Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara menggunakan peran SageMaker eksekusi
Amazon SageMaker melakukan operasi atas nama Anda menggunakan yang lain AWS layanan. Anda harus memberikan SageMaker izin untuk menggunakan layanan ini dan sumber daya yang ditindaklanjutinya. Anda memberikan izin SageMaker ini menggunakan AWS Identity and Access Management (IAM) peran eksekusi. Untuk informasi selengkapnya tentang IAM peran, lihat IAMperan.
Untuk membuat dan menggunakan peran eksekusi, Anda dapat menggunakan prosedur berikut.
Buat peran eksekusi
Gunakan prosedur berikut untuk membuat peran eksekusi dengan kebijakan IAM terkelola,AmazonSageMakerFullAccess, terlampir. Jika kasus penggunaan Anda memerlukan izin yang lebih terperinci, gunakan bagian lain di halaman ini untuk membuat peran eksekusi yang memenuhi kebutuhan bisnis Anda. Anda dapat membuat peran eksekusi menggunakan SageMaker konsol atau AWS CLI.
penting
Kebijakan IAM terkelolaAmazonSageMakerFullAccess, yang digunakan dalam prosedur berikut hanya memberikan izin peran eksekusi untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek SageMaker denganSagemaker,,sagemaker, aws-glue atau dalam nama. Untuk mempelajari cara menambahkan kebijakan tambahan ke peran eksekusi agar akses ke bucket dan objek Amazon S3 lainnya, lihat. Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi SageMaker
catatan
Anda dapat membuat peran eksekusi secara langsung saat membuat SageMaker domain atau instance notebook.
-
Untuk informasi tentang cara membuat SageMaker domain, lihatPanduan untuk mengatur dengan Amazon SageMaker.
-
Untuk informasi tentang cara membuat instance notebook, lihatLangkah 1: Buat Instans SageMaker Notebook Amazon untuk tutorial.
Untuk membuat peran eksekusi baru dari SageMaker konsol
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Pilih Peran dan kemudian pilih Buat peran.
-
Menyimpan AWS layanan sebagai jenis entitas Tepercaya dan kemudian gunakan panah bawah untuk menemukan SageMakerkasus Penggunaan untuk lainnya AWS layanan.
-
Pilih SageMaker — Eksekusi dan kemudian pilih Berikutnya.
-
Kebijakan IAM terkelola
AmazonSageMakerFullAccess,, secara otomatis dilampirkan ke peran. Untuk melihat izin yang disertakan dalam kebijakan ini, pilih tanda tambah (+) di samping nama kebijakan. Pilih Berikutnya. -
Masukkan nama Peran dan Deskripsi.
-
(Opsional) Tambahkan izin dan tag tambahan ke peran.
-
Pilih Buat peran.
-
Di bagian Peran IAM konsol, temukan peran yang baru saja Anda buat. Jika diperlukan, gunakan kotak teks untuk mencari peran menggunakan nama peran.
-
Pada halaman ringkasan peran, catatARN.
Untuk membuat peran eksekusi baru dari AWS CLI
Sebelum Anda membuat peran eksekusi menggunakan AWS CLI, pastikan untuk memperbarui dan mengkonfigurasinya dengan mengikuti instruksi di(Opsional) Konfigurasikan AWS CLI, lalu lanjutkan dengan instruksi diPenyiapan khusus menggunakan AWS CLI.
Setelah Anda membuat peran eksekusi, Anda dapat mengaitkannya dengan SageMaker domain, profil pengguna, atau dengan instance notebook Jupyter.
-
Untuk mempelajari cara mengaitkan peran eksekusi dengan SageMaker domain yang ada, lihatEdit pengaturan domain.
-
Untuk mempelajari cara mengaitkan peran eksekusi dengan profil pengguna yang ada, lihatMenambahkan dan menghapus profil pengguna.
-
Untuk mempelajari cara mengaitkan peran eksekusi dengan instance notebook yang ada, lihatMemperbarui Instance Notebook.
