Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Amazon SageMaker AI melakukan operasi atas nama Anda menggunakan AWS layanan lain. Anda harus memberikan izin SageMaker AI untuk menggunakan layanan ini dan sumber daya tempat mereka bertindak. Anda memberikan SageMaker AI izin ini menggunakan peran eksekusi AWS Identity and Access Management (IAM). Untuk informasi selengkapnya tentang peran IAM, lihat peran IAM.
Untuk membuat dan menggunakan peran eksekusi, Anda dapat menggunakan prosedur berikut.
Buat peran eksekusi
Gunakan prosedur berikut untuk membuat peran eksekusi dengan kebijakan terkelola IAM,AmazonSageMakerFullAccess, terlampir. Jika kasus penggunaan Anda memerlukan izin yang lebih terperinci, gunakan bagian lain di halaman ini untuk membuat peran eksekusi yang memenuhi kebutuhan bisnis Anda. Anda dapat membuat peran eksekusi menggunakan konsol SageMaker AI atau AWS CLI.
penting
Kebijakan terkelola IAMAmazonSageMakerFullAccess, yang digunakan dalam prosedur berikut hanya memberikan izin peran eksekusi untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek SageMaker denganSagemaker,,sagemaker, aws-glue atau dalam nama. Untuk mempelajari cara menambahkan kebijakan tambahan ke peran eksekusi agar akses ke bucket dan objek Amazon S3 lainnya, lihat. Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker
catatan
Anda dapat membuat peran eksekusi secara langsung saat membuat domain SageMaker AI atau instance notebook.
-
Untuk informasi tentang cara membuat domain SageMaker AI, lihatPanduan untuk mengatur dengan Amazon SageMaker AI.
-
Untuk informasi tentang cara membuat instance notebook, lihatBuat Instans SageMaker Notebook Amazon untuk tutorial.
Untuk membuat peran eksekusi baru dari konsol SageMaker AI
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Pilih Peran dan kemudian pilih Buat peran.
-
Simpan AWS layanan sebagai jenis entitas Tepercaya, lalu gunakan panah bawah untuk menemukan SageMaker AI dalam kasus Penggunaan untuk AWS layanan lain.
-
Pilih SageMaker AI — Eksekusi dan kemudian pilih Berikutnya.
-
Kebijakan yang dikelola IAM,
AmazonSageMakerFullAccess, secara otomatis dilampirkan ke peran. Untuk melihat izin yang disertakan dalam kebijakan ini, pilih tanda tambah (+) di samping nama kebijakan. Pilih Berikutnya. -
Masukkan nama Peran dan Deskripsi.
-
(Opsional) Tambahkan izin dan tag tambahan ke peran.
-
Pilih Buat peran.
-
Di bagian Peran konsol IAM, temukan peran yang baru saja Anda buat. Jika diperlukan, gunakan kotak teks untuk mencari peran menggunakan nama peran.
-
Pada halaman ringkasan peran, catat ARN.
Untuk membuat peran eksekusi baru dari AWS CLI
Sebelum Anda membuat peran eksekusi menggunakan AWS CLI, pastikan untuk memperbarui dan mengonfigurasinya dengan mengikuti instruksi di(Opsional) Konfigurasikan AWS CLI, lalu lanjutkan dengan instruksi diPenyiapan khusus menggunakan AWS CLI.
Setelah Anda membuat peran eksekusi, Anda dapat mengaitkannya dengan domain SageMaker AI, profil pengguna, atau dengan instance notebook Jupyter.
-
Untuk mempelajari cara mengaitkan peran eksekusi dengan domain SageMaker AI yang ada, lihatEdit pengaturan domain.
-
Untuk mempelajari cara mengaitkan peran eksekusi dengan profil pengguna yang ada, lihatTambahkan profil pengguna.
-
Untuk mempelajari cara mengaitkan peran eksekusi dengan instance notebook yang ada, lihatMemperbarui Instance Notebook.
