Autorisations nécessaires - Amazon SageMaker

Autorisations nécessaires

Ce guide vous montre comment appliquer un exemple de politique IAM à votre rôle d'exécution. Les exemples de ce guide vous fournissent diverses autorisations et capacités de surveillance. À la fin de ce guide, vous trouverez un rôle de politique IAM complet qui inclut toutes les autorisations requises. Ces autorisations fournissent un accès aux clusters Amazon EMR depuis Studio et permettent la découverte des clusters depuis Studio (pour les URL présignées). Accédez à la console IAM pour ajouter la politique à votre rôle.

Pour découvrir les clusters Amazon EMR et vous connecter à eux à partir de Studio, assurez-vous que votre rôle d'exécution dispose des autorisations suivantes :

{ "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": [ "arn:aws:elasticmapreduce:<region>:<account-id>:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" }

Pour améliorer les capacités de surveillance, attachez les autorisations suivantes à votre rôle d'exécution Studio :

{ "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:<region>:<account-id>:cluster/*" ] }

Pour permettre aux utilisateurs de créer des clusters Amazon EMR, ajoutez l'autorisation suivante à votre rôle d'exécution Studio :

{ "Sid": "AllowSagemakerProjectManagement", "Effect": "Allow", "Action": [ "sagemaker:CreateProject", "sagemaker:DeleteProject" ], "Resource": "arn:aws:sagemaker:<region>:<account-id>:project/*" }

Si vous avez fourni à Studio un rôle de découverte et de connectivité entre comptes, le rôle du compte non-Studio doit autoriser les autorisations « endosser le rôle » pour le rôle d'exécution de Studio. Cela peut être fait en attachant les autorisations suivantes à votre rôle d'exécution Studio :

Note

Pour tous les cas d'utilisation entre comptes, le rôle d'exécution Studio doit posséder l'autorisation sts:AssumeRole ajoutée pour permettre à Studio d'assumer un rôle dans le compte distant.

{ "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": ["arn:aws:iam::<cross-account>:role/<studio-execution-role>" ] }

Pour permettre la découverte des modèles Amazon EMR, attachez les autorisations suivantes à votre rôle d'exécution Studio :

{ "Sid": "AllowEMRTemplateDiscovery", "Effect": "Allow", "Action": [ "servicecatalog:SearchProducts" ], "Resource": "*" }

Voici un exemple complet de politique IAM qui inclut toutes les autorisations précédentes de ce guide :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:<region>:<account-id>:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": [ "arn:aws:elasticmapreduce:<region>:<account-id>:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" }, { "Sid": "AllowSagemakerProjectManagement", "Effect": "Allow", "Action": [ "sagemaker:CreateProject", "sagemaker:DeleteProject" ], "Resource": "arn:aws:sagemaker:<region>:<account-id>:project/*" }, { "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": ["arn:aws:iam::<cross-account>:role/<studio-execution-role>" ] }, { "Sid": "AllowEMRTemplateDiscovery", "Effect": "Allow", "Action": [ "servicecatalog:SearchProducts" ], "Resource": "*" } ] }