参考政策 - Amazon SageMaker

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

参考政策

  • 列出 Amazon EMR 政策:此政策允许执行以下操作:

    • AllowPresignedUrl允许生成预签名,URLs以便从 Studio 中访问 Spark 用户界面。

    • AllowClusterDiscoveryAllowClusterDetailsDiscovery允许列出和描述所提供区域和账户中的 Amazon EMR 集群。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:region:accountID:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:region:accountID:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

  • 创建 Amazon EMR 集群策略:此策略允许执行以下操作:

    • AllowEMRTemplateDiscovery允许在 Service Catalog 中搜索亚马逊EMR模板。Studio 和 Studio Classic 使用它来显示可用模板

    • AllowSagemakerProjectManagement允许创建和删除。在 SageMaker中,访问 AWS Service Catalog 是通过管理的使用 SageMaker 项目MLOps实现自动化

    提供的IAM策略中定义的策略JSON授予这些权限。Replace(替换) region 以及 accountID 根据您的实际地区和 AWS 在将对账单列表复制到您角色的内联策略之前的账户 ID 值。

    {
    "Version": "2012-10-17",
    "Statement": [       
        {
            "Sid": "AllowEMRTemplateDiscovery",
            "Effect": "Allow",
            "Action": [
              "servicecatalog:SearchProducts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:region:accountID:project/*"
        }
    ]
}

  • 域、用户配置文件和空间更新操作策略:以下策略授予在指定区域内更新 SageMaker 域、用户配置文件和空间的权限,以及 AWS account。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerUpdateResourcesPolicy",
            "Effect": "Allow",
            "Action": [
                "sagemaker:UpdateDomain",
                "sagemaker:UpdateUserprofile",
                "sagemaker:UpdateSpace"
            ],
            "Resource": [
                "arn:aws:sagemaker:region>:accountID:domain/*",
                "arn:aws:sagemaker:region:accountID:user-profile/*"
            ]
        }
    ]
}