Menyiapkan kebijakan dan izin untuk Studio - Amazon SageMaker AI
Izin IAM tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan kebijakan dan izin untuk Studio

Anda harus menginstal kebijakan dan izin yang tepat sebelum menjadwalkan proses notebook pertama Anda. Berikut ini memberikan petunjuk tentang pengaturan izin berikut:

  • Hubungan kepercayaan peran eksekusi pekerjaan

  • Izin IAM tambahan yang dilampirkan pada peran eksekusi pekerjaan

  • (opsional) Kebijakan AWS KMS izin untuk menggunakan kunci KMS kustom

penting

Jika AWS akun Anda milik organisasi dengan kebijakan kontrol layanan (SCP), izin efektif Anda adalah persimpangan logis antara apa yang diizinkan oleh dan apa yang diizinkan oleh peran IAM SCPs dan kebijakan pengguna Anda. Misalnya, jika SCP organisasi Anda menetapkan bahwa Anda hanya dapat mengakses sumber daya di us-east-1 danus-west-1, dan kebijakan Anda hanya memungkinkan Anda untuk mengakses sumber daya di us-west-1 danus-west-2, pada akhirnya Anda hanya dapat mengakses sumber daya di. us-west-1 Jika Anda ingin menggunakan semua izin yang diizinkan dalam peran dan kebijakan pengguna, organisasi Anda SCPs harus memberikan kumpulan izin yang sama dengan kebijakan pengguna dan peran IAM Anda sendiri. Untuk detail tentang cara menentukan permintaan yang diizinkan, lihat Menentukan apakah permintaan diizinkan atau ditolak dalam akun.

Hubungan kepercayaan

Untuk mengubah hubungan kepercayaan, selesaikan langkah-langkah berikut:

  1. Buka konsol IAM.

  2. Pilih Peran di panel kiri.

  3. Temukan peran eksekusi pekerjaan untuk pekerjaan notebook Anda dan pilih nama peran.

  4. Pilih tab Trust relationship.

  5. Pilih Edit kebijakan kepercayaan.

  6. Salin dan tempel kebijakan berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Pilih Kebijakan Perbarui.

Izin IAM tambahan

Anda mungkin perlu menyertakan izin IAM tambahan dalam situasi berikut:

  • Eksekusi Studio dan peran pekerjaan notebook Anda berbeda

  • Anda perlu mengakses sumber daya Amazon S3 melalui titik akhir VPC S3

  • Anda ingin menggunakan kunci KMS khusus untuk mengenkripsi bucket Amazon S3 masukan dan output Anda

Diskusi berikut memberikan kebijakan yang Anda butuhkan untuk setiap kasus.

Izin diperlukan jika eksekusi Studio dan peran pekerjaan notebook berbeda

Cuplikan JSON berikut adalah contoh kebijakan yang harus ditambahkan ke eksekusi Studio dan peran pekerjaan notebook jika Anda tidak menggunakan peran eksekusi Studio sebagai peran pekerjaan notebook. Tinjau dan ubah kebijakan ini jika Anda perlu membatasi hak istimewa lebih lanjut.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Izin yang diperlukan untuk mengakses sumber daya Amazon S3 melalui titik akhir VPC S3

Jika Anda menjalankan SageMaker Studio dalam mode VPC pribadi dan mengakses S3 melalui titik akhir VPC S3, Anda dapat menambahkan izin ke kebijakan titik akhir VPC untuk mengontrol sumber daya S3 mana yang dapat diakses melalui titik akhir VPC. Tambahkan izin berikut ke kebijakan titik akhir VPC Anda. Anda dapat mengubah kebijakan jika perlu membatasi izin lebih lanjut—misalnya, Anda dapat memberikan spesifikasi yang lebih sempit untuk bidang tersebut. Principal

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Untuk detail tentang cara menyiapkan kebijakan titik akhir VPC S3, lihat Mengedit kebijakan titik akhir VPC.

Izin yang diperlukan untuk menggunakan kunci KMS kustom (opsional)

Secara default, bucket input dan output Amazon S3 dienkripsi menggunakan enkripsi sisi server, tetapi Anda dapat menentukan kunci KMS khusus untuk mengenkripsi data Anda di bucket Amazon S3 keluaran dan volume penyimpanan yang dilampirkan ke pekerjaan notebook.

Jika Anda ingin menggunakan kunci KMS kustom, lampirkan kebijakan berikut dan berikan ARN kunci KMS Anda sendiri.

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}