Anda juga dapat meneruskan ARN peran eksekusi ke API panggilan Anda. Misalnya, menggunakan Amazon SageMaker Python SDK
import sagemaker, boto3 from sagemaker import image_uris sess = sagemaker.Session() region = sess.boto_region_name bucket = sess.default_bucket() prefix = "sagemaker/DEMO-xgboost-churn" container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1") xgb = sagemaker.estimator.Estimator( container,execution-role-ARN, instance_count=1, instance_type="ml.m4.xlarge", output_path="s3://{}/{}/output".format(bucket, prefix), sagemaker_session=sess, ) ...
Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi SageMaker
Saat Anda menggunakan SageMaker fitur dengan sumber daya di Amazon S3, seperti data input, peran eksekusi yang Anda tentukan dalam permintaan Anda (misalnyaCreateTrainingJob) digunakan untuk mengakses sumber daya ini.
Jika Anda melampirkan kebijakan IAM terkelolaAmazonSageMakerFullAccess, ke peran eksekusi, peran tersebut memiliki izin untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek denganSageMaker,, Sagemakersagemaker, atau aws-glue dalam nama. Ini juga memiliki izin untuk melakukan tindakan berikut pada sumber daya Amazon S3 apa pun:
"s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors"
Untuk memberikan izin peran eksekusi untuk mengakses satu atau beberapa bucket tertentu di Amazon S3, Anda dapat melampirkan kebijakan yang mirip dengan peran berikut ini. Kebijakan ini memberikan izin IAM peran untuk melakukan semua tindakan yang AmazonSageMakerFullAccess memungkinkan tetapi membatasi akses ini ke bucket amzn-s3-demo-bucket1 dan amzn-s3-demo-bucket2. Lihat dokumentasi keamanan untuk SageMaker fitur spesifik yang Anda gunakan untuk mempelajari lebih lanjut tentang izin Amazon S3 yang diperlukan untuk fitur tersebut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket2" ] } ] }
Dapatkan peran eksekusi Anda
Anda dapat menggunakan SageMaker konsol
Dapatkan peran eksekusi domain
Berikut ini memberikan petunjuk tentang menemukan peran eksekusi domain Anda.
Temukan peran eksekusi yang dilampirkan ke domain Anda
-
Buka SageMaker konsol, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Pengaturan domain.
-
Di bagian Pengaturan umum, peran ARN eksekusi tercantum di bawah Peran eksekusi.
Nama peran eksekusi adalah setelah yang terakhir
/dalam peran eksekusiARN.
Dapatkan peran eksekusi ruang
Berikut ini memberikan instruksi untuk menemukan peran eksekusi ruang Anda.
Temukan peran eksekusi yang melekat pada ruang Anda
-
Buka SageMaker konsol, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Manajemen ruang.
-
Di bagian Detail, peran ARN eksekusi tercantum di bawah Peran eksekusi.
Nama peran eksekusi adalah setelah yang terakhir
/dalam peran eksekusiARN.
catatan
Kode berikut dimaksudkan untuk dijalankan di SageMaker lingkungan, seperti yang ada IDEs di Amazon SageMaker Studio. Anda akan menerima kesalahan jika Anda berjalan get_execution_role di luar SageMaker lingkungan.
SDKPerintah get_execution_role
from sagemaker import get_execution_role role = get_execution_role() print(role)
Nama peran eksekusi adalah setelah yang terakhir / dalam peran eksekusiARN.
Dapatkan peran eksekusi pengguna
Berikut ini memberikan instruksi untuk menemukan peran eksekusi pengguna.
Temukan peran eksekusi yang dilampirkan ke pengguna
-
Buka SageMaker konsol, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Profil pengguna.
-
Pilih tautan yang sesuai dengan pengguna Anda.
-
Di bagian Detail, peran ARN eksekusi tercantum di bawah Peran eksekusi.
