Fase 7: creare un ruolo IAM per inotebook SageMaker - AWS Aderenza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 7: creare un ruolo IAM per inotebook SageMaker

Se prevedi di utilizzare i notebook SageMaker con gli endpoint di sviluppo, devi concedere le autorizzazioni per il ruolo IAM. Puoi fornire queste autorizzazioni utilizzando AWS Identity and Access Management (IAM), tramite un ruolo IAM.

Per creare un ruolo IAM per i notebook SageMaker

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra seleziona Ruoli.

  3. Scegliere Crea ruolo.

  4. Per tipo di ruolo, scegli AWS Service (Servizio AWS), trova e seleziona SageMaker, quindi il caso d'uso SageMaker - Execution (SageMaker - Esecuzione). Quindi scegliere Next: Permissions (Successivo: Autorizzazioni).

  5. Nella pagina Attach permissions policy (Collega policy di autorizzazioni), scegli le policy che contengono le autorizzazioni necessarie, ad esempio AmazonSageMakerFullAccess. Seleziona Next: Review (Successivo: Rivedi).

    Se prevedi di accedere a origini e destinazioni Amazon S3 crittografate con SSE-KMS, collega una policy che permetta ai notebook di decrittografare i dati, come mostrato nell'esempio seguente. Per ulteriori informazioni, vedi Protezione dei dati mediante la crittografia lato server con chiavi gestite da AWS KMS (SSE-KMS). 

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "kms:Decrypt"
         ],
         "Resource":[  
            "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
         ]
      }
   ]
}

  6. In Role name (Nome ruolo), digita un nome per il ruolo. Per permettere il passaggio del ruolo dagli utenti della console a SageMaker, utilizza un nome che abbia come prefisso la stringa AWSGlueServiceSageMakerNotebookRole. Le policy fornite da AWS Glue prevedono ruoli IAM che iniziano con AWSGlueServiceSageMakerNotebookRole. In caso contrario, è necessario aggiungere una policy per concedere agli utenti l'autorizzazione iam:PassRole per i ruoli IAM in modo da soddisfare la convenzione per la denominazione.

    Per esempio, inserisci AWSGlueServiceSageMakerNotebookRole-Default e quindi seleziona Create role (Crea ruolo).

  7. Dopo aver creato il ruolo, collega una policy che abiliti autorizzazioni aggiuntive necessarie per creare notebook SageMaker da AWS Glue.

    Apto il ruolo appena creato, AWSGlueServiceSageMakerNotebookRole-Default e scegli Attach policies (Collega policy). Collega la policy creata denominata AWSGlueSageMakerNotebook al ruolo.