Anda juga dapat meneruskan ARN dari peran eksekusi ke panggilan API Anda. Misalnya, menggunakan Amazon SageMaker Python SDK
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker
Saat Anda menggunakan fitur SageMaker AI dengan sumber daya di Amazon S3, seperti data input, peran eksekusi yang Anda tentukan dalam permintaan Anda (misalnyaCreateTrainingJob) digunakan untuk mengakses sumber daya ini.
Jika Anda melampirkan kebijakan terkelola IAMAmazonSageMakerFullAccess, ke peran eksekusi, peran tersebut memiliki izin untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek SageMaker denganSagemaker,,sagemaker, aws-glue atau dalam nama. Ini juga memiliki izin untuk melakukan tindakan berikut pada sumber daya Amazon S3 apa pun:
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"Untuk memberikan izin peran eksekusi untuk mengakses satu atau beberapa bucket tertentu di Amazon S3, Anda dapat melampirkan kebijakan yang mirip dengan peran berikut ini. Kebijakan ini memberikan izin peran IAM untuk melakukan semua tindakan yang AmazonSageMakerFullAccess memungkinkan tetapi membatasi akses ini ke bucket amzn-s3-demo-bucket1 dan amzn-s3-demo-bucket2. Lihat dokumentasi keamanan untuk fitur SageMaker AI tertentu yang Anda gunakan untuk mempelajari lebih lanjut tentang izin Amazon S3 yang diperlukan untuk fitur tersebut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket2" ] } ] }
Dapatkan peran eksekusi Anda
Anda dapat menggunakan konsol SageMaker AI
Dapatkan peran eksekusi domain
Berikut ini memberikan petunjuk tentang menemukan peran eksekusi domain Anda.
Temukan peran eksekusi yang dilampirkan ke domain Anda
-
Buka konsol SageMaker AI, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Pengaturan domain.
-
Di bagian Pengaturan umum, peran eksekusi ARN tercantum di bawah Peran eksekusi.
Nama peran eksekusi adalah setelah yang terakhir
/dalam peran eksekusi ARN.
Dapatkan peran eksekusi ruang
Berikut ini memberikan instruksi untuk menemukan peran eksekusi ruang Anda.
Temukan peran eksekusi yang melekat pada ruang Anda
-
Buka konsol SageMaker AI, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Manajemen ruang.
-
Di bagian Detail, peran eksekusi ARN tercantum di bawah Peran eksekusi.
Nama peran eksekusi adalah setelah yang terakhir
/dalam peran eksekusi ARN.
catatan
Kode berikut dimaksudkan untuk dijalankan di lingkungan SageMaker AI, seperti yang ada IDEs di Amazon SageMaker Studio. Anda akan menerima kesalahan jika Anda berjalan get_execution_role di luar lingkungan SageMaker AI.
Perintah get_execution_role
from sagemaker import get_execution_role
role = get_execution_role()
print(role)Nama peran eksekusi adalah setelah yang terakhir / dalam peran eksekusi ARN.
Dapatkan peran eksekusi pengguna
Berikut ini memberikan instruksi untuk menemukan peran eksekusi pengguna.
Temukan peran eksekusi yang dilampirkan ke pengguna
-
Buka konsol SageMaker AI, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Profil pengguna.
-
Pilih tautan yang sesuai dengan pengguna Anda.
-
Di bagian Detail, peran eksekusi ARN tercantum di bawah Peran eksekusi.
Nama peran eksekusi adalah setelah yang terakhir
/dalam peran eksekusi ARN.
catatan
Untuk menggunakan contoh berikut, Anda harus memiliki AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi. Untuk selengkapnya, lihat Memulai AWS CLI di Panduan AWS Command Line Interface Pengguna untuk Versi 2.
get-caller-identity
aws sts get-caller-identity
Nama peran eksekusi adalah setelah yang terakhir / dalam peran eksekusi ARN.
Ubah peran eksekusi Anda
Peran eksekusi adalah peran IAM yang diasumsikan oleh identitas SageMaker AI (seperti pengguna SageMaker AI, ruang, atau domain). Mengubah peran IAM mengubah izin untuk semua identitas dengan asumsi peran tersebut.