Nama peran eksekusi adalah setelah yang terakhir
/dalam peran eksekusiARN.
catatan
Untuk menggunakan contoh berikut, Anda harus memiliki AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi. Untuk selengkapnya, lihat Memulai AWS CLIdi AWS Command Line Interface Panduan Pengguna untuk Versi 2.
Berikut ini get-caller-identity
aws sts get-caller-identity
Nama peran eksekusi adalah setelah yang terakhir / dalam peran eksekusiARN.
Ubah peran eksekusi Anda
Peran eksekusi adalah IAM peran yang diasumsikan oleh SageMaker identitas (seperti SageMaker pengguna, ruang, atau domain). Mengubah IAM peran mengubah izin untuk semua identitas dengan asumsi peran tersebut.
Saat Anda mengubah peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin membutuhkan waktu untuk menyebar.
-
Saat Anda mengubah peran eksekusi pengguna, ruang pribadi yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang diubah.
-
Saat Anda mengubah peran eksekusi default spasi, spasi bersama di domain akan mengambil peran eksekusi yang diubah.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihatMemahami izin ruang domain dan peran eksekusi.
Anda dapat mengubah peran eksekusi untuk identitas ke IAM peran yang berbeda dengan menggunakan salah satu instruksi berikut.
Sebaliknya, jika Anda ingin memodifikasi peran yang diasumsikan oleh identitas, lihatUbah izin ke peran eksekusi.
Topik
Mengubah peran eksekusi default domain
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default domain Anda.
Mengubah peran eksekusi default yang dilampirkan ke domain Anda
-
Buka SageMaker konsol, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Pengaturan domain.
-
Di bagian Pengaturan umum, pilih Edit.
-
Di bagian Izin, di bawah Peran eksekusi default, perluas daftar drop-down.
-
Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan IAM peran kustomARN, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih Buat peran menggunakan opsi panduan pembuatan peran.
-
Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
Ubah peran eksekusi default spasi
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default ruang Anda. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua spasi bersama di domain.
Ubah peran eksekusi default spasi saat Anda membuat ruang baru
-
Buka SageMaker konsol, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Pengaturan domain.
-
Di bagian Pengaturan umum, pilih Edit.
-
Di bagian Izin, di bawah Peran eksekusi default Space, perluas daftar drop-down.
-
Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan IAM peran kustomARN, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih Buat peran menggunakan opsi panduan pembuatan peran.
-
Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
Ubah peran eksekusi profil pengguna
Berikut ini memberikan instruksi tentang mengubah peran eksekusi pengguna. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua ruang pribadi yang dibuat oleh pengguna ini.
Mengubah peran eksekusi yang dilampirkan ke pengguna
-
Buka SageMaker konsol, https://console.aws.amazon.com/sagemaker/
-
Di panel navigasi kiri, pilih Domain di bawah konfigurasi Admin.
-
Pilih tautan yang sesuai dengan domain Anda.
-
Pilih tab Profil pengguna.
-
Pilih tautan yang sesuai dengan nama profil pengguna.
-
Pilih Edit.
-
Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan IAM peran kustomARN, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih Buat peran menggunakan opsi panduan pembuatan peran.
-
Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
Ubah izin ke peran eksekusi
Anda dapat mengubah izin yang ada ke peran eksekusi identitas (seperti SageMaker pengguna, ruang, atau domain). Ini dilakukan dengan menemukan IAM peran yang tepat yang diasumsikan identitas, kemudian memodifikasi peran ituIAM. Berikut ini akan memberikan instruksi untuk mencapai ini melalui konsol.
Saat Anda memodifikasi peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin tidak langsung.
-
Saat Anda memodifikasi peran eksekusi pengguna, ruang pribadi yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang dimodifikasi.
-
Saat Anda mengubah peran eksekusi default spasi, spasi bersama di domain akan mengambil peran eksekusi yang dimodifikasi.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihatMemahami izin ruang domain dan peran eksekusi.
