Sicherheit und Berechtigungen - Amazon SageMaker
Fügen Sie eine Bucket-Richtlinie hinzu, um den Zugriff auf in Data Wrangler importierte Datensätze einzuschränkenErstellen Sie eine Zulassungsliste für Data WranglerErteilen Sie einer IAM-Rolle die Erlaubnis, Data Wrangler zu verwendenSnowflake und Data WranglerDatenverschlüsselung mit AWS KMSAmazon AppFlow -BerechtigungenVerwenden von Lebenszykluskonfigurationen in Data Wrangler

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit und Berechtigungen

Wenn Sie Daten von Athena oder Amazon Redshift abfragen, wird der abgefragte Datensatz automatisch im Standard- SageMaker S3-Bucket für die AWS Region gespeichert, in der Sie Studio Classic verwenden. Wenn Sie ein Jupyter Notebook aus Amazon SageMaker Data Wrangler exportieren und ausführen, werden Ihre Datenflüsse oder .flow-Dateien außerdem im selben Standard-Bucket unter dem Präfix data_wrangler_flows gespeichert.

Für allgemeine Sicherheitsanforderungen können Sie eine Bucket-Richtlinie konfigurieren, die die AWS Rollen einschränkt, die Zugriff auf diesen Standard-S SageMaker S3Bucket haben. Verwenden Sie den folgenden Abschnitt, um diese Art von Richtlinie zu einem S3-Bucket hinzuzufügen. Um den Anweisungen auf dieser Seite zu folgen, benutzen Sie AWS Command Line Interface (AWS CLI). Weitere Informationen dazu finden Sie unter Konfiguration der AWS CLI im IAM-Benutzerhandbuch.

Darüber hinaus müssen Sie jeder IAM-Rolle, die Data Wrangler-Daten verwendet, Berechtigungen für den Zugriff auf die erforderlichen Ressourcen gewähren. Wenn Sie keine detaillierten Berechtigungen für die IAM-Rolle benötigenAmazonSageMakerFullAccess, die Sie für den Zugriff auf Data Wrangler verwenden, können Sie die von IAM verwaltete Richtlinie zu einer IAM-Rolle hinzufügen, die Sie zum Erstellen Ihres Studio-Classic-Benutzers verwenden. Diese Richtlinie gewährt Ihnen die volle Berechtigung zur Nutzung von Data Wrangler. Wenn Sie detailliertere Berechtigungen benötigen, lesen Sie den Abschnitt, Erteilen Sie einer IAM-Rolle die Erlaubnis, Data Wrangler zu verwenden.

Fügen Sie eine Bucket-Richtlinie hinzu, um den Zugriff auf in Data Wrangler importierte Datensätze einzuschränken

Sie können dem S3-Bucket, der Ihre Data Wrangler-Ressourcen enthält, mithilfe einer Amazon S3-Bucket-Richtlinie, eine Richtlinie hinzufügen. Zu den Ressourcen, die Data Wrangler in Ihren Standard- SageMaker S3-Bucket in der AWS Region hochlädt, in der Sie Studio Classic verwenden, gehören die folgenden:

  • Bgefragte Amazon Redshift-Ergebnisse. Diese werden unter dem Präfix redshift/ gespeichert.

  • Abgefragte Athena-Ergebnisse. Diese werden unter dem Präfix athena/ gespeichert.

  • Die .flow-Dateien, die zu Amazon S3 hochgeladen werden, wenn Sie ein exportiertes Jupyter-Notizbuch ausführen, das Data Wrangler erzeugt. Diese werden unter dem Präfix data_wrangler_flows/ gespeichert.

Verwenden Sie das folgende Verfahren, um eine S3-Bucket-Richtlinie zu erstellen, die Sie hinzufügen können, um den IAM-Rollenzugriff auf diesen Bucket einzuschränken. Informationen zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter Wie füge ich eine Richtlinie für S3-Bucket hinzu? .

