Paso 6: Crear una política de IAM para cuadernos de IA de SageMaker - AWS Glue

Paso 6: Crear una política de IAM para cuadernos de IA de SageMaker

Si pretende utilizar cuadernos de IA de SageMaker con puntos de conexión de desarrollo, debe especificar los permisos al crear el cuaderno. Estos permisos los concede utilizando AWS Identity and Access Management (IAM).

Creación de una política de IAM para cuadernos de IA de SageMaker

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, elija Policies (Políticas).

  3. Seleccione Crear política.

  4. En la página Create Policy (Crear política) vaya a una pestaña para editar JSON. Cree un documento de política con las siguientes instrucciones JSON. Modifique el nombre-del-bucket, el código-de-región y el identificador-de-cuenta del entorno.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucket-name"
            ]
        },
        {
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucket-name*"
            ]
        },
        {
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents",
                "logs:CreateLogGroup"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*",
                "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
            ]
        },
        {
            "Action": [
                "glue:UpdateDevEndpoint",
                "glue:GetDevEndpoint",
                "glue:GetDevEndpoints"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:glue:region-code:account-id:devEndpoint/*"
            ]
        },
        {
            "Action": [
                "sagemaker:ListTags"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"
            ]
         }
    ]
}

    A continuación, elija Review policy (Revisar política).

    En la siguiente tabla se describen los permisos que esta política concede.

    Action Resource Descripción

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Concede permisos para enumerar los buckets de Amazon S3.

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    Concede permiso para obtener objetos de Amazon S3 que se utilizan en cuadernos de IA de SageMaker.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    Concede permiso para escribir registros en Amazon CloudWatch Logs desde blocs de notas.

    Convención de denominación: escribe en grupos de registros cuyos nombres comienzan por aws-glue.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    Concede permiso para utilizar un punto de conexión de desarrollo desde cuadernos de IA de SageMaker.

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    Concede permiso para devolver etiquetas de un recurso de IA de SageMaker. La etiqueta aws-glue-dev-endpoint es necesaria en el cuaderno de IA de SageMaker para conectar este cuaderno a un punto de conexión de desarrollo.

  5. En la pantalla Review Policy (Revisar política), escriba su Policy Name (Nombre de política); por ejemplo, AWSGlueSageMakerNotebook. Escriba una descripción opcional y, cuando quede satisfecho con la política, elija Create Policy (Crear política).