Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# SageMaker Funktionen und Rollen im Zusammenhang mit räumlichen Daten
Als verwalteter Service führt Amazon SageMaker Geospatial Capabilities in Ihrem Namen Operationen auf der AWS Hardware durch, die von SageMaker KI verwaltet wird. Wird verwendet, AWS Identity and Access Management um Benutzern, Gruppen und Rollen Zugriff auf SageMaker Geodaten zu gewähren.
Ein IAM-Administrator kann diese Berechtigungen Benutzern, Gruppen oder Rollen mithilfe von AWS-Managementkonsole AWS CLI, oder einer der folgenden Optionen gewähren. AWS SDKs
**Um SageMaker Geospatial verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen.**
1. **Eine SageMaker AI-Ausführungsrolle.**
Um die SageMaker geospatialspezifischen API-Operationen verwenden zu können, muss Ihre SageMaker KI-Ausführungsrolle `sagemaker-geospatial.amazonaws.com` in der Vertrauensrichtlinie der Ausführungsrolle den SageMaker Geospatial Service Principal enthalten. Auf diese Weise kann die SageMaker KI-Ausführungsrolle in Ihrem Namen Aktionen in AWS-Konto Ihrem Namen ausführen.
1. **Ein Benutzer, eine Gruppe oder eine Rolle, die Zugriff auf Amazon SageMaker Studio Classic und SageMaker Geospatial hat**
Um mit SageMaker Geospatial zu beginnen, können Sie die AWS verwaltete Richtlinie verwenden:. `AmazonSageMakerGeospatialFullAccess` Diese Gewährung gewährt einem Benutzer, einer Gruppe oder einer Rolle vollen Zugriff auf SageMaker Geospatial. Die Richtlinie und weitere Informationen darüber, welche Aktionen, Ressourcen und Bedingungen verfügbar sind, finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Informationen zu den ersten Schritten mit Studio Classic und dem Erstellen einer Amazon SageMaker AI-Domain finden Sie unter[Überblick über die Amazon SageMaker AI-Domain](gs-studio-onboard.md).
Verwenden Sie die folgenden Themen, um eine neue SageMaker KI-Ausführungsrolle zu erstellen, eine bestehende SageMaker KI-Ausführungsrolle zu aktualisieren und zu erfahren, wie Sie Berechtigungen mithilfe von SageMaker geospatialspezifischen IAM-Aktionen, -Ressourcen und -Bedingungen verwalten.
**Topics**
+ [Eine neue SageMaker KI-Ausführungsrolle erstellen](sagemaker-geospatial-roles-create-execution-role.md)
+ [Den SageMaker Geospatial Service Principal zu einer bestehenden SageMaker AI-Ausführungsrolle hinzufügen](sagemaker-geospatial-roles-pass-role.md)
+ [`StartEarthObservationJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-start-eoj-perms.md)
+ [`StartVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-start-vej-perms.md)
+ [`ExportEarthObservationJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-export-eoj-perms.md)
+ [`ExportVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-export-vej-perms.md)
# Eine neue SageMaker KI-Ausführungsrolle erstellen
Um mit SageMaker Geodatenfunktionen arbeiten zu können, müssen Sie einen Benutzer, eine Gruppe oder Rolle sowie eine Ausführungsrolle einrichten. Eine Benutzerrolle ist eine AWS Identität mit Berechtigungsrichtlinien, die festlegen, was der Benutzer innerhalb AWS dieser Rechte tun kann und welche nicht. Eine Ausführungsrolle ist eine IAM-Rolle, die dem Dienst die Berechtigung zum Zugriff auf Ihre AWS Ressourcen erteilt. Eine Ausführungsrolle besteht aus Berechtigungen und Vertrauensrichtlinien. Die Vertrauensrichtlinie gibt an, welche Prinzipale die Berechtigung haben, die Rolle zu übernehmen.
SageMaker Geospatial erfordert auch einen anderen Dienstprinzipal,`sagemaker-geospatial.amazonaws.com`. Wenn Sie bereits SageMaker KI-Kunde sind, müssen Sie diesen zusätzlichen Service Principal zu Ihrer Vertrauensrichtlinie hinzufügen.
