本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何使用 SageMaker 执行角色
Amazon 使用其他 Amazon 服务代表您 SageMaker 执行操作。您必须授予使用这些服务及其操作的资源的 SageMaker 权限。您可以使用 Amazon Identity and Access Management (IAM) 执行角色授予 SageMaker这些权限。有关 IAM 角色的更多信息,请参阅 IAM 角色。
要创建和使用执行角色,可以使用以下过程。
创建执行角色
使用以下过程创建一个执行角色,并附加 IAM 托管策略 AmazonSageMakerFullAccess。如果您的使用案例需要更精细的权限,请使用本页上的其他部分来创建满足业务需求的执行角色。您可以使用 SageMaker控制台或创建执行角色 Amazon CLI。
重要
以下过程中使用的 IAM 管理策略 AmazonSageMakerFullAccess 只授予执行角色对名称中包含 SageMaker、Sagemaker、sagemaker 或 aws-glue 的存储桶或对象执行特定 Amazon S3 操作的权限。要了解如何为执行角色添加附加策略,以授予其访问其他 Amazon S3 存储桶和对象的权限,请参阅向 SageMaker 执行角色添加其他 Amazon S3 权限。
注意
在创建 SageMaker 域或笔记本实例时,您可以直接创建执行角色。
-
有关如何创建 SageMaker 域的信息,请参阅Amazon 入门指南 SageMaker。
-
有关如何创建笔记本实例的信息,请参阅步骤 1:为本教程创建 Amazon SageMaker 笔记本实例。
从 SageMaker控制台创建新的执行角色
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
选择 Role (角色),然后选择 Create role (创建角色)。
-
将Amazon 服务保留为可信实体类型,然后使用向下箭头SageMaker在其他 Amazon 服务的用例中查找。
-
选择 SageMaker — 执行,然后选择 “下一步”。
-
IAM 托管策略
AmazonSageMakerFullAccess会自动附加到角色。要查看此策略中包含的权限,请选择策略名称旁边的加号 (+)。选择下一步。 -
输入角色名称和描述。
-
(可选)向角色添加其他权限和标签。
-
选择 创建角色。
-
在 IAM 控制台的角色部分中,找到刚刚创建的角色。如果需要,请通过文本框使用角色名称搜索角色。
-
在角色摘要页面上,记下 ARN。
从 Amazon CLI创建新的执行角色
在使用创建执行角色之前 Amazon CLI,请务必按照中的说明对其进行更新和配置(可选)配置 Amazon CLI,然后继续按照中的说明进行操作使用自定义设置 Amazon CLI。
创建执行角色后,可以将其与 SageMaker 域、用户配置文件或 Jupyter 笔记本实例相关联。
-
要了解如何将执行角色与现有 SageMaker域相关联,请参阅编辑域名设置。
-
要了解如何将执行角色与现有用户配置文件进行关联,请参阅添加和删除用户个人资料。
-
要了解如何将执行角色与现有笔记本实例进行关联,请参阅更新笔记本实例。
您也可以将执行角色的 ARN 传递给 API 调用。例如,使用 Amaz SageMaker on Python 软件开发工具包
import sagemaker, boto3 from sagemaker import image_uris sess = sagemaker.Session() region = sess.boto_region_name bucket = sess.default_bucket() prefix = "sagemaker/DEMO-xgboost-churn" container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1") xgb = sagemaker.estimator.Estimator( container,execution-role-ARN, instance_count=1, instance_type="ml.m4.xlarge", output_path="s3://{}/{}/output".format(bucket, prefix), sagemaker_session=sess, ) ...
