Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo utilizar las funciones de ejecución de la SageMaker IA
Amazon SageMaker AI realiza operaciones en tu nombre mediante otros AWS servicios. Debe conceder permisos a la SageMaker IA para utilizar estos servicios y los recursos sobre los que actúan. Estos permisos se conceden a la SageMaker IA mediante una función de ejecución AWS Identity and Access Management (IAM). Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Para crear y usar un rol de ejecución, puede utilizar los siguientes procedimientos.
## Creación de un rol de ejecución
Utilice el siguiente procedimiento para crear un rol de ejecución con la política administrada por IAM, `AmazonSageMakerFullAccess`, asociada. Si su caso de uso requiere permisos más detallados, utilice otras secciones de esta página para crear un rol de ejecución que se adapte a las necesidades de su empresa. Puede crear un rol de ejecución mediante la consola de SageMaker IA o la AWS CLI.
**importante**
La política administrada por IAM, `AmazonSageMakerFullAccess`, utilizada en el siguiente procedimiento, solo concede permiso al rol de ejecución para realizar determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. Para obtener información sobre cómo agregar una política adicional al rol de ejecución para concederle acceso a otros buckets y objetos de Amazon S3, consulte [Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA](#sagemaker-roles-get-execution-role-s3).
**nota**
Puede crear un rol de ejecución directamente al crear un dominio de SageMaker IA o una instancia de bloc de notas.
Para obtener información sobre cómo crear un dominio de SageMaker IA, consulte[Guía para empezar a usar Amazon SageMaker AI](gs.md).
Para obtener información sobre cómo crear una instancia de cuaderno, consulte [Crear una instancia de Amazon SageMaker Notebook para el tutorial](gs-setup-working-env.md).
**Para crear un nuevo rol de ejecución desde la consola de SageMaker IA**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Elija **Roles (Roles)** y, después, seleccione**Create Role (Crear rol)**.
1. Mantenga el **AWS servicio** como el **tipo de entidad de confianza** y, a continuación, utilice la flecha hacia abajo para buscar la **SageMaker IA** en **los casos de uso de otros AWS servicios**.
1. Selecciona **SageMaker AI — Execution** y, a continuación, selecciona **Siguiente**.
1. La política administrada por IAM, `AmazonSageMakerFullAccess`, se asocia automáticamente al rol. Para ver los permisos incluidos en esta política, elija el signo más (**\$1**) situado junto al nombre de la política. Elija **Siguiente**.
1. Ingrese un **Nombre del rol** y una **Descripción**.
1. De forma opcional, puede agregar permisos y etiquetas adicionales al rol.
1. Elija **Crear rol**.
1. En la sección **Roles** de la consola de IAM, busque el rol que acaba de crear. Si es necesario, utilice el cuadro de texto para buscar el rol por su nombre.
1. En la página de resumen del rol, tome nota del ARN del rol.
**Para crear un nuevo rol de ejecución desde la AWS CLI**
Antes de crear un rol de ejecución mediante el AWS CLI, asegúrese de actualizarlo y configurarlo siguiendo las instrucciones que se indican en y, a continuación[(Opcional) Configure el AWS CLI](gs-set-up.md#gs-cli-prereq), continúe con las instrucciones que aparecen en[Configuración personalizada mediante el AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Una vez que haya creado un rol de ejecución, podrá asociarlo a un dominio de SageMaker IA, a un perfil de usuario o a una instancia de Jupyter Notebook.
+ Para obtener información sobre cómo asociar una función de ejecución a un dominio de SageMaker IA existente, consulte. [Edición de la configuración del dominio](domain-edit.md)
+ Para obtener información sobre cómo asociar un rol de ejecución a un perfil de usuario existente, consulte [Adición de perfiles de usuario](domain-user-profile-add.md).
+ Para obtener información sobre cómo asociar un rol de ejecución a una instancia de cuaderno existente, consulte [Actualización de una instancia de cuaderno.](nbi-update.md).