Sebaliknya, jika Anda ingin mengubah peran yang diasumsikan oleh identitas, lihatUbah peran eksekusi Anda.
Untuk mengubah izin ke peran eksekusi Anda
-
Pertama dapatkan nama identitas yang ingin Anda modifikasi.
-
Untuk memodifikasi peran yang diasumsikan identitas, lihat Memodifikasi peran dalam AWS Identity and Access Management Panduan Pengguna.
Untuk informasi selengkapnya dan petunjuk tentang menambahkan izin ke IAM identitas, lihat Menambahkan atau menghapus izin identitas di AWS Identity and Access Management Panduan Pengguna.
Peran Lulus
Tindakan seperti melewati peran antar layanan adalah fungsi umum di dalamnya SageMaker. Anda dapat menemukan detail selengkapnya tentang Tindakan, Sumber Daya, dan Kunci Kondisi SageMaker di Referensi Otorisasi Layanan.
Anda melewati role (iam:PassRole) saat melakukan API panggilan ini: CreateAutoMLJob,, CreateCompilationJob, CreateDomain,, CreateFeatureGroup, CreateFlowDefiniton, CreateHyperParameterTuningJob, CreateImage, CreateLabelingJob, CreateModel, CreateMonitoringSchedule, CreateNotebookInstance, CreateProcessingJob, CreateTrainingJob, CreateUserProfile, RenderUiTemplate, UpdateImage, dan UpdateNotebookInstance.
Anda melampirkan kebijakan kepercayaan berikut ke IAM peran yang memberikan izin SageMaker utama untuk mengambil peran, dan sama untuk semua peran eksekusi:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Izin yang perlu Anda berikan untuk peran bervariasi tergantung pada API yang Anda panggil. Bagian berikut menjelaskan izin ini.
catatan
Alih-alih mengelola izin dengan membuat kebijakan izin, Anda dapat menggunakan AWS-kebijakan AmazonSageMakerFullAccess izin terkelola. Izin dalam kebijakan ini cukup luas, untuk memungkinkan tindakan apa pun yang mungkin ingin Anda lakukan. SageMaker Untuk daftar kebijakan termasuk informasi tentang alasan menambahkan banyak izin, lihatAWS kebijakan terkelola: AmazonSageMakerFullAccess. Jika Anda memilih untuk membuat kebijakan kustom dan mengelola izin untuk cakupan izin hanya untuk tindakan yang perlu Anda lakukan dengan peran eksekusi, lihat topik berikut.
penting
Jika Anda mengalami masalah, lihatMemecahkan Masalah SageMaker Identitas dan Akses Amazon.
Untuk informasi selengkapnya tentang IAM peran, lihat IAMPeran dalam Referensi Otorisasi Layanan.
Topik
- CreateAutoMLJobdan CreateAuto MLJobV2API: Izin Peran Eksekusi
- CreateDomain API: Izin Peran Eksekusi
- CreateImage dan UpdateImageAPIs: Izin Peran Eksekusi
- CreateNotebookInstance API: Izin Peran Eksekusi
- CreateHyperParameterTuningJob API: Izin Peran Eksekusi
- CreateProcessingJob API: Izin Peran Eksekusi
- CreateTrainingJob API: Izin Peran Eksekusi
- CreateModel API: Izin Peran Eksekusi
- SageMaker peran kemampuan geospasial
CreateAutoMLJobdan CreateAuto MLJobV2API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam CreateAutoMLJobV2 API permintaan CreateAutoMLJob atau, Anda dapat melampirkan kebijakan izin minimum berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:InvokeEndpoint", "sagemaker:ListTags", "sagemaker:DescribeEndpoint", "sagemaker:CreateModel", "sagemaker:CreateEndpointConfig", "sagemaker:CreateEndpoint", "sagemaker:DeleteModel", "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteEndpoint", "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Jika Anda menentukan private VPC untuk pekerjaan AutoML Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan AWS KMS—managed key (SSE-KMS), tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Jika Anda menentukan KMS kunci dalam konfigurasi output pekerjaan AutoML Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Jika Anda menentukan KMS kunci volume dalam konfigurasi sumber daya pekerjaan AutoML Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateDomain API: Izin Peran Eksekusi
