Fase 6: Creare una IAM policy per i notebook SageMaker AI - AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 6: Creare una IAM policy per i notebook SageMaker AI

Se prevedi di utilizzare notebook SageMaker AI con endpoint di sviluppo, devi specificare le autorizzazioni quando crei il notebook. Puoi fornire queste autorizzazioni usando AWS Identity and Access Management (IAM).

Per creare una policy per i notebook basati sull'intelligenza artificiale IAM SageMaker
  1. Accedi a AWS Management Console e apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione a sinistra, seleziona Policy.

  3. Scegliere Create Policy (Crea policy).

  4. Nella pagina Crea politica, vai a una scheda per modificare ilJSON. Crea un documento politico con le seguenti JSON dichiarazioni. Modifica bucket-name e region-code account-id per il tuo ambiente.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code:account-id:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code:account-id:notebook-instance/*" ] } ] }

    Selezionare Review policy (Esamina policy).

    La tabella seguente descrive le autorizzazioni concesse dalla policy.

    Azione Risorsa Descrizione

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Concede l'autorizzazione per elencare i bucket Amazon S3.

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    Concede l'autorizzazione per ottenere oggetti Amazon S3 utilizzati SageMaker dai notebook AI.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    Concede l'autorizzazione a scrivere log su Amazon CloudWatch Logs dai notebook.

    Convenzione per la denominazione: scrive per registrare i gruppi i cui nomi iniziano con aws-glue.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    Concede l'autorizzazione a utilizzare un endpoint di sviluppo da notebook AI. SageMaker

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    Concede l'autorizzazione a restituire tag per una risorsa AI. SageMaker Il aws-glue-dev-endpoint tag è necessario sul notebook SageMaker AI per collegare il notebook a un endpoint di sviluppo.

  5. Nella schermata Verifica policy, inserisci il Nome policy, ad esempio AWSGlueSageMakerNotebook. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).