Saat Anda mengubah peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin membutuhkan waktu untuk menyebar.
-
Saat Anda mengubah peran eksekusi pengguna, ruang pribadi yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang diubah.
-
Saat Anda mengubah peran eksekusi default spasi, spasi bersama di domain akan mengambil peran eksekusi yang diubah.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihatMemahami izin ruang domain dan peran eksekusi.
Anda dapat mengubah peran eksekusi untuk identitas ke peran IAM yang berbeda dengan menggunakan salah satu instruksi berikut.
Sebaliknya, jika Anda ingin memodifikasi peran yang diasumsikan oleh identitas, lihatUbah izin ke peran eksekusi.
Topik
Mengubah peran eksekusi default domain
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default domain Anda.
Mengubah peran eksekusi default yang dilampirkan ke domain Anda
-
Buka konsol SageMaker AI, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Pengaturan domain.
-
Di bagian Pengaturan umum, pilih Edit.
-
Di bagian Izin, di bawah Peran eksekusi default, perluas daftar drop-down.
-
Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih Buat peran menggunakan opsi panduan pembuatan peran.
-
Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
Ubah peran eksekusi default spasi
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default ruang Anda. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua spasi bersama di domain.
Ubah peran eksekusi default spasi saat Anda membuat ruang baru
-
Buka konsol SageMaker AI, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Pengaturan domain.
-
Di bagian Pengaturan umum, pilih Edit.
-
Di bagian Izin, di bawah Peran eksekusi default Space, perluas daftar drop-down.
-
Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih Buat peran menggunakan opsi panduan pembuatan peran.
-
Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
Ubah peran eksekusi profil pengguna
Berikut ini memberikan instruksi tentang mengubah peran eksekusi pengguna. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua ruang pribadi yang dibuat oleh pengguna ini.
Mengubah peran eksekusi yang dilampirkan ke pengguna
-
Buka konsol SageMaker AI, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Profil pengguna.
-
Pilih tautan yang sesuai dengan nama profil pengguna.
-
Pilih Edit.
-
Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih Buat peran menggunakan opsi panduan pembuatan peran.
-
Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
Ubah izin ke peran eksekusi
Anda dapat mengubah izin yang ada ke peran eksekusi identitas (seperti pengguna SageMaker AI, ruang, atau domain). Hal ini dilakukan dengan menemukan peran IAM yang sesuai yang diasumsikan oleh identitas, kemudian memodifikasi peran IAM tersebut. Berikut ini akan memberikan instruksi untuk mencapai ini melalui konsol.
Saat Anda memodifikasi peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin tidak langsung.
-
Saat Anda memodifikasi peran eksekusi pengguna, ruang pribadi yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang dimodifikasi.
-
Saat Anda mengubah peran eksekusi default spasi, spasi bersama di domain akan mengambil peran eksekusi yang dimodifikasi.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihatMemahami izin ruang domain dan peran eksekusi.
Sebaliknya, jika Anda ingin mengubah peran yang diasumsikan oleh identitas, lihatUbah peran eksekusi Anda.
Untuk mengubah izin ke peran eksekusi Anda
-
Pertama dapatkan nama identitas yang ingin Anda modifikasi.
-
Untuk mengubah peran yang diasumsikan identitas, lihat Memodifikasi peran dalam AWS Identity and Access Management Panduan Pengguna.
Untuk informasi selengkapnya dan petunjuk tentang menambahkan izin ke identitas IAM, lihat Menambahkan atau menghapus izin identitas di Panduan Pengguna.AWS Identity and Access Management
Peran Lulus
Tindakan seperti melewati peran antar layanan adalah fungsi umum dalam SageMaker AI. Anda dapat menemukan detail selengkapnya tentang Tindakan, Sumber Daya, dan Kunci Kondisi untuk SageMaker AI di Referensi Otorisasi Layanan.