También puede pasar el ARN de un rol de ejecución a su llamada a la API. Por ejemplo, con el [SDK de Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable), puede pasar el ARN de su función de ejecución a un estimador. En el ejemplo de código que sigue, creamos un estimador utilizando el contenedor de XGBoost algoritmos y pasamos el ARN del rol de ejecución como parámetro. Para ver el ejemplo completo GitHub, consulte Predicción de [abandono de clientes con](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb). XGBoost
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA
Cuando utiliza una función de SageMaker IA con recursos de Amazon S3, como datos de entrada, la función de ejecución que especifique en la solicitud (por ejemplo`CreateTrainingJob`) se utiliza para acceder a estos recursos.
Si asocia la política administrada por IAM, `AmazonSageMakerFullAccess`, a un rol de ejecución, solo concede permiso al rol para que realice determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. También tiene permiso para realizar las siguientes acciones en cualquier recurso de Amazon S3:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Para conceder permisos a un rol de ejecución para acceder a uno o más buckets específicos en Amazon S3, puede asociar al rol una política similar a la siguiente. Esta política otorga a un rol de IAM permiso para realizar todas las acciones que permite `AmazonSageMakerFullAccess`, pero restringe este acceso a los buckets amzn-s3-demo-bucket1 y amzn-s3-demo-bucket2. Consulte la documentación de seguridad de la función de SageMaker IA específica que esté utilizando para obtener más información sobre los permisos de Amazon S3 necesarios para esa función.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Obtención del rol de ejecución
Puede utilizar la [consola de SageMaker IA](https://console.aws.amazon.com/sagemaker), el [SDK de Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) o el [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)para recuperar el ARN y el nombre de la función de ejecución asociada a un dominio, espacio o perfil de usuario de SageMaker IA.
**Topics**
+ [Obtención del rol de ejecución del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Obtención del rol de ejecución del espacio](#sagemaker-roles-get-execution-role-space)
+ [Obtención del rol de ejecución del usuario](#sagemaker-roles-get-execution-role-user)
### Obtención del rol de ejecución del dominio
A continuación, se proporcionan instrucciones para encontrar el rol de ejecución del dominio.
#### Obtención del rol de ejecución del dominio (consola)
**Búsqueda del rol de ejecución asociado a su dominio**
1. Abra la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Elija la pestaña **Configuración del dominio**.
1. En la sección **Configuración general**, el ARN del rol de ejecución aparece en **Rol de ejecución**.
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
### Obtención del rol de ejecución del espacio
A continuación, se proporcionan instrucciones para encontrar el rol de ejecución de su espacio.
#### Obtención del rol de ejecución del espacio (consola)
**Búsqueda del rol de ejecución asociado a su espacio**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Seleccione la pestaña **Administración del espacio**.
1. En la sección **Detalles**, el ARN del rol de ejecución aparece en **Rol de ejecución**.
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
#### Obtención del rol de ejecución del espacio (SDK para Python)
**nota**
El siguiente código está diseñado para ejecutarse en un entorno de SageMaker IA, como cualquiera de los IDEs de Amazon SageMaker Studio. Recibirás un error si corres `get_execution_role` fuera de un entorno de SageMaker IA.
El siguiente comando del [SDK de [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) recupera el ARN de la función de ejecución asociada al espacio.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
### Obtención del rol de ejecución del usuario
A continuación, se proporcionan instrucciones para encontrar el rol de ejecución de un usuario.
#### Obtención del rol de ejecución del usuario (consola)
**Búsqueda del rol de ejecución asociado a un usuario**
1. Abra la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Seleccione la pestaña **Perfiles de usuario**.
1. Elija el enlace correspondiente a su usuario.
1. En la sección **Detalles**, el ARN del rol de ejecución aparece en **Rol de ejecución**.
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
#### Obtención del rol de ejecución del espacio (AWS CLI)
**nota**
Para usar los siguientes ejemplos, debe tener el AWS Command Line Interface (AWS CLI) instalado y configurado. Para obtener más información, consulte [Get started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) en la *Guía del usuario de la versión 2 de AWS Command Line Interface *.
El siguiente comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI muestra información sobre la identidad de IAM utilizada para autenticar la solicitud. La persona que llama es un usuario de IAM.