Um eine Bucket-Richtlinie für den S3-Bucket einzurichten, der Ihre Data Wrangler-Ressourcen speichert:

  1. Konfigurieren von einer oder mehreren IAM-Rollen, mit denen Sie auf Data Wrangler zugreifen können möchten.

  2. Öffnen Sie eine Befehlszeile oder Shell. Ersetzen Sie für jede Rolle, die Sie erstellen, den Rollennamen durch den Namen der Rolle und führen Sie Folgendes aus:

    $ aws iam get-role --role-name role-name

    In der Antwort sehen Sie einen RoleId String, die mit AROA beginnt. Kopiere diesen String.

  3. Fügen Sie dem SageMaker Standard-Bucket in der AWS Region, in der Sie Data Wrangler verwenden, die folgende Richtlinie hinzu. Ersetzen Sie Region durch die AWS Region, in der sich der Bucket befindet, und Account-ID durch Ihre AWS Konto-ID. Ersetzen Sie userId-en, das mit AROAEXAMPLEID beginnt, durch die IDs der AWS Rollen, denen Sie die Erlaubnis zur Verwendung von Data Wrangler erteilen möchten. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/",
        "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/*",
        "arn:aws:s3:::sagemaker-region-account-id/athena",
        "arn:aws:s3:::sagemaker-region-account-id/athena/*",
        "arn:aws:s3:::sagemaker-region-account-id/redshift",
        "arn:aws:s3:::sagemaker-region-account-id/redshift/*"
        
      ],
      "Condition": {
        "StringNotLike": {
          "aws:userId": [
            "AROAEXAMPLEID_1:*",
            "AROAEXAMPLEID_2:*"
          ]
        }
      }
    }
  ]
}

Erstellen Sie eine Zulassungsliste für Data Wrangler

Immer wenn ein Benutzer mit der Ausführung von Data Wrangler über die Amazon SageMaker Studio Classic-Benutzeroberfläche beginnt, ruft er die SageMaker Anwendungsprogrammierschnittstelle (API) auf, um eine Data Wrangler-Anwendung zu erstellen.

Ihre Organisation gewährt Ihren Benutzern möglicherweise nicht standardmäßig Berechtigungen zum Durchführen dieser API-Aufrufe. Um Berechtigungen bereitzustellen, müssen Sie mithilfe der folgenden Richtlinienvorlage eine Richtlinie erstellen und an die IAM-Rollen des Benutzers anhängen: Data Wrangler-Beispielzulassungsliste.

Anmerkung

Das obige Richtlinienbeispiel gewährt Ihren Benutzern nur Zugriff auf die Data Wrangler-Anwendung.

Informationen zum Erstellen einer Richtlinie finden Sie im Abschnitt Erstellen von Richtlinien auf der Registerkarte JSON. Wenn Sie eine Richtlinie erstellen, kopieren Sie die JSON-Richtlinie aus der Data Wrangler-Beispielzulassungsliste und fügen Sie sie auf der Registerkarte JSON ein.

Wichtig

Löschen Sie alle IAM-Richtlinien, die Benutzer daran hindern, die folgenden Operationen auszuführen:

Wenn Sie die Richtlinien nicht löschen, könnten Ihre Benutzer immer noch von ihnen betroffen sein.

Nachdem Sie die Richtlinie mithilfe der Vorlage erstellt haben, fügen Sie sie den IAM-Rollen Ihrer Benutzer hinzu. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen von IAM-Identitätsberechtigungen (Konsole).

Erteilen Sie einer IAM-Rolle die Erlaubnis, Data Wrangler zu verwenden

Sie können einer IAM-Rolle die Berechtigung zur Verwendung von Data Wrangler mit der allgemeinen verwalteten IAM-Richtlinie, AmazonSageMakerFullAccess, erteilen. Dies ist eine allgemeine Richtlinie, die Berechtigungen enthält, die für die Nutzung aller - SageMaker Services erforderlich sind. Diese Richtlinie gewährt einer IAM-Rolle vollen Zugriff auf Data Wrangler. Sie sollten bei der Verwendung von AmazonSageMakerFullAccess zur Gewährung von Zugriff auf Data Wrangler Folgendes beachten:

  • Wenn Sie Daten aus Amazon Redshift importieren, muss der Datenbankbenutzername das Präfix sagemaker_access haben.

