Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement - Amazon SageMaker AI
ConsidérationsConfiguration des autorisations d’accès Amazon S3 avec des tâches d’entraînement et de traitement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement

Utilisez les informations suivantes pour accorder des subventions d'accès Amazon S3 afin d'accéder aux données des tâches Amazon SageMaker Training and Processing.

Lorsqu'un utilisateur pour lequel la propagation d'identité sécurisée est activée lance une tâche de SageMaker formation ou de traitement qui doit accéder aux données Amazon S3 :

  • SageMaker L'IA appelle Amazon S3 Access Grants pour obtenir des informations d'identification temporaires basées sur l'identité de l'utilisateur

  • En cas de succès, ces informations d’identification temporaires accèdent aux données Amazon S3.

  • En cas d'échec, SageMaker l'IA recommence à utiliser les informations d'identification du rôle IAM

Note

Pour garantir que toutes les autorisations sont accordées via les autorisations d’accès Amazon S3, vous devez supprimer l’autorisation d’accès Amazon S3 associée à votre rôle d’exécution et les attacher à votre autorisation d’accès Amazon S3 correspondante.

Considérations

Les subventions d'accès Amazon S3 ne peuvent pas être utilisées avec le mode Pipe pour la SageMaker formation et le traitement des entrées Amazon S3.

Lorsque la propagation fiable des identités est activée, vous ne pouvez pas lancer un SageMaker Training Job doté de la fonctionnalité suivante

  • Débogage à distance

  • Debugger

  • Profiler

Lorsque la propagation d’identité de confiance est activée, vous ne pouvez pas lancer de tâche de traitement avec la fonctionnalité suivante

  • DatasetDefinition

Configuration des autorisations d’accès Amazon S3 avec des tâches d’entraînement et de traitement

Une fois que les autorisations d’accès Amazon S3 sont configurées, ajoutez les autorisations suivantes à votre rôle d’exécution de domaine ou utilisateur.

  • us-east-1 est votre Région AWS.

  • 111122223333 est votre ID de Compte AWS.

  • S3-ACCESS-GRANT-ROLE est votre rôle d’autorisations d’accès Amazon S3.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}