将 Connect Studio JupyterLab 笔记本电脑与包含培训和处理任务的 Amazon S3 访问权限授予 - 亚马逊 SageMaker AI
注意事项使用训练和处理作业设置 Amazon S3 访问权限管控
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Connect Studio JupyterLab 笔记本电脑与包含培训和处理任务的 Amazon S3 访问权限授予

使用以下信息授予 Amazon S3 访问权限,以访问亚马逊 SageMaker培训和处理任务中的数据。

当启用了可信身份传播的用户启动需要访问 Amazon S3 数据的 SageMaker 训练或处理任务时:

  • SageMaker AI 调用 Amazon S3 访问授权,以根据用户的身份获取临时证书

  • 如果此操作成功,这些临时凭证可用于访问 Amazon S3 数据

  • 如果不成功, SageMaker AI 会重新使用 IAM 角色证书

注意

要强制通过 Amazon S3 访问权限管控授予所有权限,您需要移除执行角色的相关 Amazon S3 访问权限,并将其附加到相应的 Amazon S3 访问权限管控

注意事项

Amazon S3 访问授权不能与 Pipe 模式一起使用,用于对 Amazon S3 输入进行 SageMaker 训练和处理。

启用可信身份传播后,您无法启动具有以下功能的 T SageMaker raining Job

  • 远程调试

  • 调试器

  • Profiler

启用可信身份传播后,您无法启动具有以下功能的处理作业

  • DatasetDefinition

使用训练和处理作业设置 Amazon S3 访问权限管控

设置 Amazon S3 访问权限管控后,向域或用户执行角色添加以下权限

  • us-east-1 是您的 Amazon Web Services 区域

  • 111122223333 是您的 Amazon Web Services 账户 ID

  • S3-ACCESS-GRANT-ROLE 是您的 Amazon S3 访问权限管控角色

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}