```
aws sts get-caller-identity
```
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
## Cambio del rol de ejecución
Una función de ejecución es una función de IAM que asume una identidad de SageMaker IA (como un usuario, un espacio o un dominio de SageMaker IA). Al cambiar el rol de IAM, se cambian los permisos de todas las identidades que asumen ese rol.
Al cambiar un rol de ejecución, también cambiará el rol de ejecución del espacio correspondiente. Los efectos del cambio pueden tardar algún tiempo en propagarse.
+ Al cambiar el *rol de ejecución de un usuario*, los *espacios privados* creados por ese usuario asumirán el rol de ejecución cambiado.
+ Al cambiar el *rol de ejecución predeterminada de un espacio*, los *espacios compartidos* del dominio asumirán el rol de ejecución cambiado.
Para obtener más información acerca de los espacios y roles de ejecución, consulte [Descripción de los permisos y roles de ejecución de espacio de dominio](execution-roles-and-spaces.md).
Puede cambiar el rol de ejecución de una identidad por un rol de IAM diferente. Para ello, siga una de estas instrucciones.
Si, por el contrario, desea *modificar* un rol que asume una identidad, consulte [Modificación de los permisos del rol de ejecución](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Cambio del rol de ejecución predeterminado del dominio](#sagemaker-roles-change-execution-role-domain)
+ [Cambio del rol de ejecución predeterminado del espacio](#sagemaker-roles-change-execution-role-space)
+ [Cambio del rol de ejecución del perfil de usuario](#sagemaker-roles-change-execution-role-user)
### Cambio del rol de ejecución predeterminado del dominio
A continuación, se proporcionan instrucciones sobre cómo cambiar el rol de ejecución predeterminado del dominio.
#### Cambio del rol de ejecución predeterminado del dominio (consola)
**Cambio del rol de ejecución predeterminado asociado a su dominio**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Elija la pestaña **Configuración del dominio**.
1. En la sección **Configuración general**, seleccione **Editar**.
1. En la sección **Permisos**, en **Rol de ejecución predeterminado**, expanda la lista desplegable.
1. En la lista desplegable, puede elegir un rol actual, introducir un ARN de rol de IAM personalizado o crear un rol nuevo.
Si desea crear un rol nuevo, puede elegir **Crear un rol con el asistente de creación de roles**.
1. Elija Siguiente en los siguientes pasos y elija Enviar en el último paso.
### Cambio del rol de ejecución predeterminado del espacio
A continuación, se proporcionan instrucciones sobre cómo cambiar el rol de ejecución predeterminado del espacio. Al cambiar este rol de ejecución, se cambiará el rol que asumen todos los espacios compartidos del dominio.
#### Cambio del rol de ejecución predeterminado del espacio (consola)
**Cambio del rol de ejecución predeterminado del espacio cuando se crea un espacio nuevo**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Elija la pestaña **Configuración del dominio**.
1. En la sección **Configuración general**, seleccione **Editar**.
1. En la sección **Permisos**, en **Rol de ejecución predeterminado del espacio**, expanda la lista desplegable.
1. En la lista desplegable, puede elegir un rol actual, introducir un ARN de rol de IAM personalizado o crear un rol nuevo.
Si desea crear un rol nuevo, puede elegir **Crear un rol con el asistente de creación de roles**.
1. Elija **Siguiente** en los siguientes pasos y elija **Enviar** en el último paso.
### Cambio del rol de ejecución del perfil de usuario
A continuación, se proporcionan instrucciones para cambiar el rol de ejecución de un usuario. Al cambiar este rol de ejecución, se cambiará el rol que asumen todos los espacios privados creados por este usuario.
#### Cambio del rol de ejecución del perfil de usuario (consola)
**Cambio del rol de ejecución asociado a un usuario**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Seleccione la pestaña **Perfiles de usuario**.
1. Elija el enlace correspondiente al nombre del perfil de usuario.
1. Elija **Edit (Edición de)**.
1. En la lista desplegable, puede elegir un rol actual, introducir un ARN de rol de IAM personalizado o crear un rol nuevo.
Si desea crear un rol nuevo, puede elegir **Crear un rol con el asistente de creación de roles**.