向 SageMaker 执行角色添加其他 Amazon S3 权限
当您对 Amazon S3 中的资源(例如输入数据)使用 SageMaker 功能时,将使用您在请求中指定的执行角色(例如CreateTrainingJob)来访问这些资源。
如果您将 IAM 托管策略 AmazonSageMakerFullAccess 附加到一个执行角色,则该角色有权对名称中包含 SageMaker、Sagemaker、sagemaker 或 aws-glue 的存储桶或对象执行某些 Amazon S3 操作。它还有权对任何 Amazon S3 资源执行以下操作:
"s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors"
要向执行角色授予访问 Amazon S3 中一个或多个特定存储桶的权限,您可以为该角色附加类似于以下内容的策略。此策略授予 IAM 角色执行所有AmazonSageMakerFullAccess允许但限制访问存储桶 DOC-EXAMPLE-BUCKET1 和 DOC-EXAMPLE-BUCKET2 的操作的权限。要详细了解该 SageMaker 功能所需的 Amazon S3 权限,请参阅您正在使用的特定功能的安全文档。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2" ] } ] }
获取你的执行角色
您可以使用SageMaker 控制台
获取域名执行角色
以下内容提供了有关查找域名执行角色的说明。
查找附加到您的域名的执行角色
-
打开 SageMaker 控制台,https://console.aws.amazon.com/sagemaker/
-
在左侧导航窗格中,选择管理员配置下的域。
-
选择与您的域名对应的链接。
-
选择域名设置选项卡。
-
在常规设置部分,执行角色 ARN 列在执行角色下。
执行角色名称在执行角色 ARN
/中的最后一个名称之后。
获取空间执行角色
以下内容提供了有关查找空间执行角色的说明。
找到与你的空间相关的执行角色
-
打开 SageMaker 控制台,https://console.aws.amazon.com/sagemaker/
-
在左侧导航窗格中,选择管理员配置下的域。
-
选择与您的域名对应的链接。
-
选择空间管理选项卡。
-
在详细信息部分,执行角色 ARN 列在执行角色下。
执行角色名称在执行角色 ARN
/中的最后一个名称之后。
注意
以下代码应在像 Amazon SageMaker Studio 中的任何 IDE 一样的 SageMaker 环境中运行。如果您在 SageMaker环境get_execution_role之外运行,则会收到错误消息。
以下 get_execution_role
from sagemaker import get_execution_role role = get_execution_role() print(role)
执行角色名称在执行角色 ARN / 中的最后一个名称之后。
获取用户执行角色
以下内容提供了有关查找用户执行角色的说明。
查找附加到用户的执行角色
-
打开 SageMaker 控制台,https://console.aws.amazon.com/sagemaker/
-
在左侧导航窗格中,选择管理员配置下的域。
-
选择与您的域名对应的链接。
-
选择 “用户个人资料” 选项卡。
-
选择与您的用户对应的链接。
-
在详细信息部分,执行角色 ARN 列在执行角色下。
执行角色名称在执行角色 ARN
/中的最后一个名称之后。
注意
要使用以下示例,必须安装并配置 Amazon Command Line Interface (Amazon CLI)。有关信息,请参阅《版本 2 Amazon Command Line Interface 用户指南》 Amazon CLI中的 “入门”。
以下get-caller-identity
aws sts get-caller-identity
执行角色名称在执行角色 ARN / 中的最后一个名称之后。
更改您的执行角色
执行角色是 SageMaker 身份(如 SageMaker 用户、空间或域)担任的 IAM 角色。更改 IAM 角色会更改担任该角色的所有身份的权限。
当您更改执行角色时,相应空间的执行角色也将发生变化。变更的影响可能需要一些时间才能传播。
-
当您更改用户的执行角色时,该用户创建的私有空间将扮演更改后的执行角色。
-
当您更改空间的默认执行角色时,域中的共享空间将扮演更改后的执行角色。
有关执行角色和空间的更多信息,请参阅了解域空间权限和执行角色。
您可以使用以下说明之一将身份的执行角色更改为其他 IAM 角色。
相反,如果您想要修改身份所扮演的角色,请参阅修改执行角色的权限。
更改域默认执行角色
以下内容提供了有关更改域名的默认执行角色的说明。
更改附加到您的域名的默认执行角色
-
打开 SageMaker 控制台,https://console.aws.amazon.com/sagemaker/
-
在左侧导航窗格中,选择管理员配置下的域。
-
选择与您的域名对应的链接。
-
选择域名设置选项卡。
-
在 “常规设置” 部分中,选择 “编辑”。
-
在 “权限” 部分的 “默认执行角色” 下,展开下拉列表。
-
在下拉列表中,您可以选择现有角色、输入自定义 IAM 角色 ARN 或创建新角色。
如果要创建新角色,可以选择使用角色创建向导选项创建角色。
-
在以下步骤中选择 “下一步”,然后在最后一步中选择 “提交”。
更改空间默认执行角色
以下内容提供了有关更改空间默认执行角色的说明。更改此执行角色将更改域中所有共享空间所承担的角色。
更改创建新空间时的空间默认执行角色
-
打开 SageMaker 控制台,https://console.aws.amazon.com/sagemaker/
-
在左侧导航窗格中,选择管理员配置下的域。
-
选择与您的域名对应的链接。
-
选择域名设置选项卡。
-
在 “常规设置” 部分中,选择 “编辑”。
-
在 “权限” 部分的 “空间默认执行角色” 下,展开下拉列表。
-
在下拉列表中,您可以选择现有角色、输入自定义 IAM 角色 ARN 或创建新角色。
如果要创建新角色,可以选择使用角色创建向导选项创建角色。
-
在以下步骤中选择 “下一步”,然后在最后一步中选择 “提交”。
更改用户配置文件执行角色
以下内容提供了有关更改用户执行角色的说明。更改此执行角色将更改该用户创建的所有私有空间所承担的角色。
更改附加到用户的执行角色
-
打开 SageMaker 控制台,https://console.aws.amazon.com/sagemaker/
-
在左侧导航窗格中,选择管理员配置下的域。
-
选择与您的域名对应的链接。
-
选择 “用户个人资料” 选项卡。
-
选择与用户配置文件名称对应的链接。
-
选择编辑。
-
在下拉列表中,您可以选择现有角色、输入自定义 IAM 角色 ARN 或创建新角色。
如果要创建新角色,可以选择使用角色创建向导选项创建角色。
-
在以下步骤中选择 “下一步”,然后在最后一步中选择 “提交”。