Peran eksekusi untuk domain dengan Pusat IAM Identitas dan peran pengguna/eksekusi untuk IAM domain memerlukan izin berikut saat Anda meneruskan AWS KMS kunci yang dikelola pelanggan seperti KmsKeyId dalam CreateDomain API permintaan. Izin diberlakukan selama panggilan. CreateApp API
Untuk peran eksekusi yang dapat diteruskan dalam CreateDomain API permintaan, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" } ] }
Atau, jika izin ditentukan dalam KMS kebijakan, Anda dapat melampirkan kebijakan berikut ke peran:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/ExecutionRole" ] }, "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }
CreateImage dan UpdateImageAPIs: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam UpdateImage API permintaan CreateImage atau, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" } ] }
CreateNotebookInstance API: Izin Peran Eksekusi
Izin yang Anda berikan untuk peran eksekusi untuk memanggil CreateNotebookInstance API bergantung pada apa yang Anda rencanakan untuk dilakukan dengan instance notebook. Jika Anda berencana menggunakannya untuk memanggil SageMaker APIs dan meneruskan peran yang sama saat memanggil CreateTrainingJob dan CreateModelAPIs, lampirkan kebijakan izin berikut ke peran:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage", "ecr:CreateRepository", "cloudwatch:PutMetricData", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents", "s3:CreateBucket", "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "ec2:CreateVpcEndpoint", "ec2:DescribeRouteTables", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Untuk memperketat izin, batasi ke sumber daya Amazon S3 dan ECR Amazon tertentu, dengan "Resource": "*" membatasi, sebagai berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "cloudwatch:PutMetricData", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object1", "arn:aws:s3:::outputbucket/path", "arn:aws:s3:::inputbucket/object2", "arn:aws:s3:::inputbucket/object3" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo1", "arn:aws:ecr:region::repository/my-repo2", "arn:aws:ecr:region::repository/my-repo3" ] } ] }
Jika Anda berencana untuk mengakses sumber daya lain, seperti Amazon DynamoDB atau Amazon Relational Database Service, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukan sepertiInputDataConfig.DataSource.S3DataSource.S3UridalamCreateTrainingJobpermintaan. -
Lingkup
s3:GetObjects3:PutObject,, dans3:DeleteObjectizin sebagai berikut:-
Cakupan nilai berikut yang Anda tentukan dalam
CreateTrainingJobpermintaan:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Cakupan nilai berikut yang Anda tentukan dalam
CreateModelpermintaan:PrimaryContainer.ModelDataUrlSuplementalContainers.ModelDataUrl
-
-
ecrIzin lingkup sebagai berikut:-
Cakupan ke
AlgorithmSpecification.TrainingImagenilai yang Anda tentukan dalamCreateTrainingJobpermintaan. -
Cakupan ke
PrimaryContainer.Imagenilai yang Anda tentukan dalamCreateModelpermintaan:
-
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
CreateHyperParameterTuningJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam CreateHyperParameterTuningJob API permintaan, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3, Amazon, dan ECR CloudWatch Amazon Log tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/TrainingJobs*" } ] }
Jika container pelatihan yang terkait dengan tugas penyetelan hyperparameter perlu mengakses sumber data lain, seperti DynamoDB atau sumber RDS daya Amazon, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukanInputDataConfig.DataSource.S3DataSource.S3UrisebagaiCreateTrainingJobpermintaan. -
Cakupan
s3:GetObjectdans3:PutObjectizin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalamCreateHyperParameterTuningJobpermintaan:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Cakupan ECR izin Amazon ke jalur registri (
AlgorithmSpecification.TrainingImage) yang Anda tentukan dalamCreateHyperParameterTuningJobpermintaan. -
Cakupan izin Amazon CloudWatch Logs untuk log grup pekerjaan SageMaker pelatihan.
