Política administrada de AWS: AmazonSageMakerHyperPodServiceRolePolicy - Amazon SageMaker AI
Creación de un rol vinculado a un servicio para SageMaker HyperPodEdición de un rol vinculado a un servicio para SageMaker HyperPodEliminación de un rol vinculado a un servicio para SageMaker HyperPodRegiones admitidas para los roles vinculados a servicios de SageMaker HyperPod

Política administrada de AWS: AmazonSageMakerHyperPodServiceRolePolicy

SageMaker HyperPod crea y utiliza el rol vinculado al servicio denominado AWSServiceRoleForSageMakerHyperPod junto con la AmazonSageMakerHyperPodServiceRolePolicy asociada al rol. Esta política concede permisos de Amazon SageMaker HyperPod a servicios de AWS relacionados como Amazon EKS y Amazon CloudWatch.

El rol vinculado a un servicio simplifica la configuración de SageMaker HyperPod, porque ya no tendrá que añadir manualmente los permisos necesarios. SageMaker HyperPod define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo SageMaker HyperPod puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de SageMaker HyperPod, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

La AmazonSageMakerHyperPodServiceRolePolicy permite que SageMaker HyperPod realice las siguientes acciones en su nombre en los recursos especificados.

Detalles de los permisos

Esta política de roles vinculados a servicios incluye los siguientes permisos.

  • eks: permite a las entidades principales leer información del clúster de Amazon Elastic Kubernetes Service (EKS).

  • logs: permite a las entidades principales publicar flujos de registros de Amazon CloudWatch en /aws/sagemaker/Clusters.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}

Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para SageMaker HyperPod

No necesita crear manualmente un rol vinculado a servicios. Al crear un clúster de SageMaker HyperPod mediante la consola de SageMaker AI, la AWS CLI o los AWS SDK, SageMaker HyperPod crea el rol vinculado al servicio por usted.

Si elimina este rol vinculado al servicio pero necesita crearlo de nuevo, puede utilizar el mismo proceso (crear un nuevo clúster de SageMaker HyperPod) para volver a crear el rol en su cuenta.

Edición de un rol vinculado a un servicio para SageMaker HyperPod

SageMaker HyperPod no le permite editar el rol vinculado a servicios AWSServiceRoleForSageMakerHyperPod. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para SageMaker HyperPod

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Eliminación de recursos del clúster de SageMaker HyperPod mediante el rol vinculado al servicio

Utilice una de las siguientes opciones para eliminar los recursos del clúster de SageMaker HyperPod.

nota

Si el servicio de SageMaker HyperPod está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForSageMakerHyperPod. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de SageMaker HyperPod

SageMaker HyperPod admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Prerequisites for SageMaker HyperPod.