安裝本機 Jupyter 環境政策和許可

您需要設定必要的許可和政策，以在本機 Jupyter 環境中排程筆記本任務。IAM 使用者需要許可才能將任務提交至 SageMaker AI，而筆記本任務本身擔任的 IAM 角色需要許可才能存取資源，具體取決於任務。以下將提供如何設定必要許可和政策的說明。

您需要安裝兩組許可。下圖顯示您在本機 Jupyter 環境中排程筆記本任務的許可結構。IAM 使用者需要設定 IAM 許可，才能將任務提交至 SageMaker AI。使用者提交筆記本工作後，工作本身就會承擔 IAM 角色，根據工作任務的不同，該角色會擁有存取資源的許可。

以下各節可協助您為 IAM 使用者和工作執行角色安裝必要的政策和許可。

IAM 使用者許可

向 SageMaker AI 提交任務的許可

若要新增提交工作的許可，請完成下列步驟：

1. 開啟 IAM 主控台。

2. 在左側面板中，選取使用者。

3. 尋找您筆記本工作的 IAM 使用者，然後選擇使用者名稱。

4. 選擇新增許可，然後從下拉式功能表中選擇建立內嵌政策。

5. 選擇 JSON 標籤。

6. 複製並貼上下方政策：

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "EventBridgeSchedule",
               "Effect": "Allow",
               "Action": [
                   "events:TagResource",
                   "events:DeleteRule",
                   "events:PutTargets",
                   "events:DescribeRule",
                   "events:EnableRule",
                   "events:PutRule",
                   "events:RemoveTargets",
                   "events:DisableRule"
               ],
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
                   }
               }
           },
           {
               "Sid": "IAMPassrole",
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::*:role/*",
               "Condition": {
                   "StringLike": {
                       "iam:PassedToService": [
                           "sagemaker.amazonaws.com",
                           "events.amazonaws.com"
                       ]
                   }
               }
           },
           {
               "Sid": "IAMListRoles",
               "Effect": "Allow",
               "Action": "iam:ListRoles",
               "Resource": "*"
           },
           {
               "Sid": "S3ArtifactsAccess",
               "Effect": "Allow",
               "Action": [
                   "s3:PutEncryptionConfiguration",
                   "s3:CreateBucket",
                   "s3:PutBucketVersioning",
                   "s3:ListBucket",
                   "s3:PutObject",
                   "s3:GetObject",
                   "s3:GetEncryptionConfiguration",
                   "s3:DeleteObject",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::sagemaker-automated-execution-*"
               ]
           },
           {
               "Sid": "S3DriverAccess",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetObject",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::sagemakerheadlessexecution-*"
               ]
           },
           {
               "Sid": "SagemakerJobs",
               "Effect": "Allow",
               "Action": [
                   "sagemaker:DescribeTrainingJob",
                   "sagemaker:StopTrainingJob",
                   "sagemaker:DescribePipeline",
                   "sagemaker:CreateTrainingJob",
                   "sagemaker:DeletePipeline",
                   "sagemaker:CreatePipeline"
               ],
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
                   }
               }
           },
           {
               "Sid": "AllowSearch",
               "Effect": "Allow",
               "Action": "sagemaker:Search",
               "Resource": "*"
           },
           {
               "Sid": "SagemakerTags",
               "Effect": "Allow",
               "Action": [
                   "sagemaker:ListTags",
                   "sagemaker:AddTags"
               ],
               "Resource": [
                   "arn:aws:sagemaker:*:*:pipeline/*",
                   "arn:aws:sagemaker:*:*:space/*",
                   "arn:aws:sagemaker:*:*:training-job/*",
                   "arn:aws:sagemaker:*:*:user-profile/*"
               ]
           },
           {
               "Sid": "ECRImage",
               "Effect": "Allow",
               "Action": [
                   "ecr:GetAuthorizationToken",
                   "ecr:BatchGetImage"
               ],
               "Resource": "*"
           }
       ]
   }
   

AWS KMS 許可政策 （選用）

根據預設，輸入和輸出 Amazon S3 儲存貯體使用伺服器端加密，但您可以指定自訂 KMS 金鑰來對輸出 Amazon S3 儲存貯體中的資料，以及連接到筆記本任務的儲存磁碟區進行加密。

如果您想要使用自訂 KMS 金鑰，請重複先前的指示，連接下列政策，然後提供您自己的 KMS 金鑰 ARN。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
      }
   ]
}

工作執行角色許可

信任關係

若要修改工作執行角色信任關係，請完成下列步驟：

1. 開啟 IAM 主控台。

2. 在左側面板中，選取角色。

3. 尋找筆記本工作的工作執行角色，並選擇角色名稱。

4. 選擇信任關係標籤。

5. 選擇編輯信任政策。

6. 複製並貼上下方政策：

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "sagemaker.amazonaws.com",
                       "events.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   

額外許可

提交之後，筆記本工作需要許可才能存取資源。下列指示展示如何新增一組最低限度的許可。如有需要，請根據筆記本工作的需要新增更多許可。若要將許可新增至工作執行角色，請完成下列步驟：

1. 開啟 IAM 主控台。

2. 在左側面板中，選取角色。

3. 尋找筆記本工作的工作執行角色，並選擇角色名稱。

4. 選擇新增許可，然後從下拉式功能表中選擇建立內嵌政策。

5. 選擇 JSON 標籤。

6. 複製並貼上下方政策：

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "PassroleForJobCreation",
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::*:role/*",
               "Condition": {
                   "StringLike": {
                       "iam:PassedToService": "sagemaker.amazonaws.com"
                   }
               }
           },
           {
               "Sid": "S3ForStoringArtifacts",
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject",
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": "arn:aws:s3:::sagemaker-automated-execution-*"
           },
           {
               "Sid": "S3DriverAccess",
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetObject",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::sagemakerheadlessexecution-*"
               ]
           },
           {
               "Sid": "SagemakerJobs",
               "Effect": "Allow",
               "Action": [
                   "sagemaker:StartPipelineExecution",
                   "sagemaker:CreateTrainingJob"
               ],
               "Resource": "*"
           },
           {
               "Sid": "ECRImage",
               "Effect": "Allow",
               "Action": [
                   "ecr:GetDownloadUrlForLayer",
                   "ecr:BatchGetImage",
                   "ecr:GetAuthorizationToken",
                   "ecr:BatchCheckLayerAvailability"
               ],
               "Resource": "*"
           }
       ]
   }
   

7. 將許可新增至筆記本工作存取的其他資源。

8. 選擇檢閱政策。

9. 輸入政策的名稱。

10. 選擇建立政策。