6단계: SageMaker 노트북용 IAM 정책 생성 - AWS Glue

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

6단계: SageMaker 노트북용 IAM 정책 생성

개발 엔드포인트에서 SageMaker 노트북을 사용할 계획이라면 노트북을 생성할 때 권한을 지정해야 합니다. AWS Identity and Access Management(IAM)를 사용하여 권한을 제공합니다.

SageMaker 노트북에 대한 IAM 정책을 생성하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 [Policies]를 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 생성 페이지에서 탭으로 이동하여 JSON을 편집합니다. 다음 JSON 문을 사용해 정책 문서를 생성합니다. 환경에 대한 bucket-name, region-codeaccount-id를 편집합니다.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code:account-id:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code:account-id:notebook-instance/*" ] } ] }

    그런 다음 정책 검토를 선택합니다.

    다음 테이블은 이 정책이 보장하는 권한을 설명합니다.

    작업 리소스 설명

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Amazon S3 버킷을 나열할 수 있는 권한을 부여합니다.

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    SageMaker 노트북에서 사용하는 Amazon S3 객체를 가져오도록 권한을 부여합니다.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    노트북에서 Amazon CloudWatch Logs에 로그를 쓸 수 있는 권한을 부여합니다.

    이름 지정 규칙: 이름이 aws-glue로 시작하는 로그 그룹에 씁니다.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    SageMaker 노트북에서 개발 엔드포인트를 사용할 수 있는 권한을 부여합니다.

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    SageMaker 리소스에 대한 태그를 반환할 수 있는 권한을 부여합니다. aws-glue-dev-endpoint 태그는 SageMaker 노트북을 개발 엔드포인트에 연결하기 위해 필요합니다.

  5. 정책 검토 화면에서 정책 이름AWSGlueSageMakerNotebook과 같이 입력합니다. 조건부 설명을 입력하고 정책에 만족하면 정책 생성을 선택합니다.