cloudwatchTindakan tersebut berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan private VPC untuk pekerjaan tuning hyperparameter Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan AWS KMS—managed key (SSE-KMS), tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Jika Anda menentukan KMS kunci dalam konfigurasi output pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Jika Anda menentukan KMS kunci volume dalam konfigurasi sumber daya tugas penyetelan hyperparameter Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateProcessingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam CreateProcessingJob API permintaan, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan ECR Amazon tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
Jika CreateProcessingJob.AppSpecification.ImageUri perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya RDS Amazon, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukanProcessingInputssebagaiCreateProcessingJobpermintaan. -
Cakupan
s3:GetObjectdans3:PutObjectizin untuk objek yang akan diunduh atau diunggah dalamProcessingInputsdanProcessingOutputConfigdalam permintaan.CreateProcessingJob -
Cakupan ECR izin Amazon ke jalur registri (
AppSpecification.ImageUri) yang Anda tentukan dalamCreateProcessingJobpermintaan.
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan privat VPC untuk pekerjaan pemrosesan Anda, tambahkan izin berikut. Jangan cakup dalam kebijakan dengan kondisi atau filter sumber daya apa pun. Jika tidak, pemeriksaan validasi yang terjadi selama pembuatan pekerjaan pemrosesan gagal.
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan AWS KMS—managed key (SSE-KMS), tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Jika Anda menentukan KMS kunci dalam konfigurasi output pekerjaan pemrosesan Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Jika Anda menentukan KMS kunci volume dalam konfigurasi sumber daya pekerjaan pemrosesan Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateTrainingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam CreateTrainingJob API permintaan, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan ECR Amazon tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
Jika CreateTrainingJob.AlgorithSpecifications.TrainingImage perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya RDS Amazon, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan
s3:ListBucketizin ke bucket tertentu yang Anda tentukanInputDataConfig.DataSource.S3DataSource.S3UrisebagaiCreateTrainingJobpermintaan. -
Cakupan
s3:GetObjectdans3:PutObjectizin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalamCreateTrainingJobpermintaan:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
Cakupan ECR izin Amazon ke jalur registri (
AlgorithmSpecification.TrainingImage) yang Anda tentukan dalamCreateTrainingJobpermintaan.
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan privat VPC untuk pekerjaan pelatihan Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan AWS KMS—managed key (SSE-KMS), tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
Jika Anda menentukan KMS kunci dalam konfigurasi output pekerjaan pelatihan Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
Jika Anda menentukan KMS kunci volume dalam konfigurasi sumber daya pekerjaan pelatihan Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateModel API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam CreateModel API permintaan, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
Alih-alih menentukan"Resource": "*", Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan ECR Amazon tertentu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo", "arn:aws:ecr:region::repository/my-repo" ] } ] }
Jika CreateModel.PrimaryContainer.Image perlu mengakses sumber data lain, seperti Amazon DynamoDB atau sumber daya RDS Amazon, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
-
Cakupan izin S3 untuk objek yang Anda tentukan
PrimaryContainer.ModelDataUrldalam permintaan.CreateModel -
Cakupan ECR izin Amazon ke jalur registri tertentu yang Anda tentukan sebagai
PrimaryContainer.ImagedanSecondaryContainer.ImagedalamCreateModelpermintaan.
Tindakan cloudwatch dan logs tindakan berlaku untuk sumber daya “*”. Untuk informasi selengkapnya, lihat CloudWatch Sumber Daya dan Operasi di Panduan CloudWatch Pengguna Amazon.
catatan
Jika Anda berencana untuk menggunakan fitur pagar pembatas SageMaker penerapan untuk penerapan model dalam produksi, pastikan peran eksekusi Anda memiliki izin untuk melakukan cloudwatch:DescribeAlarms tindakan pada alarm rollback otomatis Anda.
Jika Anda menentukan private VPC untuk model Anda, tambahkan izin berikut:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
