rôles de vos tâches de bloc-notes et d'exécution Studio sont différents

  • Vous devez accéder aux ressources Amazon S3 via un point de VPC terminaison S3

  • Vous souhaitez utiliser une KMS clé personnalisée pour chiffrer vos compartiments Amazon S3 d'entrée et de sortie

La discussion suivante fournit les politiques dont vous avez besoin pour chaque cas.

Autorisations requises si les rôles de vos tâches de bloc-notes et d'exécution Studio sont différents

L'JSONextrait suivant est un exemple de politique que vous devez ajouter aux rôles de travail d'exécution de Studio et de bloc-notes si vous n'utilisez pas le rôle d'exécution de Studio comme rôle de travail de bloc-notes. Passez en revue cette politique et modifiez-la si vous devez restreindre davantage les privilèges.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Autorisations nécessaires pour accéder aux ressources Amazon S3 via un point de VPC terminaison S3

Si vous exécutez SageMaker Studio en VPC mode privé et que vous accédez à S3 via le point de VPC terminaison S3, vous pouvez ajouter des autorisations à la politique du point de VPC terminaison afin de contrôler les ressources S3 accessibles via le VPC point de terminaison. Ajoutez les autorisations suivantes à votre politique de point de VPC terminaison. Vous pouvez modifier la politique si vous devez restreindre davantage les autorisations : par exemple, vous pouvez fournir une spécification plus précise pour le champ Principal.

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Pour plus de détails sur la façon de configurer une politique de point de VPC terminaison S3, consultez Modifier la politique de point de VPC terminaison.

Autorisations nécessaires pour utiliser une KMS clé personnalisée (facultatif)

Par défaut, les compartiments Amazon S3 d'entrée et de sortie sont chiffrés à l'aide du chiffrement côté serveur, mais vous pouvez spécifier une KMS clé personnalisée pour chiffrer vos données dans le compartiment Amazon S3 de sortie et dans le volume de stockage associé à la tâche de bloc-notes.

Si vous souhaitez utiliser une KMS clé personnalisée, joignez la politique suivante et fournissez votre propre KMS cléARN.

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}