Consideraciones Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3

Conexión de cuadernos de JupyterLab de Studio con Concesiones de acceso a Amazon S3 en trabajos de entrenamiento y procesamiento

Utilice la siguiente información para Concesiones de acceso a Amazon S3 para acceder a los datos en los trabajos de entrenamiento y procesamiento de Amazon SageMaker.

Cuando un usuario con la propagación de identidades de confianza habilitada lanza un trabajo de entrenamiento o procesamiento de SageMaker que necesita acceder a los datos de Amazon S3:

SageMaker AI llama a Concesiones de acceso a Amazon S3 para obtener credenciales temporales basadas en la identidad del usuario.
Si se ejecutan correctamente, estas credenciales temporales acceden a los datos de Amazon S3.
Si no se ejecutan correctamente, SageMaker AI vuelve a utilizar las credenciales del rol de IAM.

nota

Para garantizar que todos los permisos se concedan mediante Concesiones de acceso a Amazon S3, tendrá que eliminar el permiso de acceso a Amazon S3 relacionado con su rol de ejecución y asociarlo a su Concesiones de acceso a Amazon S3 correspondiente.

Temas

Consideraciones
Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3

Consideraciones

Las Concesiones de acceso a Amazon S3 no se pueden utilizar con el modo de canalización para las entradas de Amazon S3 de entrenamiento y procesamiento de SageMaker.

Si la propagación de identidades de confianza está habilitada, no puede iniciar un trabajo de entrenamiento de SageMaker con la siguiente característica:

Depuración remota
Depurador
Profiler

Si la propagación de identidades de confianza está habilitada, no puede iniciar un trabajo de procesamiento con la siguiente característica:

DatasetDefinition

Configuración de los trabajos de entrenamiento y procesamiento con Concesiones de acceso a Amazon S3

Después de configurar Concesiones de acceso a Amazon S3, añada los siguientes permisos a su dominio o rol de ejecución de usuario.

us-east-1 es su Región de AWS.
111122223333 es su ID de Cuenta de AWS.
S3-ACCESS-GRANT-ROLE es su rol de Concesiones de acceso a Amazon S3.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cuadernos de JupyterLab de Studio con Concesiones de acceso a Amazon S3

Conexión a Amazon EMR