Connect JupyterLab Studio-Notebooks mit Amazon S3 Access Grants mit Schulungs- und Verarbeitungsaufträgen - Amazon SageMaker KI
ÜberlegungenEinrichten von Amazon S3 Access Grants mit Trainings- und Verarbeitungsaufträgen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect JupyterLab Studio-Notebooks mit Amazon S3 Access Grants mit Schulungs- und Verarbeitungsaufträgen

Verwenden Sie die folgenden Informationen, um Amazon S3-Zugriffsberechtigungen für den Zugriff auf Daten in Amazon SageMaker Training and Processing Jobs zu gewähren.

Wenn ein Benutzer mit aktivierter Weitergabe vertrauenswürdiger Identitäten einen SageMaker Trainings- oder Verarbeitungsjob startet, der auf Amazon S3 S3-Daten zugreifen muss:

  • SageMaker KI ruft Amazon S3 Access Grants auf, um temporäre Anmeldeinformationen auf der Grundlage der Benutzeridentität zu erhalten

  • Bei Erfolg greifen diese temporären Anmeldeinformationen auf die Amazon-S3-Daten zu.

  • Gelingt das nicht, greift SageMaker KI auf die Verwendung der IAM-Rollenanmeldedaten zurück

Anmerkung

Um zu erzwingen, dass alle Berechtigungen über Amazon S3 Access Grants erteilt werden, müssen Sie die zugehörige Amazon-S3-Zugriffsberechtigung Ihrer Ausführungsrolle entfernen und sie dem entsprechenden Amazon S3 Access Grant zuordnen.

Überlegungen

Amazon S3 Access Grants können nicht mit dem Pipe-Modus sowohl für SageMaker Training als auch für die Verarbeitung von Amazon S3 S3-Eingaben verwendet werden.

Wenn die Weitergabe vertrauenswürdiger Identitäten aktiviert ist, können Sie keinen SageMaker Trainingsjob mit der folgenden Funktion starten

  • Remote-Debuggen

  • Debugger

  • Profiler

Wenn die Weitergabe vertrauenswürdiger Identitäten aktiviert ist, können Sie keinen Verarbeitungsauftrag mit dem folgenden Feature starten.

  • DatasetDefinition

Einrichten von Amazon S3 Access Grants mit Trainings- und Verarbeitungsaufträgen

Nachdem Amazon S3 Access Grants eingerichtet ist, fügen Sie die folgenden Berechtigungen Ihrer Domain- oder Benutzerausführungsrolle hinzu.

  • us-east-1 ist die AWS-Region

  • 111122223333 ist die AWS-Konto-ID

  • S3-ACCESS-GRANT-ROLE ist die Rolle von Amazon S3 Access Grant

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}