1. Elija **Siguiente** en los siguientes pasos y elija **Enviar** en el último paso.
## Modificación de los permisos del rol de ejecución
Puede modificar los permisos existentes para asignar la función de ejecución de una identidad (como un usuario, un espacio o un dominio de SageMaker IA). Para ello, busque el rol de IAM adecuado que asume la identidad y, a continuación, modifique ese rol de IAM. A continuación, se proporcionan instrucciones para hacer esto a través de la consola.
Al modificar un rol de ejecución, el rol de ejecución del espacio correspondiente también cambiará. Es posible que los efectos del cambio no sean inmediatos.
+ Al modificar el *rol de ejecución de un usuario*, los *espacios privados* creados por ese usuario asumirán el rol de ejecución modificado.
+ Al modificar el *rol de ejecución predeterminado de un espacio*, los *espacios compartidos* del dominio asumirán el rol de ejecución modificado.
Para obtener más información acerca de los espacios y roles de ejecución, consulte [Descripción de los permisos y roles de ejecución de espacio de dominio](execution-roles-and-spaces.md).
Si, por el contrario, desea *cambiar* un rol que asume una identidad, consulte [Cambio del rol de ejecución](#sagemaker-roles-change-execution-role).
### Modificación de los permisos del rol de ejecución (consola)
**Modificación de los permisos de sus roles de ejecución**
1. Primero obtenga el nombre de la identidad que desea modificar.
+ [Obtención del rol de ejecución del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Obtención del rol de ejecución del espacio](#sagemaker-roles-get-execution-role-space)
+ [Obtención del rol de ejecución del usuario](#sagemaker-roles-get-execution-role-user)
1. Para modificar el rol que asume una identidad, consulte [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la *Guía del usuario de AWS Identity and Access Management *.
Para obtener más información e instrucciones sobre cómo añadir permisos a identidades de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *AWS Identity and Access Management Guía del usuario de IAM*.
## Transferencia de roles
Acciones como transferir un rol entre servicios son una función común en la SageMaker IA. Encontrarás más información sobre [las acciones, los recursos y las claves de condición de la SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) en la *Referencia de autorización de servicios*.
El rol (`iam:PassRole`) se pasa al realizar estas llamadas a la API: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) y [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Debe adjuntar la siguiente política de confianza a la función de IAM, que otorga a la SageMaker IA los permisos principales para asumir la función, y es la misma para todas las funciones de ejecución:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Los permisos que tiene que conceder al rol varían según la API a la que llame. Las siguientes secciones explican estos permisos.
**nota**
En lugar de gestionar los permisos mediante la elaboración de una política de permisos, puedes utilizar la política de permisos AWS gestionados`AmazonSageMakerFullAccess`. Los permisos de esta política son bastante amplios para permitir cualquier acción que desees realizar en SageMaker IA. Para ver un listado de la política, incluida información acerca de los motivos para añadir muchos de los permisos, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Si prefiere crear políticas personalizadas y administrar permisos para delimitarlos solo a las acciones que es necesario realizar con el rol de ejecución, consulte los siguientes temas.
**importante**
Si tiene problemas, consulte [Solución de problemas de Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Para obtener más información sobre los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en *Referencia de autorizaciones de servicio*.
**Topics**
+ [Creación de un rol de ejecución](#sagemaker-roles-create-execution-role)
+ [Obtención del rol de ejecución](#sagemaker-roles-get-execution-role)
+ [Cambio del rol de ejecución](#sagemaker-roles-change-execution-role)
+ [Modificación de los permisos del rol de ejecución](#sagemaker-roles-modify-to-execution-role)
+ [Transferencia de roles](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob y API CreateAuto MLJob V2: permisos de rol de ejecución](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: permisos de rol de ejecución](#sagemaker-roles-createdomain-perms)
+ [CreateImage y UpdateImage APIs: Permisos de rol de ejecución](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Permisos de rol de ejecución](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: permisos de funciones de ejecución](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: permisos de rol de ejecución](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: permisos de rol de ejecución](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: permisos de rol de ejecución](#sagemaker-roles-createmodel-perms)
+ [SageMaker funciones de capacidades geoespaciales](sagemaker-geospatial-roles.md)
## CreateAutoMLJob y API CreateAuto MLJob V2: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateAutoMLJob` o `CreateAutoMLJobV2`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Si especifica una VPC privada para el trabajo de AutoML, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo AutoML, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo AutoML, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: permisos de rol de ejecución
La función de ejecución para los dominios con el centro de identidad de IAM y la user/execution función para los dominios de IAM necesitan los siguientes permisos cuando se transfiere una clave gestionada por el AWS KMS cliente como se indica `KmsKeyId` en la solicitud de `CreateDomain` API. Los permisos se aplican durante la llamada a la API `CreateApp`.