Anda meneruskan role (iam:PassRole) saat melakukan panggilan API ini: CreateAutoMLJob, CreateCompilationJob, CreateDomain, CreateFeatureGroup, CreateFlowDefiniton, CreateHyperParameterTuningJob, CreateImage, CreateLabelingJob, CreateModel, CreateMonitoringScheduleCreateNotebookInstance, CreateProcessingJob, CreateTrainingJob, CreateUserProfile, RenderUiTemplate, UpdateImage, dan UpdateNotebookInstance.
Anda melampirkan kebijakan kepercayaan berikut ke peran IAM yang memberikan izin utama SageMaker AI untuk mengambil peran, dan sama untuk semua peran eksekusi:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}Izin yang perlu Anda berikan untuk peran bervariasi tergantung pada API yang Anda panggil. Bagian berikut menjelaskan izin ini.
catatan
Alih-alih mengelola izin dengan membuat kebijakan izin, Anda dapat menggunakan kebijakan izin yang AWS dikelolaAmazonSageMakerFullAccess. Izin dalam kebijakan ini cukup luas, untuk memungkinkan tindakan apa pun yang mungkin ingin Anda lakukan di SageMaker AI. Untuk daftar kebijakan termasuk informasi tentang alasan menambahkan banyak izin, lihatAWS kebijakan terkelola: AmazonSageMakerFullAccess. Jika Anda memilih untuk membuat kebijakan kustom dan mengelola izin untuk cakupan izin hanya untuk tindakan yang perlu Anda lakukan dengan peran eksekusi, lihat topik berikut.
penting
Jika Anda mengalami masalah, lihatMemecahkan Masalah Identitas dan SageMaker Akses Amazon AI.
Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Referensi Otorisasi Layanan.
CreateAutoMLJob dan CreateAuto MLJob V2 API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateAutoMLJob atau CreateAutoMLJobV2 API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}Jika Anda menentukan VPC pribadi untuk pekerjaan AutoML Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan AutoML Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan AutoML Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}CreateDomain API: Izin Peran Eksekusi
Peran eksekusi untuk domain dengan IAM Identity Center dan peran pengguna/eksekusi untuk domain IAM memerlukan izin berikut saat Anda meneruskan kunci terkelola AWS KMS pelanggan seperti dalam permintaan API. KmsKeyId CreateDomain Izin diberlakukan selama panggilan CreateApp API.
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateDomain API, Anda dapat melampirkan kebijakan izin berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
]
}Atau, jika izin ditentukan dalam kebijakan KMS, Anda dapat melampirkan kebijakan berikut ke peran tersebut:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::account-id:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}CreateImage dan UpdateImage APIs: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateImage atau UpdateImage API, Anda dapat melampirkan kebijakan izin berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}CreateNotebookInstance API: Izin Peran Eksekusi
Izin yang Anda berikan untuk peran eksekusi untuk memanggil CreateNotebookInstance API bergantung pada apa yang Anda rencanakan untuk dilakukan dengan instance notebook. Jika Anda berencana menggunakannya untuk memanggil SageMaker AI APIs dan meneruskan peran yang sama saat memanggil CreateTrainingJob dan CreateModel APIs, lampirkan kebijakan izin berikut ke peran tersebut:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}Untuk memperketat izin, batasi ke sumber daya Amazon S3 dan Amazon ECR tertentu, dengan "Resource": "*" membatasi, sebagai berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "cloudwatch:PutMetricData", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object1", "arn:aws:s3:::outputbucket/path", "arn:aws:s3:::inputbucket/object2", "arn:aws:s3:::inputbucket/object3" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo1", "arn:aws:ecr:region::repository/my-repo2", "arn:aws:ecr:region::repository/my-repo3" ] } ] }
Jika Anda berencana untuk mengakses sumber daya lain, seperti Amazon DynamoDB atau Amazon Relational Database Service, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukan sepertiInputDataConfig.DataSource.S3DataSource.S3UridalamCreateTrainingJobpermintaan. -
Lingkup
s3:GetObjects3:PutObject,, dans3:DeleteObjectizin sebagai berikut:-
Cakupan ke nilai berikut yang Anda tentukan dalam
CreateTrainingJobpermintaan:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Cakupan ke nilai berikut yang Anda tentukan dalam
CreateModelpermintaan:PrimaryContainer.ModelDataUrlSuplementalContainers.ModelDataUrl
-
-
ecrIzin lingkup sebagai berikut:-
Cakupan ke
