Langkah 6: Buat kebijakan IAM untuk notebook SageMaker - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 6: Buat kebijakan IAM untuk notebook SageMaker

Jika Anda berencana untuk menggunakan SageMaker buku catatan dengan titik akhir pengembangan, Anda harus menentukan izin saat membuat buku catatan. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM).

Untuk membuat kebijakan IAM untuk buku catatan SageMaker
  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi di sebelah kiri, pilih Kebijakan.

  3. Pilih Buat Kebijakan.

  4. Pada halaman Buat kebijakan, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut. Edit bucket-name, region-code, dan account-id untuk lingkungan Anda.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code:account-id:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code:account-id:notebook-instance/*" ] } ] }

    Lalu pilih Peninjauan kebijakan.

    Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini.

    Aksi Sumber Daya Deskripsi

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Berikan izin untuk membuat daftar bucket Amazon S3.

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    Memberikan izin untuk mendapatkan objek Amazon S3 yang digunakan SageMaker oleh notebook.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    Memberikan izin untuk menulis log ke Amazon CloudWatch Logs dari notebook.

    Konvensi penamaan: Menulis untuk grup log yang namanya dimulai dengan aws-glue.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    Memberikan izin untuk menggunakan titik akhir pengembangan dari SageMaker notebook.

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    Memberikan izin untuk mengembalikan tag untuk SageMaker sumber daya. aws-glue-dev-endpointTag diperlukan pada SageMaker notebook untuk menghubungkan notebook ke titik akhir pengembangan.

  5. Pada layar Tinjau Kebijakan, masukkan Nama kebijakanAnda, misalnya AWSGlueSageMakerNotebook. Masukkan deskripsi opsional, dan bila Anda puas dengan kebijakan ini, pilih Buat kebijakan.