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateDomain`, puede asociar la siguiente política de permiso al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
Como alternativa, si los permisos se especifican en una política de KMS, puede asociar la siguiente política al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage y UpdateImage APIs: Permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateImage` o `UpdateImage`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Permisos de rol de ejecución
Los permisos que concede para el rol de ejecución para la llamada a la API `CreateNotebookInstance` dependen de lo que piense hacer con la instancia de bloc de notas. Si planea usarla para invocar la SageMaker IA APIs y pasar la misma función al llamar a la función `CreateTrainingJob` y `CreateModel` APIs, adjunte la siguiente política de permisos a la función:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Para endurecer los permisos, limítelos a recursos de Amazon S3 y Amazon ECR específicos, limitando `"Resource": "*"` como se indica a continuación:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Si tiene previsto obtener acceso a otros recursos, como Amazon DynamoDB o Amazon Relational Database Service, agregue los permisos relevantes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `InputDataConfig.DataSource.S3DataSource.S3Uri` en una solicitud `CreateTrainingJob`.
+ Examine los permisos `s3:GetObject `, `s3:PutObject` y `s3:DeleteObject` de la siguiente forma:
+ Examine los siguientes valores que especifica en una solicitud `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Examine los siguientes valores que especifica en una solicitud `CreateModel`:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Examine los permisos `ecr` de la siguiente forma:
+ Examine el valor `AlgorithmSpecification.TrainingImage` que especifica en una solicitud `CreateTrainingJob`.
+ Examine el valor `PrimaryContainer.Image` que especifica en una solicitud `CreateModel`:
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
## CreateHyperParameterTuningJob API: permisos de funciones de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateHyperParameterTuningJob`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de `"Resource": "*"` especificarlos, puede limitar estos permisos a recursos específicos de Amazon S3, Amazon ECR y Amazon CloudWatch Logs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Si el contenedor de entrenamiento asociado al trabajo de ajuste de hiperparámetros tiene que acceder a otros orígenes de datos, como los recursos de DynamoDB o Amazon RDS, agregue los permisos pertinentes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `InputDataConfig.DataSource.S3DataSource.S3Uri` en una solicitud `CreateTrainingJob`.
+ Examine los permisos `s3:GetObject `y `s3:PutObject` de los siguientes objetos que especifica en la configuración de datos de entrada y salida en una solicitud `CreateHyperParameterTuningJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Delimite los permisos de Amazon ECR a la ruta de registro (`AlgorithmSpecification.TrainingImage`) que especifique en una solicitud `CreateHyperParameterTuningJob`.
+ Limite CloudWatch los permisos de Amazon Logs a registrar un grupo de trabajos de SageMaker formación.
Las acciones `cloudwatch` son aplicables a los recursos “\$1”. Para obtener más información, consulta [ CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
Si especifica una VPC privada para el trabajo de ajuste de hiperparámetros, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo de ajuste de hiperparámetros, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo de ajuste de hiperparámetros, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateProcessingJob`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de especificar `"Resource": "*"`, podría delimitar estos permisos a recursos de Amazon S3 y Amazon ECR específicos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Si `CreateProcessingJob.AppSpecification.ImageUri` tiene que tener acceso a otros orígenes de datos, como recursos de Amazon DynamoDB o Amazon RDS, agregue los permisos pertinentes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `ProcessingInputs` en una solicitud `CreateProcessingJob`.
+ Examine los permisos `s3:GetObject ` y `s3:PutObject` a los objetos que se descargarán o cargarán en `ProcessingInputs` y `ProcessingOutputConfig` en una solicitud `CreateProcessingJob`.
