Considerazioni Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione

Connessione dei notebook JupyterLab di Studio ad Amazon S3 Access Grants con job di addestramento e processi di elaborazione

Utilizza le informazioni seguenti per concedere ad Amazon S3 Access Grants l’accesso ai dati nei job di addestramento e nei processi di elaborazione di Amazon SageMaker.

Quando un utente con la funzionalità di propagazione attendibile delle identità abilitata avvia un job di addestramento o elaborazione di SageMaker che deve accedere ai dati di Amazon S3:

SageMaker AI chiama Amazon S3 Access Grants per ottenere credenziali temporanee basate sull’identità dell’utente.
Se la chiamata riesce, l’utente accede ai dati di Amazon S3 con le credenziali temporanee.
Se la chiamata non riesce, SageMaker AI torna alle credenziali del ruolo IAM.

Nota

Per impostare la concessione di tutte le autorizzazioni tramite Amazon S3 Access Grants, dovrai rimuovere le relative autorizzazioni di accesso Amazon S3 dal tuo ruolo di esecuzione e collegarle all’autorizzazione Amazon S3 Access Grant corrispondente.

Argomenti

Considerazioni
Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione

Considerazioni

Amazon S3 Access Grants non può essere utilizzato in modalità pipe per gli input di SageMaker Training e Processing per Amazon S3.

Quando la propagazione attendibile delle identità è abilitata, non è possibile avviare un job di addestramento SageMaker con le funzionalità seguenti:

Debug remoto
Debugger
Profiler

Quando la propagazione attendibile delle identità è abilitata, non è possibile avviare un processo di elaborazione con la funzionalità seguente:

DatasetDefinition

Configurazione di Amazon S3 Access Grants con job di addestramento e processi di elaborazione

Dopo aver configurato Amazon S3 Access Grants, aggiungi le autorizzazioni seguenti al ruolo di esecuzione del dominio o dell’utente.

us-east-1 è la tua Regione AWS.
111122223333 è il tuo ID Account AWS.
S3-ACCESS-GRANT-ROLE è il tuo ruolo Amazon S3 Access Grants.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Notebook JupyterLab di Studio con Amazon S3 Access Grants

Connessione ad Amazon EMR