Gehen Sie wie folgt vor, um eine neue Ausführungsrolle zu erstellen, an die die von IAM verwaltete Richtlinie `AmazonSageMakerGeospatialFullAccess` angehängt ist. Wenn Ihr Anwendungsfall detailliertere Berechtigungen erfordert, verwenden Sie andere Abschnitte dieses Handbuchs, um eine Ausführungsrolle zu erstellen, die Ihren Geschäftsanforderungen entspricht.
**Wichtig**
Die im folgenden Verfahren verwendete IAM-verwaltete Richtlinie, `AmazonSageMakerGeospatialFullAccess`, gewährt der Ausführungsrolle nur die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit `SageMaker`, `Sagemaker`, `sagemaker` oder `aws-glue` im Namen auszuführen. Informationen zum Aktualisieren der Richtlinie der Ausführungsrolle, um ihr Zugriff auf andere Amazon-S3-Buckets und -Objekte zu gewähren, finden Sie unter [Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**So erstellen Sie eine neue Rolle**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie **Rollen** und dann **Rolle erstellen**.
1. Wählen Sie **SageMaker**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Die von IAM verwaltete Richtlinie, `AmazonSageMakerGeospatialFullAccess`, wird automatisch an diese Rolle angehängt. Wählen Sie zum Anzeigen der in dieser Richtlinie enthaltenen Berechtigungen den Seitspfeil neben dem Richtliniennamen aus. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Stichwörter hinzu und wählen Sie **Weiter: Überprüfen** aus.
1. Geben Sie der Rolle im Textfeld unter **Rollenname** einen Namen und wählen Sie **Rolle erstellen** aus.
1. Wählen Sie im Abschnitt **Rollen** der IAM-Konsole die Rolle aus, die Sie gerade in Schritt 7 erstellt haben. Verwenden Sie bei Bedarf das Textfeld, um anhand des Rollennamens, den Sie in Schritt 7 eingegeben haben, nach der Rolle zu suchen.
1. Notieren Sie sich auf der Seite mit der Rollenübersicht den ARN.
# Den SageMaker Geospatial Service Principal zu einer bestehenden SageMaker AI-Ausführungsrolle hinzufügen
Um die SageMaker geospatialspezifischen API-Operationen verwenden zu können, muss Ihre SageMaker KI-Ausführungsrolle `sagemaker-geospatial.amazonaws.com` in der SageMaker Vertrauensrichtlinie der Ausführungsrolle den Geospatial-Dienstprinzipal enthalten. Auf diese Weise kann die SageMaker KI-Ausführungsrolle in Ihrem Namen Aktionen in AWS-Konto Ihrem Namen ausführen.
Aktionen wie die Übertragung einer Rolle zwischen Diensten sind in der SageMaker KI üblich. Weitere Details,
Um den SageMaker Geospatial Service Principal zu einer bestehenden SageMaker AI-Ausführungsrolle hinzuzufügen, aktualisieren Sie die bestehende Richtlinie so, dass sie den SageMaker Geospatial Service Principal einbezieht, wie in der folgenden Vertrauensrichtlinie dargestellt. Indem Sie der Vertrauensrichtlinie den Dienstprinzipal zuordnen, kann eine SageMaker KI-Ausführungsrolle nun die SageMaker Geospatial-spezifischen APIs Daten in Ihrem Namen ausführen.
*Weitere Informationen zu SageMaker raumbezogenen IAM-Aktionen, -Ressourcen und -Bedingungen finden Sie im IAM-Benutzerhandbuch unter [Aktionen, Ressourcen und Bedingungsschlüssel für SageMaker KI](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# `StartEarthObservationJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `StartEarthObservationJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket Keys verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `StartVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `StartVectorEnrichmentJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket Keys verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `ExportEarthObservationJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `ExportEarthObservationJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket Keys verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `ExportVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `ExportVectorEnrichmentJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket-Schlüssel verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).