+ Delimite los permisos de Amazon ECR a la ruta de registro (`AppSpecification.ImageUri`) que especifique en una solicitud `CreateProcessingJob`.
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
Si especifica una VPC privada para el trabajo de procesamiento, agregue los siguientes permisos. No incluya condiciones ni filtros de recursos a la política. De lo contrario, las comprobaciones de validación que se realicen durante la creación del trabajo de procesamiento darán por resultado un error.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo de procesamiento, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo de procesamiento, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateTrainingJob`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de especificar `"Resource": "*"`, podría delimitar estos permisos a recursos de Amazon S3 y Amazon ECR específicos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Si `CreateTrainingJob.AlgorithSpecifications.TrainingImage` tiene que tener acceso a otros orígenes de datos, como recursos de Amazon DynamoDB o Amazon RDS, agregue los permisos pertinentes a esta política.
Si especifica un recurso de algoritmo mediante el `AlgorithmSpecification.AlgorithmArn` parámetro, la función de ejecución también debe tener el siguiente permiso:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `InputDataConfig.DataSource.S3DataSource.S3Uri` en una solicitud `CreateTrainingJob`.
+ Examine los permisos `s3:GetObject `y `s3:PutObject` de los siguientes objetos que especifica en la configuración de datos de entrada y salida en una solicitud `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Delimite los permisos de Amazon ECR a la ruta de registro (`AlgorithmSpecification.TrainingImage`) que especifique en una solicitud `CreateTrainingJob`.
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
Si especifica una VPC privada para el trabajo de capacitación, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo de capacitación, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo de capacitación, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateModel`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de especificar `"Resource": "*"`, puede delimitar estos permisos a recursos específicos de Amazon S3 y Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Si `CreateModel.PrimaryContainer.Image` tiene que obtener acceso a otros orígenes de datos, como recursos de Amazon DynamoDB o Amazon RDS, agregue permisos relevantes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine los permisos de S3 en objetos que especifique en `PrimaryContainer.ModelDataUrl` en una solicitud [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
+ Delimite los permisos de Amazon ECR a una ruta de registro determinada que especifica como `PrimaryContainer.Image` y `SecondaryContainer.Image` en una solicitud `CreateModel`.
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
**nota**
Si planea utilizar la [función de barreras de despliegue de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) para el despliegue de modelos en producción, asegúrese de que su función de ejecución tenga permiso para realizar la `cloudwatch:DescribeAlarms` acción en sus alarmas de reversión automática.
Si especifica una VPC privada para el modelo, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker funciones de capacidades geoespaciales
Como servicio gestionado, las capacidades SageMaker geoespaciales de Amazon realizan operaciones en su nombre en el AWS hardware gestionado por la SageMaker IA. Se utiliza AWS Identity and Access Management para conceder a los usuarios, grupos y roles acceso a la información SageMaker geoespacial.
Un administrador de IAM puede conceder estos permisos a un usuario, grupo o rol mediante el Consola de administración de AWS AWS CLI, o uno de los. AWS SDKs
**Para utilizar la información SageMaker geoespacial, necesita los siguientes permisos de IAM.**
1. **Una función de ejecución de SageMaker IA.**
Para utilizar las operaciones de API específicas SageMaker desde el punto de vista geoespacial, su función de ejecución de la SageMaker IA debe incluir al director del servicio SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` en la política de confianza de la función de ejecución. Esto permite que la función de ejecución de la SageMaker IA lleve a cabo acciones Cuenta de AWS en su nombre.
1. **Un usuario, grupo o rol que tiene acceso a Amazon SageMaker Studio Classic y SageMaker geospatial**
Para empezar con la tecnología SageMaker geoespacial, puede utilizar la política AWS administrada:. `AmazonSageMakerGeospatialFullAccess` Estas concesiones otorgarán a un usuario, grupo o rol acceso completo a la información SageMaker geoespacial. Para ver la política y obtener más información sobre qué acciones, recursos y condiciones están disponibles, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Para empezar a usar Studio Classic y crear un dominio de Amazon SageMaker AI, consulte[Descripción general del dominio Amazon SageMaker AI](gs-studio-onboard.md).