修改执行角色的权限
您可以修改身份(例如 SageMaker 用户、空间或域)执行角色的现有权限。这是通过找到该身份所担任的相应 IAM 角色,然后修改该 IAM 角色来完成的。以下内容将提供有关通过控制台实现此目的的说明。
修改执行角色时,相应空间的执行角色也会发生变化。变更的影响可能不是立竿见影的。
-
修改用户的执行角色时,该用户创建的私有空间将扮演修改后的执行角色。
-
修改空间的默认执行角色时,域中的共享空间将扮演修改后的执行角色。
有关执行角色和空间的更多信息,请参阅了解域空间权限和执行角色。
相反,如果您想要更改身份所扮演的角色,请参阅更改您的执行角色。
传递角色
诸如在服务之间传递角色之类的操作是其中的常见功能 SageMaker。您可以在 IAM 用户指南 SageMaker中找到有关操作、资源和条件键的更多详细信息。
在进行这些 API 调用时,您可以传递角色 (iam:PassRole):CreateAutoMLJobCreateCompilationJob、CreateDomain、CreateFeatureGroup、CreateFlowDefiniton、CreateHyperParameterTuningJob、CreateImage、CreateLabelingJob、CreateModel、、CreateMonitoringSchedule、CreateNotebookInstance、CreateProcessingJob、CreateTrainingJob、CreateUserProfile、RenderUiTemplate、、UpdateImage、和UpdateNotebookInstance。
您将以下信任策略附加到 IAM 角色,该策略授予 SageMaker 委托人担任该角色的权限,所有执行角色的信任策略都相同:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
您需要授予该角色的权限有所不同,具体取决于您所调用的 API。以下几节解释了这些权限。
注意
您可以使用 Amazon-managed 权限策略,而不是通过制定权限策略来管理AmazonSageMakerFullAccess权限。此策略中的权限相当广泛,允许您执行任何可能要执行的操作 SageMaker。有关此策略的列表,包括有关添加许多权限的原因的信息,请参阅 Amazon 托管策略: AmazonSageMakerFullAccess。如果您更愿意创建自定义策略和管理权限以将权限限定于您需要使用执行角色执行的操作,请参阅以下主题。
重要
如果您遇到问题,请参阅 对 Amazon SageMaker 身份和访问进行故障排除。
有关 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色。
主题
CreateAutoMLJob API:执行角色权限
对于可在 CreateAutoMLJob API 请求中传递的执行角色,您可以将以下最低权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:InvokeEndpoint", "sagemaker:ListTags", "sagemaker:DescribeEndpoint", "sagemaker:CreateModel", "sagemaker:CreateEndpointConfig", "sagemaker:CreateEndpoint", "sagemaker:DeleteModel", "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteEndpoint", "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
如果您为 AutoML 作业指定一个私有 VPC,请添加以下权限:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
如果您的输入使用服务器端加密和 KMS Amazon 托管密钥 (SSE-KMS) 进行加密,请添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
如果在 AutoML 作业的输出配置中指定一个 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
如果在 AutoML 作业的资源配置中指定一个批量 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateDomain API:执行角色权限
当您在 CreateDomain API 请求中传递 Amazon KMS 客户托管密钥时,具有 IAM Identity Center 的域的执行角色和 IAM 域的用户/执行角色需要以下权限。KmsKeyId将在 CreateApp API 调用期间强制执行这些权限。
对于可在 CreateDomain API 请求中传递的执行角色,您可以将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" } ] }
或者,如果在 KMS 策略中指定了权限,则可以将以下策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::account-id:role/ExecutionRole" ] }, "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }
CreateImage 和 UpdateImage API:执行角色权限
对于可在 CreateImage 或 UpdateImage API 请求中传递的执行角色,您可以将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer" ], "Resource": "*" } ] }
CreateNotebookInstance API:执行角色权限
您向执行角色授予调用 CreateNotebookInstance API 的权限取决于您计划对笔记本实例执行的操作。如果您计划使用它来调用 SageMaker API 并在调用CreateTrainingJob和 AP CreateModel I 时传递相同的角色,请将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage", "ecr:CreateRepository", "cloudwatch:PutMetricData", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents", "s3:CreateBucket", "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "ec2:CreateVpcEndpoint", "ec2:DescribeRouteTables", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
