Configura politiche e autorizzazioni per Studio

È necessario installare le politiche e le autorizzazioni appropriate prima di pianificare la prima esecuzione del notebook. Di seguito vengono fornite istruzioni sulla configurazione delle seguenti autorizzazioni:

Relazioni di attendibilità per il ruolo di esecuzione del processo
Autorizzazioni IAM aggiuntive collegate al ruolo di esecuzione del processo
(opzionale) La politica di AWS KMS autorizzazione per l'utilizzo di una chiave KMS personalizzata

Importante

Se il tuo AWS account appartiene a un'organizzazione con policy di controllo dei servizi (SCP), le tue autorizzazioni effettive sono l'intersezione logica tra ciò che è consentito dal tuo ruolo IAM SCPs e ciò che è consentito dal tuo ruolo IAM e dalle politiche utente. Ad esempio, se l'SCP dell'organizzazione specifica che è possibile accedere solo alle risorse in us-east-1 e us-west-1, e le policy consentono solo di accedere alle risorse contenute in us-west-1 e us-west-2, in ultima analisi, è possibile accedere solo alle risorse contenute in us-west-1. Se desideri esercitare tutte le autorizzazioni consentite nelle tue policy relative al ruolo e agli utenti, la tua organizzazione SCPs dovrebbe concedere lo stesso set di autorizzazioni delle tue policy IAM relative agli utenti e ai ruoli. Per informazioni su come determinare le richieste consentite, consulta la sezione Determinazione della concessione o del rifiuto di una richiesta in un account.

Relazioni di attendibilità

Per modificare le relazioni di attendibilità, completa la seguente procedura:

Apri la console IAM.
Seleziona Ruoli nel pannello a sinistra.
Trova il ruolo di esecuzione del processo per il processo relativo al notebook e scegli il nome del ruolo.
Seleziona la scheda Relazioni di attendibilità
Seleziona Modifica policy di attendibilità.

Copia e incolla la seguente policy:

Scegli Aggiorna policy.

Autorizzazioni aggiuntive per IAM

Potrebbe essere necessario includere autorizzazioni IAM aggiuntive nelle seguenti situazioni:

I ruoli di esecuzione in Studio e dei processi relativi ai notebook sono diversi
Devi accedere alle risorse Amazon S3 tramite un endpoint VPC S3
Desideri utilizzare una chiave KMS personalizzata per crittografare i bucket Amazon S3 di input e output

La discussione seguente fornisce le policy necessarie per ogni caso.

Autorizzazioni necessarie se i ruoli di esecuzione in Studio e dei processi relativi ai notebook sono diversi

Il seguente frammento di codice JSON è un esempio di policy da aggiungere ai ruoli di esecuzione in Studio e dei processi relativi ai notebook se non si utilizza il ruolo di esecuzione di Studio come ruolo di processo relativo al notebook. Rivedi e modifica questa policy se devi limitare ulteriormente i privilegi.

JSON


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

Autorizzazioni necessarie per accedere alle risorse Amazon S3 tramite un endpoint VPC S3

Se esegui SageMaker Studio in modalità VPC privata e accedi a S3 tramite l'endpoint VPC S3, puoi aggiungere autorizzazioni alla policy degli endpoint VPC per controllare quali risorse S3 sono accessibili tramite l'endpoint VPC. Aggiungi le seguenti autorizzazioni alla tua policy sugli endpoint VPC. Puoi modificare la policy se devi limitare ulteriormente le autorizzazioni, ad esempio fornendo specifiche più restrittive per il campo Principal.


{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

Per informazioni dettagliate su come configurare una policy per gli endpoint VPC di S3, consulta Modifica della policy degli endpoint VPC.

Autorizzazioni necessarie per utilizzare una chiave KMS personalizzata (opzionale)

Per impostazione predefinita, i bucket Amazon S3 di input e output sono crittografati utilizzando la crittografia lato server; tuttavia, puoi specificare una chiave KMS personalizzata per crittografare i dati nel bucket Amazon S3 di output e nel volume di storage collegato al processo relativo al notebook.

Se desideri utilizzare una chiave KMS personalizzata, collega la seguente policy e fornisci l’ARN della chiave KMS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Guida all'installazione

Installazione di policy e autorizzazioni per gli ambienti Jupyter locali