AWSverwaltete Richtlinie: AmazonSageMakerHyperPodServiceRolePolicy - Amazon SageMaker AI
Erstellen einer serviceverknüpften Rolle für SageMaker HyperPodBearbeiten einer serviceverknüpften Rolle für SageMaker HyperPodLöschen einer serviceverknüpften Rolle für SageMaker HyperPodUnterstützte Regionen für SageMaker HyperPod-serviceverknüpfte -Rollen

AWSverwaltete Richtlinie: AmazonSageMakerHyperPodServiceRolePolicy

SageMaker HyperPod erstellt und verwendet die mit dem Dienst verknüpfte Rolle AWSServiceRoleForSageMakerHyperPod mit dem Namen, der AmazonSageMakerHyperPodServiceRolePolicy an die Rolle angehängt ist. Diese Richtlinie gewährt Amazon SageMaker HyperPod Berechtigungen für verwandte AWS Dienste wie Amazon EKS und Amazon CloudWatch.

Eine serviceverbundene Rolle vereinfacht das Einrichten von SageMaker HyperPod, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. SageMaker HyperPod definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur SageMaker HyperPod die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Ressourcen von SageMaker HyperPod, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceorientierte Rollen unterstützen, finden Sie unter AWS services that work with IAM (-Services, die mit IAM funktionieren). Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-linked roles (Serviceorientierte Rollen) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Die AmazonSageMakerHyperPodServiceRolePolicy erlaubt SageMaker HyperPod die Durchführung der folgenden Aktionen für die angegebenen Ressourcen.

Details zu Berechtigungen

Diese serviceverknüpfte Rollenrichtlinie umfasst die folgenden Berechtigungen.

  • eks— Ermöglicht Prinzipalen das Lesen von Amazon Elastic Kubernetes Service (EKS) Clusterinformationen.

  • logs— Ermöglicht Prinzipalen die Veröffentlichung von Protokollstreams von Amazon CloudWatch in. /aws/sagemaker/Clusters

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}

Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für SageMaker HyperPod

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen SageMaker HyperPod-Cluster mit der SageMaker-AI-Konsole, den oder den AWS SDKs erstellen, erstellt SageMaker HyperPod die serviceverknüpfte Rolle für Sie. AWS CLI

Wenn Sie diese serviceverknüpfte Rolle löschen und erneut erstellen müssen, können Sie denselben Vorgang (Erstellen eines neuen SageMaker-HyperPod-Clusters) anwenden, um die Rolle in Ihrem Konto wiederherzustellen.

Bearbeiten einer serviceverknüpften Rolle für SageMaker HyperPod

SageMaker HyperPod verhindert die Bearbeitung der serviceverknüpften AWSServiceRoleForSageMakerHyperPod-Rolle. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für SageMaker HyperPod

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

So löschen Sie SageMaker HyperPod-Cluster-Ressourcen mithilfe der serviceverknüpften Rolle

Verwenden Sie eine der folgenden Optionen, um SageMaker HyperPod-Cluster-Ressourcen zu löschen.

Anmerkung

Wenn der SageMaker-HyperPod-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, AWS CLI- oder AWS-API, um die AWSServiceRoleForSageMakerHyperPod serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für SageMaker HyperPod-serviceverknüpfte -Rollen

SageMaker HyperPod unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter Voraussetzungen für SageMaker HyperPod.