要收紧权限,请限制 "Resource": "*" 以使权限仅限于特定的 Amazon S3 和 Amazon ECR 资源,如下所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*", "ecr:GetAuthorizationToken", "cloudwatch:PutMetricData", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object1", "arn:aws:s3:::outputbucket/path", "arn:aws:s3:::inputbucket/object2", "arn:aws:s3:::inputbucket/object3" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo1", "arn:aws:ecr:region::repository/my-repo2", "arn:aws:ecr:region::repository/my-repo3" ] } ] }
如果您计划访问其他资源(如 Amazon DynamoDB 或 Amazon Relational Database Service),则向此策略添加相关权限。
在上一个策略中,您按如下方式确定策略范围:
-
仅向您在
s3:ListBucket请求中指定作为InputDataConfig.DataSource.S3DataSource.S3Uri的特定存储桶授予CreateTrainingJob权限。 -
按如下方式确定
s3:GetObject、s3:PutObject和s3:DeleteObject的权限范围:-
将范围限定为您在
CreateTrainingJob请求中指定的以下值:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
将范围限定为您在
CreateModel请求中指定的以下值:PrimaryContainer.ModelDataUrlSuplementalContainers.ModelDataUrl
-
-
按如下方式确定
ecr权限的范围:-
将范围限定为您在
AlgorithmSpecification.TrainingImage请求中指定的CreateTrainingJob值。 -
将范围限定为您在
PrimaryContainer.Image请求中指定的CreateModel值:
-
cloudwatch 和 logs 操作适用于“*”资源。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的CloudWatch 资源和操作。
CreateHyperParameterTuningJob API:执行角色权限
对于可在 CreateHyperParameterTuningJob API 请求中传递的执行角色,您可以将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
您可以将这些权限的范围限定为特定的 Amazon S3、Amazon ECR 和 Amazon L CloudWatch ogs 资源,而不必指定"Resource": "*":
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/TrainingJobs*" } ] }
如果与超参数优化作业关联的训练容器需要访问其他数据源(如 DynamoDB 或 Amazon RDS 资源),则向此策略添加相关权限。
在上一个策略中,您按如下方式确定策略范围:
-
仅向您在
s3:ListBucket请求中指定作为InputDataConfig.DataSource.S3DataSource.S3Uri的特定存储桶授予CreateTrainingJob权限。 -
仅向您在
s3:GetObject请求的输入和输出数据配置中指定的以下对象授予s3:PutObject和CreateHyperParameterTuningJob权限:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
仅向您在
CreateHyperParameterTuningJob请求中指定的注册表路径 (AlgorithmSpecification.TrainingImage) 授予 Amazon ECR 权限。 -
将 Amazon Lo CloudWatch gs 权限范围限定为记录一组 SageMaker 训练作业。
cloudwatch 操作适用于“*”资源。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的CloudWatch 资源和操作。
如果您为超参数优化作业指定一个私有 VPC,请添加以下权限:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
如果您的输入使用服务器端加密和 KMS Amazon 托管密钥 (SSE-KMS) 进行加密,请添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
如果在超参数优化作业的输出配置中指定一个 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
如果在超参数优化作业的资源配置中指定一个批量 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateProcessingJob API:执行角色权限
对于可在 CreateProcessingJob API 请求中传递的执行角色,您可以将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
您无需指定 "Resource": "*",而是可以将这些权限限制为特定的 Amazon S3 和 Amazon ECR 资源:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
如果 CreateProcessingJob.AppSpecification.ImageUri 需要访问其他数据源 (如 DynamoDB 或 Amazon RDS 资源),则向此策略添加相关权限。
在上一个策略中,您按如下方式确定策略范围:
-
仅向您在
s3:ListBucket请求中指定作为ProcessingInputs的特定存储桶授予CreateProcessingJob权限。 -
将
s3:GetObject和s3:PutObject权限的范围限定在CreateProcessingJob请求中要在ProcessingInputs和ProcessingOutputConfig中下载或上传的对象。 -
仅向您在
CreateProcessingJob请求中指定的注册表路径 (AppSpecification.ImageUri) 授予 Amazon ECR 权限。