  • Diese verwaltete Richtlinie gewährt nur die Erlaubnis, auf Buckets zuzugreifen, deren Name eine der folgenden Angaben enthält: SageMaker, SageMaker, sagemaker, oder aws-glue. Wenn Sie Data Wrangler verwenden möchten, um aus einem S3-Bucket ohne diese Ausdrücke im Namen zu importieren, lesen Sie im letzten Abschnitt auf dieser Seite nach, wie Sie einer IAM-Entität die Erlaubnis erteilen, auf Ihre S3-Buckets zuzugreifen.

Wenn Sie hohe Sicherheitsanforderungen haben, können Sie die Richtlinien in diesem Abschnitt an eine IAM-Entität anhängen, um die für die Verwendung von Data Wrangler erforderlichen Berechtigungen zu gewähren.

Wenn Sie Datensätze in Amazon Redshift oder Athena haben, die eine IAM-Rolle aus Data Wrangler importieren muss, müssen Sie dieser Entität eine Richtlinie hinzufügen, um auf diese Ressourcen zuzugreifen. Die folgenden Richtlinien sind die restriktivsten Richtlinien, die Sie verwenden können, um einer IAM-Rolle die Erlaubnis zu erteilen, Daten aus Amazon Redshift und Athena zu importieren.

Informationen zum Anhängen einer benutzerdefinierten Richtlinie an eine IAM-Rolle finden Sie unter Verwalten von IAM-Richtlinien im IAM-Benutzerhandbuch.

Richtlinienbeispiel zur Gewährung des Zugriffs auf einen Athena-Datensatz-Import

Die folgende Richtlinie geht davon aus, dass die IAM-Rolle über die Berechtigung verfügt, über eine separate IAM-Richtlinie auf den zugrunde liegenden S3-Bucket zuzugreifen, in dem Daten gespeichert werden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateTable"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
                "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteTable"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:GetDatabase"
            ],
            "Resource": [
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/sagemaker_featurestore",
                "arn:aws:glue:*:*:database/sagemaker_processing",
                "arn:aws:glue:*:*:database/default",
                "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
            ]
        }
    ]
}

Beispiel für eine Richtlinie zur Gewährung des Zugriffs auf einen Amazon Redshift-Datensatzimport

Die folgende Richtlinie gewährt die Erlaubnis, eine Amazon Redshift-Verbindung zu Data Wrangler unter Verwendung von Datenbankbenutzern einzurichten, deren Name das Präfix sagemaker_access enthält. Um die Erlaubnis zu erteilen, mithilfe zusätzlicher Datenbankbenutzer eine Verbindung herzustellen, fügen Sie zusätzliche Einträge unter "Resources" in der folgenden Richtlinie hinzu. Bei der folgenden Richtlinie wird davon ausgegangen, dass die IAM-Rolle berechtigt ist, auf den zugrunde liegenden S3-Bucket zuzugreifen, in dem Daten gespeichert werden, sofern zutreffend. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListSchemas",
                "redshift-data:ListTables"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
                "arn:aws:redshift:*:*:dbname:*"
            ]
        }
    ]
}

Richtlinie zur Gewährung des Zugriffs auf einen S3-Bucket

Wenn Ihr Datensatz in Amazon S3 gespeichert ist, können Sie einer IAM-Rollenberechtigung für den Zugriff auf diesen Bucket mit einer Richtlinie ähnlich der folgenden erteilen. Dieses Beispiel gewährt programmatischen Lese- und Schreibzugriff auf den Bucket mit dem Namen test.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::test"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::test/*"]
    }
  ]
}

Um Daten aus Athena und Amazon Redshift zu importieren, müssen Sie einer IAM-Rollenberechtigung für den Zugriff auf die folgenden Präfixe im standardmäßigen Amazon S3-Bucket in der AWS Region Data Wrangler, in der Data Wrangler verwendet wird, erteilen: athena/, redshift/. Wenn in der AWS Region noch kein standardmäßiger Amazon S3-Bucket vorhanden ist, müssen Sie der IAM-Rolle auch die Berechtigung erteilen, einen Bucket in dieser Region zu erstellen.

