Menyiapkan kebijakan dan izin untuk Studio - Amazon SageMaker
IAMIzin tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan kebijakan dan izin untuk Studio

Anda harus menginstal kebijakan dan izin yang tepat sebelum menjadwalkan proses notebook pertama Anda. Berikut ini memberikan petunjuk tentang pengaturan izin berikut:

  • Hubungan kepercayaan peran eksekusi pekerjaan

  • IAMIzin tambahan yang dilampirkan pada peran eksekusi pekerjaan

  • (opsional) Kebijakan AWS KMS izin untuk menggunakan KMS kunci khusus

penting

Jika AWS akun Anda milik organisasi dengan kebijakan kontrol layanan (SCP), izin efektif Anda adalah persimpangan logis antara apa yang diizinkan oleh dan apa yang diizinkan oleh IAM peran SCPs dan kebijakan pengguna Anda. Misalnya, jika organisasi Anda SCP menetapkan bahwa Anda hanya dapat mengakses sumber daya di us-east-1 danus-west-1, dan kebijakan Anda hanya memungkinkan Anda untuk mengakses sumber daya di us-west-1 danus-west-2, pada akhirnya Anda hanya dapat mengakses sumber daya dius-west-1. Jika Anda ingin menggunakan semua izin yang diizinkan dalam peran dan kebijakan pengguna, organisasi Anda SCPs harus memberikan kumpulan izin yang sama dengan kebijakan IAM pengguna dan peran Anda sendiri. Untuk detail tentang cara menentukan permintaan yang diizinkan, lihat Menentukan apakah permintaan diizinkan atau ditolak dalam akun.

Hubungan kepercayaan

Untuk mengubah hubungan kepercayaan, selesaikan langkah-langkah berikut:

  1. Buka IAMkonsol.

  2. Pilih Peran di panel kiri.

  3. Temukan peran eksekusi pekerjaan untuk pekerjaan notebook Anda dan pilih nama peran.

  4. Pilih tab Trust relationship.

  5. Pilih Edit kebijakan kepercayaan.

  6. Salin dan tempel kebijakan berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Pilih Kebijakan Perbarui.

IAMIzin tambahan

Anda mungkin perlu menyertakan IAM izin tambahan dalam situasi berikut:

  • Eksekusi Studio dan peran pekerjaan notebook Anda berbeda

  • Anda perlu mengakses sumber daya Amazon S3 melalui titik akhir S3 VPC

  • Anda ingin menggunakan KMS kunci khusus untuk mengenkripsi bucket Amazon S3 masukan dan output Anda

Diskusi berikut memberikan kebijakan yang Anda butuhkan untuk setiap kasus.

Izin diperlukan jika eksekusi Studio dan peran pekerjaan notebook Anda berbeda

JSONCuplikan berikut adalah contoh kebijakan yang harus ditambahkan ke eksekusi Studio dan peran pekerjaan notebook jika Anda tidak menggunakan peran eksekusi Studio sebagai peran pekerjaan notebook. Tinjau dan ubah kebijakan ini jika Anda perlu membatasi hak istimewa lebih lanjut.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Izin yang diperlukan untuk mengakses sumber daya Amazon S3 melalui titik akhir S3 VPC

Jika Anda menjalankan SageMaker Studio dalam VPC mode pribadi dan mengakses S3 melalui VPC titik akhir S3, Anda dapat menambahkan izin ke kebijakan titik VPC akhir untuk mengontrol sumber daya S3 mana yang dapat diakses melalui titik akhir. VPC Tambahkan izin berikut ke kebijakan VPC titik akhir Anda. Anda dapat mengubah kebijakan jika perlu membatasi izin lebih lanjut—misalnya, Anda dapat memberikan spesifikasi yang lebih sempit untuk bidang tersebut. Principal

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Untuk detail tentang cara menyiapkan kebijakan VPC titik akhir S3, lihat Mengedit kebijakan titik VPC akhir.

Izin yang diperlukan untuk menggunakan KMS kunci khusus (opsional)

Secara default, bucket input dan output Amazon S3 dienkripsi menggunakan enkripsi sisi server, tetapi Anda dapat menentukan KMS kunci khusus untuk mengenkripsi data Anda di bucket Amazon S3 keluaran dan volume penyimpanan yang dilampirkan ke pekerjaan notebook.

Jika Anda ingin menggunakan KMS kunci khusus, lampirkan kebijakan berikut dan berikan KMS kunci Anda sendiriARN.

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}