cloudwatch 和 logs 操作适用于“*”资源。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的CloudWatch 资源和操作。
如果您为处理作业指定一个私有 VPC,请添加以下权限。不要在策略中使用任何条件或资源筛选器。否则,在创建处理作业期间进行的验证检查将失败。
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
如果您的输入使用服务器端加密和 KMS Amazon 托管密钥 (SSE-KMS) 进行加密,请添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
如果在处理作业的输出配置中指定一个 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
如果在处理作业的资源配置中指定一个批量 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateTrainingJob API:执行角色权限
对于可在 CreateTrainingJob API 请求中传递的执行角色,您可以将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
您无需指定 "Resource": "*",而是可以将这些权限限制为特定的 Amazon S3 和 Amazon ECR 资源:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::inputbucket" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object", "arn:aws:s3:::outputbucket/path" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "arn:aws:ecr:region::repository/my-repo" } ] }
如果 CreateTrainingJob.AlgorithSpecifications.TrainingImage 需要访问其他数据源 (如 DynamoDB 或 Amazon RDS 资源),则向此策略添加相关权限。
在上一个策略中,您按如下方式确定策略范围:
-
仅向您在
s3:ListBucket请求中指定作为InputDataConfig.DataSource.S3DataSource.S3Uri的特定存储桶授予CreateTrainingJob权限。 -
仅向您在
s3:GetObject请求的输入和输出数据配置中指定的以下对象授予s3:PutObject和CreateTrainingJob权限:InputDataConfig.DataSource.S3DataSource.S3UriOutputDataConfig.S3OutputPath -
仅向您在
CreateTrainingJob请求中指定的注册表路径 (AlgorithmSpecification.TrainingImage) 授予 Amazon ECR 权限。
cloudwatch 和 logs 操作适用于“*”资源。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的CloudWatch 资源和操作。
如果您为训练作业指定一个私有 VPC,请添加以下权限:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }
如果您的输入使用服务器端加密和 KMS Amazon 托管密钥 (SSE-KMS) 进行加密,请添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ] }
如果在训练作业的输出配置中指定一个 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:Encrypt" ] }
如果在训练作业的资源配置中指定一个批量 KMS 密钥,则添加以下权限:
{ "Effect": "Allow", "Action": [ "kms:CreateGrant" ] }
CreateModel API:执行角色权限
对于可在 CreateModel API 请求中传递的执行角色,您可以将以下权限策略附加到该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "s3:GetObject", "s3:ListBucket", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }
您无需指定 "Resource": "*",而是可以将这些权限限制为特定的 Amazon S3 和 Amazon ECR 资源:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:PutLogEvents", "logs:CreateLogGroup", "logs:DescribeLogStreams", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::inputbucket/object" ] }, { "Effect": "Allow", "Action": [ "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": [ "arn:aws:ecr:region::repository/my-repo", "arn:aws:ecr:region::repository/my-repo" ] } ] }
如果 CreateModel.PrimaryContainer.Image 需要访问其他数据源 (如 Amazon DynamoDB 或 Amazon RDS 资源),则向此策略添加相关权限。
在上一个策略中,您按如下方式确定策略范围:
-
仅向您在
PrimaryContainer.ModelDataUrl请求的CreateModel中指定的对象授予 S3 权限。 -
仅向您在
CreateModel请求中指定作为PrimaryContainer.Image和SecondaryContainer.Image的特定注册表路径授予 Amazon ECR 权限。
cloudwatch 和 logs 操作适用于“*”资源。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的CloudWatch 资源和操作。
注意
如果您计划在生产环境中使用SageMaker 部署护栏功能进行模型部署,请确保您的执行角色有权对自动回滚警cloudwatch:DescribeAlarms报执行操作。
如果您为模型指定一个私有 VPC,请添加以下权限:
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ] }