Wenn Sie möchten, dass die IAM-Rolle die Amazon SageMaker -Feature-Store-, SageMaker Pipeline- und Data-Wrangler-Auftragsexportoptionen verwenden kann, müssen Sie außerdem Zugriff auf das Präfix data_wrangler_flows/ in diesem Bucket gewähren.

Data Wrangler verwendet die Präfixe athena/ und redshift/, um Vorschaudateien und importierte Datensätze zu speichern. Weitere Informationen hierzu finden Sie unter Speicher für importierte Daten.

Data Wrangler verwendet das data_wrangler_flows/ Präfix zum Speichern von .flow-Dateien, wenn Sie ein aus Data Wrangler exportiertes Jupyter Notebook ausführen. Weitere Informationen hierzu finden Sie unter Export.

Verwenden Sie eine Richtlinie, die der folgenden ähnelt, um die in den vorherigen Absätzen beschriebenen Berechtigungen zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/",
                "arn:aws:s3:::sagemaker-region-account-id/data_wrangler_flows/*",
                "arn:aws:s3:::sagemaker-region-account-id/athena",
                "arn:aws:s3:::sagemaker-region-account-id/athena/*",
                "arn:aws:s3:::sagemaker-region-account-id/redshift",
                "arn:aws:s3:::sagemaker-region-account-id/redshift/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::sagemaker-region-account-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        }
    ]
}

Sie können auch von einem anderen AWS Konto aus auf Daten in Ihrem Amazon S3-Bucket zugreifen, indem Sie die Amazon S3-Bucket-URI angeben. Zu diesem Zweck sollte die IAM-Richtlinie, die Zugriff auf den Amazon S3-Bucket im anderen Konto gewährt, eine Richtlinie verwenden, die dem folgenden Beispiel ähnelt, in dem BucketFolder das spezifische Verzeichnis im Bucket UserBucket des Benutzers ist. Diese Richtlinie sollte dem Benutzer hinzugefügt werden, der einem anderen Benutzer Zugriff auf seinen Bucket gewährt. 

{
   "Version": "2012-10-17",
   "Statement": [
       {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::UserBucket/BucketFolder/*"
            },
                {
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket"
                ],
                "Resource": "arn:aws:s3:::UserBucket",
                "Condition": {
                "StringLike": {
                    "s3:prefix": [
                    "BucketFolder/*"
                    ]
                }
            }
        } 
    ]
}

Der Benutzer, der auf den Bucket zugreift (nicht der Bucket-Besitzer), muss seinem Benutzer eine Richtlinie hinzufügen, die dem folgenden Beispiel ähnelt. Beachten Sie, dass sich AccountX und TestUser unten jeweils auf den Bucket-Besitzer und seinen Benutzer bezieht.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountX:user/TestUser"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::UserBucket/BucketFolder/*"
            ]
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AccountX:user/TestUser"
            },
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::UserBucket"
            ]
        }
    ]
}

Beispiel für eine Richtlinie zum Gewähren des Zugriffs auf die Verwendung SageMaker von Studio

Verwenden Sie eine Richtlinie wie die folgende, um eine IAM-Ausführungsrolle zu erstellen, die zum Einrichten einer Studio Classic-Instance verwendet werden kann. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeDomain",
                "sagemaker:ListDomains",
                "sagemaker:DescribeUserProfile",
                "sagemaker:ListUserProfiles",
                "sagemaker:*App",
                "sagemaker:ListApps"
            ],
            "Resource": "*"
        }
    ]
}

Snowflake und Data Wrangler

Alle Berechtigungen für -AWSRessourcen werden über Ihre IAM-Rolle verwaltet, die Ihrer Studio Classic-Instance zugeordnet ist. Der Snowflake-Administrator verwaltet Snowflake-spezifische Berechtigungen, da er jedem Snowflake-Benutzer detaillierte Berechtigungen und Privilegien gewähren kann. Dazu gehören Datenbanken, Schemata, Tabellen, Warehouses und Objekte zur Speicherintegration. Sie müssen sicherstellen, dass die richtigen Berechtigungen außerhalb von Data Wrangler eingerichtet sind.

