Permisos - AWS IoT Analytics

Aviso de fin del soporte: el 15 de diciembre de 2025 AWS finalizará el soporte para AWS IoT Analytics. Después del 15 de diciembre de 2025, ya no podrás acceder a la AWS IoT Analytics consola ni a AWS IoT Analytics los recursos. Para obtener más información, consulta AWS IoT Analytics el fin del soporte.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos

Debe crear dos roles. Un rol otorga permiso para lanzar una instancia de SageMaker IA con el fin de almacenar un bloc de notas en contenedores. El otro es necesario para ejecutar un contenedor.

Puede crear manualmente el primer rol o dejar que el sistema lo cree de forma automática. Si crea su nueva instancia de SageMaker IA con la AWS IoT Analytics consola, tiene la opción de crear automáticamente un nuevo rol que le otorgue todos los privilegios necesarios para ejecutar instancias de SageMaker IA y almacenar cuadernos en contenedores. O bien, puede crear un rol con estos privilegios manualmente. Para ello, cree un rol con la política de AmazonSageMakerFullAccess asociada y añada la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:BatchDeleteImage",
        "ecr:BatchGetImage",
        "ecr:CompleteLayerUpload",
        "ecr:CreateRepository",
        "ecr:DescribeRepositories",
        "ecr:GetAuthorizationToken",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::iotanalytics-notebook-containers/*"
    }
  ]
}

Debe crear manualmente el segundo rol que concede permiso para ejecutar un contenedor. Debe hacerlo aunque haya utilizado la AWS IoT Analytics consola para crear el primer rol automáticamente. Cree un rol que tenga asociadas la política y la política de confianza siguientes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::aws-*-dataset-*/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotanalytics:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
    ]
}

A continuación, se muestra un ejemplo de una política de confianza.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": ["sagemaker.amazonaws.com", "iotanalytics.amazonaws.com"]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}