Configurar políticas e permissões para o Studio - SageMaker IA da Amazon
Permissões do IAM adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar políticas e permissões para o Studio

Você precisará instalar as políticas e permissões adequadas antes de agendar sua primeira execução de caderno. As seguintes instruções foram fornecidas para a configuração das seguintes permissões:

  • Relações de confiança, função de execução de trabalhos

  • Permissões adicionais do IAM anexadas à função de execução do trabalho

  • (opcional) A política de AWS KMS permissão para usar uma chave KMS personalizada

Importante

Se sua AWS conta pertence a uma organização com políticas de controle de serviço (SCP) em vigor, suas permissões efetivas são a interseção lógica entre o que é permitido pelo SCPs e o que é permitido pela sua função do IAM e pelas políticas de usuário. Por exemplo, se o SCP da sua organização especificar que você só pode acessar recursos em us-east-1 e us-west-1, e suas políticas só permitem que você acesse recursos em us-west-1 e us-west-2, em última análise, você só pode acessar recursos em us-west-1. Se você quiser exercer todas as permissões permitidas em sua função e políticas de usuário, sua organização SCPs deve conceder o mesmo conjunto de permissões que suas próprias políticas de usuário e função do IAM. Para obter detalhes sobre como determinar as solicitações permitidas, consulte Determinar se uma solicitação é permitida ou negada em uma conta.

Relações de confiança

Para modificar as relações de confiança, conclua as seguintes etapas:

  1. Abra o console do IAM.

  2. Selecione Funções no painel do lado esquerdo.

  3. Encontre a função de execução do trabalho para seu trabalho do caderno e escolha o nome da função.

  4. Selecione a guia Trust relationships (Relações de confiança).

  5. Escolha Editar política de confiança.

  6. Copie e cole a política a seguir:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. Escolha Atualizar política.

Permissões do IAM adicionais

Talvez seja necessário incluir permissões adicionais do IAM nas seguintes situações:

  • Suas funções de execução no Studio e de caderno são diferentes

  • Você precisa acessar os recursos do Amazon S3 por meio de um endpoint da VPC do S3

  • Você deseja usar uma chave KMS personalizada para criptografar seus buckets de entrada e saída do Amazon S3

A discussão a seguir fornece as políticas necessárias para cada caso.

Permissões necessárias se a execução do Studio e as funções de trabalho do caderno forem diferentes

O trecho JSON a seguir é um exemplo de política que você deve adicionar às funções de execução do Studio e do caderno se não usar a função de execução do Studio como função de trabalho do caderno. Revise e modifique essa política se precisar restringir ainda mais os privilégios.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Permissões necessárias para acessar recursos do Amazon S3 por meio de um endpoint da VPC do S3

Se você executar o SageMaker Studio no modo VPC privado e acessar o S3 por meio do VPC endpoint do S3, poderá adicionar permissões à política do VPC endpoint para controlar quais recursos do S3 são acessíveis por meio do VPC endpoint. Adicione as seguintes permissões à sua política de endpoint da VPC: Você pode modificar a política se precisar restringir ainda mais as permissões: por exemplo, você pode fornecer uma especificação mais restrita para o campo Principal.

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Para obter detalhes sobre como configurar uma política de endpoint de VPC do S3, consulte Editar a política de endpoint de VPC.

Permissões necessárias para usar uma chave KMS personalizada (opcional)

Por padrão, os buckets de entrada e saída do Amazon S3 são criptografados usando criptografia do lado do servidor, mas você pode especificar uma chave do KMS personalizada para criptografar seus dados no bucket de saída do Amazon S3 e no volume de armazenamento anexado ao trabalho do caderno.

Se você quiser usar uma chave KMS personalizada, anexe a política a seguir e forneça seu próprio ARN da chave KMS.

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}