Beachten Sie, dass der Snowflake COPY INTO Amazon S3-Befehl standardmäßig Daten von Snowflake nach Amazon S3 über das öffentliche Internet verschiebt, Daten während der Übertragung jedoch mit SSL gesichert sind. Daten im Ruhezustand in Amazon S3 werden standardmäßig mit SSE-KMS verschlüsselt. AWS KMS key

In Bezug auf die Speicherung von Snowflake-Anmeldeinformationen speichert Data Wrangler keine Kundenanmeldeinformationen. Data Wrangler verwendet Secrets Manager, um die Anmeldeinformationen geheim zu speichern, und wechselt die Geheimnisse im Rahmen eines Best-Practice-Sicherheitsplans. Der Snowflake- oder Studio Classic-Administrator muss sicherstellen, dass der Studio Classic-Ausführungsrolle des Datenwissenschaftlers die Berechtigung erteilt wird, GetSecretValue auf dem Secret auszuführen, auf dem die Anmeldeinformationen gespeichert sind. Wenn die AmazonSageMakerFullAccess Richtlinie bereits an die Studio Classic-Ausführungsrolle angehängt ist, verfügt sie über die erforderlichen Berechtigungen zum Lesen von Secrets, die von Data Wrangler erstellt wurden, und von Secrets, die durch Einhaltung der Namens- und Markierungskonvention in den obigen Anweisungen erstellt wurden. Geheimnissen, die nicht den Konventionen entsprechen, muss separat Zugriff gewährt werden. Wir empfehlen, Secrets Manager zu verwenden, um die Freigabe von Anmeldeinformationen über nicht gesicherte Kanäle zu verhindern. Beachten Sie jedoch, dass ein angemeldeter Benutzer das Klartext-Passwort abrufen kann, indem er ein Terminal oder Python-Notebook in Studio Classic startet und dann API-Aufrufe von der Secrets-Manager-API aus aufruft.

Datenverschlüsselung mit AWS KMS

In Data Wrangler können Sie verschlüsselte Dateien entschlüsseln und sie Ihrem Data Wrangler-Datenfluss hinzufügen. Sie können die Ausgabe der Transformationen auch mit einem AWS KMS Standardschlüssel oder einem von Ihnen bereitgestellten Schlüssel verschlüsseln.

Sie können Dateien importieren, wenn sie Folgendes enthalten:

  • Serverseitige Verschlüsselung

  • SSE-KMS als Verschlüsselungstyp

Um die Datei zu entschlüsseln und in einen Data Wrangler-Flow zu importieren, müssen Sie den SageMaker Studio Classic-Benutzer hinzufügen, den Sie als Schlüsselbenutzer verwenden.

Der folgende Screenshot zeigt eine Studio Classic-Benutzerrolle, die als Schlüsselbenutzer hinzugefügt wurde. Siehe IAM-Rollen für den Zugriff auf Benutzer auf der linken Seite, um diese Änderung vorzunehmen.

Vom Kunden verwaltete Amazon S3-Schlüsseleinrichtung für den importierten Datenspeicher von Data Wrangler

Standardmäßig verwendet Data Wrangler Amazon S3-Buckets mit der folgenden Namenskonvention: sagemaker-region-account number. Wenn Ihre Kontonummer beispielsweise lautet 111122223333 und Sie Studio Classic in us-east-1 verwenden, werden Ihre importierten Datensätze mit der folgenden Namenskonvention gespeichert: sagemaker-us-east-1-111122223333.

