Permisos de usuario de IAM Permisos de rol de ejecución de trabajos

Instalación de políticas y permisos para los entornos locales de Jupyter

Deberá configurar los permisos y políticas necesarios para programar trabajos de cuaderno en un entorno de Jupyter local. El usuario de IAM necesita permisos para enviar trabajos a SageMaker AI y el rol de IAM que asume el propio trabajo de cuaderno necesita permisos para acceder a los recursos, dependiendo de las tareas del trabajo. A continuación, se proporcionan instrucciones sobre cómo configurar los permisos y políticas necesarios.

Deberá instalar dos conjuntos de permisos. El siguiente diagrama muestra la estructura de permisos para programar trabajos de cuadernos en un entorno de Jupyter local. El usuario de IAM necesita configurar los permisos de IAM para poder enviar trabajos a SageMaker AI. Una vez que el usuario envía el trabajo del cuaderno, el propio trabajo asume un rol de IAM que tiene permisos para acceder a los recursos en función de las tareas del trabajo.

Se ejecutan los permisos de IAM que necesita el usuario y el rol de IAM que asume el trabajo en un cuaderno.

Las siguientes secciones le ayudan a instalar las políticas y los permisos necesarios tanto para el usuario de IAM como para el rol de ejecución de trabajos.

Permisos de usuario de IAM

Permisos para enviar trabajos a SageMaker AI

Para agregar permisos para enviar trabajos, siga los siguientes pasos:

Abra la consola de IAM.
En el panel izquierdo, seleccione Usuarios.
Busque el usuario de IAM para su trabajo del cuaderno y elija el nombre de usuario.
Elija Agregar permisos y, a continuación, Crear política insertada en el menú desplegable.
Seleccione la pestaña JSON.

Copie y pegue la siguiente política:

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EventBridgeSchedule",
            "Effect": "Allow",
            "Action": [
                "events:TagResource",
                "events:DeleteRule",
                "events:PutTargets",
                "events:DescribeRule",
                "events:EnableRule",
                "events:PutRule",
                "events:RemoveTargets",
                "events:DisableRule"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
                }
            }
        },
        {
            "Sid": "IAMPassrole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "sagemaker.amazonaws.com",
                        "events.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "IAMListRoles",
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Sid": "S3ArtifactsAccess",
            "Effect": "Allow",
            "Action": [
                "s3:PutEncryptionConfiguration",
                "s3:CreateBucket",
                "s3:PutBucketVersioning",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetEncryptionConfiguration",
                "s3:DeleteObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-automated-execution-*"
            ]
        },
        {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
        },
        {
            "Sid": "SagemakerJobs",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeTrainingJob",
                "sagemaker:StopTrainingJob",
                "sagemaker:DescribePipeline",
                "sagemaker:CreateTrainingJob",
                "sagemaker:DeletePipeline",
                "sagemaker:CreatePipeline"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
                }
            }
        },
        {
            "Sid": "AllowSearch",
            "Effect": "Allow",
            "Action": "sagemaker:Search",
            "Resource": "*"
        },
        {
            "Sid": "SagemakerTags",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListTags",
                "sagemaker:AddTags"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:pipeline/*",
                "arn:aws:sagemaker:*:*:space/*",
                "arn:aws:sagemaker:*:*:training-job/*",
                "arn:aws:sagemaker:*:*:user-profile/*"
            ]
        },
        {
            "Sid": "ECRImage",
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage"
            ],
            "Resource": "*"
        }
    ]
}

Política de permisos de AWS KMS (opcional)

De forma predeterminada, los buckets de Amazon S3 de entrada y salida se cifran mediante el cifrado del lado del servidor, pero puede especificar una clave de KMS personalizada para cifrar los datos en el bucket de Amazon S3 de salida y en el volumen de almacenamiento asociado al trabajo del cuaderno.

Si desea utilizar una clave de KMS personalizada, repita las instrucciones anteriores, asocie la siguiente política y proporcione su propio ARN de clave de KMS.

Permisos de rol de ejecución de trabajos

Relaciones de confianza

Para modificar las relaciones de confianza del rol de ejecución de trabajos, siga los pasos siguientes:

Abra la consola de IAM.
En el panel izquierdo, seleccione Roles.
Busque el rol de ejecución de trabajos para el trabajo del cuaderno y elija el nombre del rol.
Seleccione la pestaña Relaciones de confianza.
Elija Editar la política de confianza.

Copie y pegue la siguiente política:

Permisos adicionales

Una vez enviado, el trabajo del cuaderno necesita permisos para acceder a los recursos. Las siguientes instrucciones muestran cómo agregar un conjunto mínimo de permisos. Si es necesario, agregue más permisos en función de las necesidades de trabajo de su cuaderno. Para agregar permisos a su rol de ejecución de trabajos, siga los pasos que se describen a continuación:

Abra la consola de IAM.
En el panel izquierdo, seleccione Roles.
Busque el rol de ejecución de trabajos para el trabajo del cuaderno y elija el nombre del rol.
Elija Agregar permisos y, a continuación, Crear política insertada en el menú desplegable.
Seleccione la pestaña JSON.

Copie y pegue la siguiente política:

Agregue permisos a otros recursos a los que accede su trabajo del cuaderno.
Elija Revisar política.
Escriba un nombre para la política.
Seleccione Crear política.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de políticas y permisos para Studio

Lugar de creación de un trabajo de cuaderno