AlgorithmSpecification.TrainingImagenilai yang Anda tentukan dalamCreateTrainingJobpermintaan. -
Cakupan ke
PrimaryContainer.Imagenilai yang Anda tentukan dalamCreateModelpermintaan:
-
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
CreateHyperParameterTuningJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateHyperParameterTuningJob API, Anda dapat melampirkan kebijakan izin berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3, Amazon ECR, CloudWatch dan Amazon Logs tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/TrainingJobs*" } ] }
Jika container pelatihan yang terkait dengan tugas penyetelan hyperparameter perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukanInputDataConfig.DataSource.S3DataSource.S3UrisebagaiCreateTrainingJobpermintaan. -
Cakupan
s3:GetObjectdans3:PutObjectizin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalamCreateHyperParameterTuningJobpermintaan:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Cakupan izin Amazon ECR ke jalur registri (
AlgorithmSpecification.TrainingImage) yang Anda tentukan dalam permintaan.CreateHyperParameterTuningJob -
Cakupan izin Amazon CloudWatch Logs untuk log grup pekerjaan SageMaker pelatihan.
cloudwatchTindakan tersebut berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya tugas penyetelan hyperparameter Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}CreateProcessingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateProcessingJob API, Anda dapat melampirkan kebijakan izin berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
Jika CreateProcessingJob.AppSpecification.ImageUri perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukanProcessingInputssebagaiCreateProcessingJobpermintaan. -
Cakupan
s3:GetObjectdans3:PutObjectizin untuk objek yang akan diunduh atau diunggah dalamProcessingInputsdanProcessingOutputConfigdalam permintaan.CreateProcessingJob -
Cakupan izin Amazon ECR ke jalur registri (
AppSpecification.ImageUri) yang Anda tentukan dalam permintaan.CreateProcessingJob
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan pemrosesan Anda, tambahkan izin berikut. Jangan cakup dalam kebijakan dengan kondisi atau filter sumber daya apa pun. Jika tidak, pemeriksaan validasi yang terjadi selama pembuatan pekerjaan pemrosesan gagal.
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan pemrosesan Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan pemrosesan Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}CreateTrainingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateTrainingJob API, Anda dapat melampirkan kebijakan izin berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
Jika CreateTrainingJob.AlgorithSpecifications.TrainingImage perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukanInputDataConfig.DataSource.S3DataSource.S3UrisebagaiCreateTrainingJobpermintaan. -
Cakupan
s3:GetObjectdans3:PutObjectizin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalamCreateTrainingJobpermintaan:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Cakupan izin Amazon ECR ke jalur registri (
AlgorithmSpecification.TrainingImage) yang Anda tentukan dalam permintaan.CreateTrainingJob
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan pelatihan Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan pelatihan Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan pelatihan Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}CreateModel API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan CreateModel API, Anda dapat melampirkan kebijakan izin berikut ke peran:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo", "arn:aws:ecr:region::repository/my-repo" ] } ] }
Jika CreateModel.PrimaryContainer.Image perlu mengakses sumber data lain, seperti Amazon DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan izin S3 untuk objek yang Anda tentukan
PrimaryContainer.ModelDataUrldalam permintaan.CreateModel -
Cakupan izin Amazon ECR ke jalur registri tertentu yang Anda tentukan sebagai
PrimaryContainer.ImagedanSecondaryContainer.Imagedalam permintaan.CreateModel
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
catatan
Jika Anda berencana untuk menggunakan fitur pagar pembatas penerapan SageMaker AI untuk penerapan model dalam produksi, pastikan peran eksekusi Anda memiliki izin untuk melakukan cloudwatch:DescribeAlarms tindakan pada alarm rollback otomatis Anda.
Jika Anda menentukan VPC pribadi untuk model Anda, tambahkan izin berikut:
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}