In den folgenden Anweisungen wird erklärt, wie Sie einen vom Kunden verwalteten Schlüssel für Ihren standardmäßigen Amazon S3-Bucket einrichten.

  1. Informationen zur Aktivierung der serverseitigen Verschlüsselung und zur Einrichtung eines kundenverwalteten Schlüssels für Ihren standardmäßigen S3-Bucket finden Sie unter Verwenden von KMS-Verschlüsselung.

  2. Nachdem Sie Schritt 1 ausgeführt haben, navigieren Sie zu AWS KMS in Ihrem AWS Management Console. Suchen Sie den vom Kunden verwalteten Schlüssel, den Sie in Schritt 1 des vorherigen Schritts ausgewählt haben, und fügen Sie die Studio Classic-Rolle als Schlüsselbenutzer hinzu. Folgen Sie dazu den Anweisungen unter Erlaubt Schlüsselbenutzern, einen vom Kunden verwalteten Schlüssel zu verwenden.

Verschlüsseln der Daten, die Sie exportieren

Sie können die Daten, die Sie exportieren, über eine der folgenden Methoden verschlüsseln:

  • Wenn Sie angeben, dass Ihr Amazon S3-Bucket über ein Objekt verfügt, verwenden Sie die SSE-KMS-Verschlüsselung.

  • Angabe eines AWS KMS Schlüssels zur Verschlüsselung der Daten, die Sie aus Data Wrangler exportieren.

Geben Sie auf der Seite Daten exportieren einen Wert für die AWS KMS Schlüssel-ID oder den ARN an.

Weitere Informationen zur Nutzung von AWS KMS Schlüssel finden Sie unter Schutz von Daten mit serverseitiger Verschlüsselung mit AWS KMS Schlüssel, aufbewahrt in AWSAWS Key Management Service (SSE-KMS) .

Amazon AppFlow -Berechtigungen

Wenn Sie eine Übertragung durchführen, müssen Sie eine IAM-Rolle angeben, die über Berechtigungen zum Durchführen der Übertragung verfügt. Sie können dieselbe IAM-Rolle verwenden, die über Berechtigungen zur Verwendung von Data Wrangler verfügt. Standardmäßig ist die IAM-Rolle, die Sie für den Zugriff auf Data Wrangler verwenden, die SageMakerExecutionRole.

Die Rolle muss auch über die folgenden Berechtigungen verfügen.

  • Berechtigungen für Amazon AppFlow

  • Berechtigungen für den AWS Glue Datenkatalog

  • Berechtigungen AWS Glue zum Ermitteln der verfügbaren Datenquellen

Wenn Sie eine Übertragung ausführen, AppFlow speichert Amazon Metadaten aus der Übertragung im AWS Glue Data Catalog. Data Wrangler verwendet die Metadaten aus dem Katalog, um festzustellen, ob sie für Sie zum Abfragen und Importieren verfügbar sind.

Um Berechtigungen zu Amazon hinzuzufügen AppFlow, fügen Sie die AmazonAppFlowFullAccess AWS verwaltete Richtlinie zur IAM-Rolle hinzu. Weitere Informationen zum Hinzufügen von Richtlinen, finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Wenn Sie Daten an Amazon S3 übertragen, müssen Sie auch die folgende Richtlinie beifügen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketTagging",
        "s3:ListBucketVersions",
        "s3:CreateBucket",
        "s3:ListBucket",
        "s3:GetBucketPolicy",
        "s3:PutEncryptionConfiguration",
        "s3:GetEncryptionConfiguration",
        "s3:PutBucketTagging",
        "s3:GetObjectTagging",
        "s3:GetBucketOwnershipControls",
        "s3:PutObjectTagging",
        "s3:DeleteObject",
        "s3:DeleteBucket",
        "s3:DeleteObjectTagging",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketPolicyStatus",
        "s3:PutBucketPublicAccessBlock",
        "s3:PutAccountPublicAccessBlock",
        "s3:ListAccessPoints",
        "s3:PutBucketOwnershipControls",
        "s3:PutObjectVersionTagging",
        "s3:DeleteObjectVersionTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketAcl",
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetAnalyticsConfiguration",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}

Um AWS Glue Berechtigungen hinzuzufügen, fügen Sie die AWSGlueConsoleFullAccess verwaltete Richtlinie zur IAM-Rolle hinzu. Weitere Informationen zu AWS Glue Berechtigungen mit Amazon AppFlowfinden Sie unter [link-to-appflow-page].

