Connect JupyterLab Studio-Notebooks mit Amazon S3 Access Grants mit Schulungs- und Verarbeitungsaufträgen - Amazon SageMaker KI
ÜberlegungenAmazon S3 Access Grants mit Schulungs- und Verarbeitungsaufträgen einrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect JupyterLab Studio-Notebooks mit Amazon S3 Access Grants mit Schulungs- und Verarbeitungsaufträgen

Verwenden Sie die folgenden Informationen, um Amazon S3 S3-Zugriffsberechtigungen für den Zugriff auf Daten in SageMaker KI-Schulungen und SageMaker KI-Verarbeitungsaufträgen zu gewähren.

Wenn ein Benutzer, für den die Weitergabe vertrauenswürdiger Identitäten aktiviert ist, einen SageMaker AI-Trainings- oder Verarbeitungsjob startet, der auf Amazon S3 S3-Daten zugreifen muss:

  • SageMaker KI ruft Amazon S3 Access Grants auf, um temporäre Anmeldeinformationen auf der Grundlage der Benutzeridentität zu erhalten

  • Bei Erfolg greifen diese temporären Anmeldedaten auf die Amazon S3 S3-Daten zu

  • Wenn dies nicht gelingt, verwendet SageMaker KI wieder die Anmeldeinformationen der IAM-Rolle

Anmerkung

Um zu erzwingen, dass alle Berechtigungen über Amazon S3 Access Grants erteilt werden, müssen Sie die zugehörige Amazon S3 S3-Zugriffsberechtigung Ihrer Ausführungsrolle entfernen und sie Ihrer entsprechenden Amazon S3-Zugriffserteilung zuordnen.

Überlegungen

Amazon S3 Access Grants können nicht mit dem Pipe-Modus sowohl für SageMaker KI-Training als auch für die Verarbeitung von Amazon S3 S3-Eingaben verwendet werden.

Wenn die Verbreitung vertrauenswürdiger Identitäten aktiviert ist, können Sie keinen SageMaker KI-Trainingsjob mit der folgenden Funktion starten

  • Debuggen aus der Ferne

  • Debugger

  • Profiler

Wenn die Verbreitung vertrauenswürdiger Identitäten aktiviert ist, können Sie keinen SageMaker KI-Verarbeitungsjob mit der folgenden Funktion starten

  • DatasetDefinition

Amazon S3 Access Grants mit Schulungs- und Verarbeitungsaufträgen einrichten

Nachdem Amazon S3 Access Grants eingerichtet ist, fügen Sie Ihrer Domain- oder Benutzerausführungsrolle die folgenden Berechtigungen hinzu.

  • us-east-1ist Ihr AWS-Region

  • 111122223333ist dein AWS-Konto Ausweis

  • S3-ACCESS-GRANT-ROLEist Ihre Amazon S3 Access Grant-Rolle

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}