Utilice los siguientes temas para crear una nueva función de ejecución de SageMaker IA, actualizar una función de ejecución de SageMaker IA existente y aprender a gestionar los permisos mediante acciones, recursos y condiciones de IAM específicos desde el punto de vista SageMaker geoespacial.
**Topics**
+ [Crear una nueva función de ejecución de la SageMaker IA](sagemaker-geospatial-roles-create-execution-role.md)
+ [Añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob`: permisos de rol de ejecución](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob`: permisos de rol de ejecución](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob`: permisos de rol de ejecución](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob`: permisos de rol de ejecución](sagemaker-roles-export-vej-perms.md)
# Crear una nueva función de ejecución de la SageMaker IA
Para trabajar con las capacidades SageMaker geoespaciales, debe configurar un usuario, grupo o rol y un rol de ejecución. Un rol de usuario es una AWS identidad con políticas de permisos que determinan lo que el usuario puede y no puede hacer en AWS ella. Un rol de ejecución es un rol de IAM que concede al servicio permiso para acceder a sus recursos de AWS . Un rol de ejecución consiste en una política de permisos y confianza. La política de confianza especifica qué entidades principales tienen permiso para asumir el rol.
SageMaker el sector geoespacial también requiere un director de servicio diferente,`sagemaker-geospatial.amazonaws.com`. Si ya es cliente de SageMaker IA, debe añadir este principio de servicio adicional a su política de confianza.
Utilice el siguiente procedimiento para crear un rol de ejecución nuevo con la política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, asociada. Si su caso de uso requiere permisos más detallados, utilice otras secciones de esta guía para crear un rol de ejecución que se adapte a las necesidades de su empresa.
**importante**
La política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, utilizada en el siguiente procedimiento, solo concede permiso al rol de ejecución para realizar determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. Para obtener información sobre cómo actualizar la política del rol de ejecución para concederle acceso a otros buckets y objetos de Amazon S3, consulte [Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Para crear un nuevo rol**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** y seleccione **Crear rol**.
1. Seleccione **SageMaker**.
1. Seleccione **Siguiente: Permisos**.
1. La política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, se asocia automáticamente a este rol. Para ver los permisos incluidos en esta política, seleccione la flecha lateral situada junto al nombre de la política. Seleccione **Siguiente: Etiquetas**.
1. De forma opcional, agregue etiquetas y seleccione **Siguiente: Revisar**.
1. Asigne un nombre al rol en el campo de texto situado bajo **Nombre del rol** y seleccione **Crear rol**.
1. En la sección **Roles** de la consola de IAM, seleccione el rol que acaba de crear en el paso 7. Si es necesario, utilice el cuadro de texto para buscar el rol con el nombre del rol que ingresó en el paso 7.
1. En la página de resumen del rol, tome nota del ARN del rol.
# Añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente
Para utilizar las operaciones de API específicas SageMaker desde el punto de vista geoespacial, su función de ejecución de la SageMaker IA debe incluir al director del servicio SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` en la política de confianza de la función de ejecución. Esto permite que la función de ejecución de la SageMaker IA lleve a cabo acciones Cuenta de AWS en su nombre.
Acciones como transferir una función de un servicio a otro son habituales en la SageMaker IA. Para obtener más información,
Para añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente, actualice la política existente para incluir al director del servicio SageMaker geoespacial, tal como se muestra en la siguiente política de confianza. Al asociar el director del servicio a la política de confianza, un rol de ejecución de SageMaker IA ahora puede ejecutar la función SageMaker geoespacial específica APIs en su nombre.
*Para obtener más información sobre las acciones, los recursos y las condiciones de la IAM específicos desde el punto de vista SageMaker geoespacial, consulte las [claves de las acciones, los recursos y las condiciones de la SageMaker IA en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) de la IAM.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `StartEarthObservationJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `StartVectorEnrichmentJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `StartVectorEnrichmentJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `ExportEarthObservationJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `ExportEarthObservationJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `ExportVectorEnrichmentJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `ExportVectorEnrichmentJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de claves de bucket de [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).