Amazon AppFlow muss auf AWS Glue und Data Wrangler zugreifen, damit Sie die von Ihnen übertragenen Daten importieren können. Um Amazon AppFlow Zugriff zu gewähren, fügen Sie der IAM-Rolle die folgende Vertrauensrichtlinie hinzu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root",
                "Service": [
                    "appflow.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Um die Amazon- AppFlow Daten in Data Wrangler anzuzeigen, fügen Sie der IAM-Rolle die folgende Richtlinie hinzu:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "glue:SearchTables",
            "Resource": [
                "arn:aws:glue:*:*:table/*/*",
                "arn:aws:glue:*:*:database/*",
                "arn:aws:glue:*:*:catalog"
            ]
        }
    ]
}

Verwenden von Lebenszykluskonfigurationen in Data Wrangler

Möglicherweise haben Sie eine Amazon EC2-Instance, die für die Ausführung von Kernel Gateway-Anwendungen konfiguriert ist, aber nicht die Data Wrangler-Anwendung. Kernel-Gateway-Anwendungen bieten Zugriff auf die Umgebung und die Kernel, die Sie zum Ausführen von Studio Classic-Notebooks und -Terminals verwenden. Die Data Wrangler-Anwendung ist die UI-Anwendung, die Data Wrangler ausführt. Amazon EC2-Instances, die keine Data Wrangler-Instances sind, erfordern eine Änderung ihrer Lebenszykluskonfigurationen, um Data Wrangler ausführen zu können. Lebenszykluskonfigurationen sind Shell-Skripts, die die Anpassung Ihrer Amazon SageMaker Studio Classic-Umgebung automatisieren.

Weitere Informationen zur Lebenszyklus-Konfiguration finden Sie unter Verwenden von Lebenszykluskonfigurationen mit Amazon SageMaker Studio Classic.

Die standardmäßige Lebenszykluskonfiguration für Ihre Instance unterstützt die Verwendung von Data Wrangler nicht. Sie können die folgenden Änderungen an der Standardkonfiguration vornehmen, um Data Wrangler mit Ihrer Instance zu verwenden.


#!/bin/bash
set -eux
STATUS=$(
python3 -c "import sagemaker_dataprep"
echo $?
)
if [ "$STATUS" -eq 0 ]; then
echo 'Instance is of Type Data Wrangler'
else
echo 'Instance is not of Type Data Wrangler'

# Replace this with the URL of your git repository
export REPOSITORY_URL="https://github.com/aws-samples/sagemaker-studio-lifecycle-config-examples.git"

git -C /root clone $REPOSTIORY_URL

fi

Sie können das Skript unter speichern lifecycle_configuration.sh.

Sie fügen die Lebenszykluskonfiguration an Ihre Studio-Classic-Domain oder Ihr Benutzerprofil an. Weitere Informationen zum Erstellen und Anhängen einer Lebenszykluskonfiguration finden Sie unter Erstellen und Zuordnen einer Lebenszykluskonfiguration.

Die folgenden Anweisungen zeigen Ihnen, wie Sie eine Lebenszykluskonfiguration an eine Studio-Classic-Domain oder ein Benutzerprofil anfügen.

Beim Erstellen oder Anhängen einer Lebenszykluskonfiguration können Fehler auftreten. Weitere Informationen zur Fehlerbehebung bei der Lebenszykluskonfiguration finden Sie unter KernelGateway -App-Fehler.