本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM for SageMaker 訓練計畫
SageMaker 訓練計畫需要兩個不同角色的特定許可:
-
計畫建立者角色:指派計畫建立者角色的使用者需要許可,才能搜尋訓練計畫產品、建立新的訓練計畫、列出和描述訓練計畫。
-
計劃使用者角色:具有計劃使用者角色的使用者需要許可,才能在 SageMaker 訓練任務中或在建立和更新 SageMaker HyperPod 叢集時使用訓練計劃。
使用 SageMaker 訓練計畫之前,請根據您的存取方法更新許可:
-
對於 AWS Management Console 或 SageMaker SDKs使用者:更新為主控台使用者或 API 使用者設定的 IAM 角色許可。
-
對於 AWS CLI 使用者:確保您的 AWS CLI 設定檔已正確設定適當的登入資料和許可。
-
對於 JupyterLab 等 Studio 應用程式使用者,請設定與應用程式所用空間相關聯的執行角色許可。
您可以使用受管政策或個別更精細的許可來設定這些許可。
如需有關如何更新角色許可政策的資訊,請參閱更新角色的許可。如需如何尋找和更新執行角色的資訊,請參閱 取得您的執行角色。
注意
管理員應該仔細考慮哪些使用者需要建立訓練計畫並相應地指派許可。
受管政策
-
對於計劃建立者:
AmazonSageMakerTrainingPlanCreateAccess提供建立和管理訓練計劃的存取權。 -
對於計劃使用者:
AmazonSageMakerFullAccess包含使用訓練計劃的許可。
注意
-
AmazonSageMakerFullAccess受管政策設計為ease-of-use主要用於實驗目的。雖然它提供對 SageMaker AI 功能的廣泛存取,包括使用訓練計畫,但請務必注意:-
由於生產環境具有廣泛的許可,因此不建議使用此政策。
-
它不包括建立訓練計畫的許可,因為
CreateTrainingPlan被視為需要預付付款的管理動作。 -
對於生產使用案例,我們強烈建議建立遵循最低權限原則的自訂政策,只授予每個角色所需的特定許可。
-
個別許可
以下清單根據使用者使用 SageMaker 訓練計畫執行的特定動作,詳細說明應在角色的 IAM 政策陳述式中設定的精細許可:
許可的訓練計劃清單
-
SearchTrainingPlanOfferings:此許可允許使用者搜尋可用的訓練計畫方案。{ "Sid": "SearchTrainingPlanOfferingsPermissions", "Effect": "Allow", "Action": [ "sagemaker:SearchTrainingPlanOfferings" ], "Resource": "*" } -
CreateTrainingPlan:此許可允許使用者建立新的訓練計畫。注意
您還必須包含
CreateReservedCapacity和 的許可AddTags,並指定training-plan和reserved-capacity資源類型。{ "Sid": "CreateTrainingPlanPermissions", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingPlan", "sagemaker:CreateReservedCapacity", "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] } -
DescribeTrainingPlan:此許可允許使用者檢視現有訓練計劃的詳細資訊。{ "Sid": "DescribeTrainingPlanPermissions", "Effect": "Allow", "Action": [ "sagemaker:DescribeTrainingPlan" ], "Resource": [ "arn:aws:sagemaker:::training-plan/*" ] } -
ListTrainingPlans:此許可允許使用者列出其 AWS 帳戶中的所有訓練計劃。{ "Sid": "ListTrainingPlansPermissions", "Effect": "Allow", "Action": [ "sagemaker:ListTrainingPlans" ], "Resource": "*" }
每種類型的使用者個別許可
本節詳細說明每個角色所需的個別許可,如 IAM for SageMaker 訓練計畫章節所述。
對於計劃建立者,需要下列許可:
-
sagemaker:SearchTrainingPlanOfferings -
sagemaker:CreateTrainingPlan -
sagemaker:CreateReservedCapacity -
sagemaker:AddTags -
sagemaker:DescribeTrainingPlan -
sagemaker:ListTrainingPlans
計劃使用者需要這些許可:
-
sagemaker:CreateTrainingJob(適用於 SageMaker 訓練任務) -
sagemaker:CreateCluster和sagemaker:UpdateCluster(適用於 SageMaker HyperPod) -
存取
training-plan和reserved-capacity資源;設定 SageMaker 訓練計畫的 IAM 政策時,請同時包含training-plan和reserved-capacity資源的許可。SageMaker 訓練任務和 SageMaker HyperPod 叢集都需要這些資源。這可讓您的 IAM 角色與 SageMaker 訓練計畫資源互動,並管理預留容量。-
對於 SageMaker 訓練任務,確保您的政策包含
"arn:aws:sagemaker:::training-plan/""arn:aws:sagemaker:::reserved-capacity/"和資源 ARNs。
-
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob" ...// other existing known required actions ], "Resource": [ "arn:aws:sagemaker:::training-job/", "arn:aws:sagemaker:::training-plan/", "arn:aws:sagemaker:::reserved-capacity/*" ] } ] }
同樣地,對於 SageMaker HyperPod 組態,除了叢集特定的資源之外,還包含這些相同的 ARNs。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:CreateCluster", "sagemaker:UpdateCluster", ...// other existing known required actions ], "Resource": [ "arn:aws:sagemaker:::cluster/", "arn:aws:sagemaker:::training-plan/", "arn:aws:sagemaker:::reserved-capacity/*" ] } ] }
