Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 6: Creare una IAM policy per i notebook SageMaker AI
Se prevedi di utilizzare notebook SageMaker AI con endpoint di sviluppo, devi specificare le autorizzazioni quando crei il notebook. Puoi fornire queste autorizzazioni usando AWS Identity and Access Management (IAM).
Per creare una policy per i notebook basati sull'intelligenza artificiale IAM SageMaker
Accedi a AWS Management Console e apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/
-
Nel pannello di navigazione a sinistra, seleziona Policy.
-
Scegliere Create Policy (Crea policy).
-
Nella pagina Crea politica, vai a una scheda per modificare ilJSON. Crea un documento politico con le seguenti JSON dichiarazioni. Modifica
bucket-name
eregion-code
account-id
per il tuo ambiente.{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::
bucket-name
" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name
*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code
:account-id
:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code
:account-id
:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code
:account-id
:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code
:account-id
:notebook-instance/*" ] } ] }Selezionare Review policy (Esamina policy).
La tabella seguente descrive le autorizzazioni concesse dalla policy.
Azione Risorsa Descrizione "s3:ListBucket*"
"arn:aws:s3:::
bucket-name
"Concede l'autorizzazione per elencare i bucket Amazon S3.
"s3:GetObject"
"arn:aws:s3:::
bucket-name
*"Concede l'autorizzazione per ottenere oggetti Amazon S3 utilizzati SageMaker dai notebook AI.
"logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"
"arn:aws:logs:
region-code
:account-id
:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code
:account-id
:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"Concede l'autorizzazione a scrivere log su Amazon CloudWatch Logs dai notebook.
Convenzione per la denominazione: scrive per registrare i gruppi i cui nomi iniziano con aws-glue.
"glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"
"arn:aws:glue:
region-code
:account-id
:devEndpoint/*"Concede l'autorizzazione a utilizzare un endpoint di sviluppo da notebook AI. SageMaker
"sagemaker:ListTags"
"arn:aws:sagemaker:
region-code
:account-id
:notebook-instance/*"Concede l'autorizzazione a restituire tag per una risorsa AI. SageMaker Il
aws-glue-dev-endpoint
tag è necessario sul notebook SageMaker AI per collegare il notebook a un endpoint di sviluppo. -
Nella schermata Verifica policy, inserisci il Nome policy, ad esempio
AWSGlueSageMakerNotebook
. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).