Etapa 6: criar uma política do IAM para cadernos do SageMaker - AWS Glue

Etapa 6: criar uma política do IAM para cadernos do SageMaker

Ao planejar usar cadernos do SageMaker com endpoints de desenvolvimento, você deve especificar permissões ao criar o caderno. Você concede essas permissões usando o AWS Identity and Access Management (IAM).

Para criar uma política do IAM para cadernos do SageMaker

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Create Policy (Criar política).

  4. Na página Create Policy (Criar política), navegue até uma guia para editar o JSON. Crie um documento de política com as seguintes instruções JSON. Edite bucket-name, region-code e account-id para o seu ambiente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucket-name"
            ]
        },
        {
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucket-name*"
            ]
        },
        {
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents",
                "logs:CreateLogGroup"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*",
                "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
            ]
        },
        {
            "Action": [
                "glue:UpdateDevEndpoint",
                "glue:GetDevEndpoint",
                "glue:GetDevEndpoints"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:glue:region-code:account-id:devEndpoint/*"
            ]
        },
        {
            "Action": [
                "sagemaker:ListTags"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"
            ]
         }
    ]
}

    Em seguida, escolha Revisar política.

    A tabela a seguir descreve as permissões concedidas por esta política.

    Ação Recurso Descrição

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Concede permissão para listar os buckets do Amazon S3.

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    Concede permissão para obter objetos do Amazon S3 usados por cadernos do SageMaker.

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    Concede permissão para gravar logs no Amazon CloudWatch Logs a partir de cadernos.

    Convenção de nomenclatura: grava grupos de logs cujos nomes começam com aws-glue.

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    Concede permissão para usar um endpoint de desenvolvimento em cadernos do SageMaker.

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    Concede permissão para retornar as tags para um recurso do SageMaker. A tag aws-glue-dev-endpoint é obrigatória no caderno do SageMaker para conectá-lo a um endpoint de desenvolvimento.

  5. Na tela Review Policy (Revisar política), insira o Policy Name (Nome da política), por exemplo, AWSGlueSageMakerNotebook. Digite uma descrição opcional e, quando estiver satisfeito com a política, escolha Create policy (Criar política).