Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
IAM para planes de SageMaker formación
SageMaker los planes de formación requieren permisos específicos para dos funciones distintas:
-
Rol de creador de planes: los usuarios a los que se les asigne el rol Creador de planes necesitan permisos para buscar ofertas de planes de entrenamiento, crear nuevos planes de entrenamiento y enumerarlos y describirlos.
-
Función de usuario del plan: los usuarios con el rol de usuario del plan necesitan permisos para utilizar los planes de SageMaker formación en tareas de formación o al crear y actualizar SageMaker HyperPod clústeres.
Antes de usar los planes de SageMaker formación, actualiza los permisos en función de tu método de acceso:
-
Para nuestros Consola de administración de AWS SageMaker SDKs usuarios: actualice los permisos del rol de IAM configurado para el usuario de la consola o el usuario de la API.
-
Para AWS CLI los usuarios: asegúrese de que su AWS CLI perfil esté configurado correctamente con las credenciales y los permisos adecuados.
-
Para los usuarios de aplicaciones de Studio JupyterLab, por ejemplo, defina los permisos en la función de ejecución asociada al espacio utilizado por la aplicación.
Puede configurar estos permisos con una política administrada o usando permisos individuales más detallados.
Para obtener más información acerca de cómo actualizar la política de permisos de un rol, consulte Actualización de los permisos de un rol. Para obtener más información sobre cómo buscar y ejecutar un rol de ejecución, consulte Obtención del rol de ejecución.
nota
Los administradores deben considerar detenidamente qué usuarios necesitan poder crear planes de entrenamiento y asignar los permisos en consecuencia.
Políticas administradas
-
Para los creadores de planes:
AmazonSageMakerTrainingPlanCreateAccessotorga acceso para crear y administrar planes de entrenamiento. -
Para los usuarios de planes:
AmazonSageMakerFullAccessincluye los permisos para usar los planes de entrenamiento.
nota
-
La política
AmazonSageMakerFullAccessgestionada está diseñada como una ease-of-use política principalmente con fines de experimentación. Si bien proporciona un amplio acceso a las funciones de la SageMaker IA, incluido el uso de planes de formación, es importante tener en cuenta lo siguiente:-
Esta política no se recomienda para entornos de producción debido a sus amplios permisos.
-
No incluye permisos para crear planes de entrenamiento, ya que
CreateTrainingPlanse considera una acción administrativa que requiere pagar por adelantado. -
Para los casos de uso de producción, recomendamos encarecidamente crear políticas personalizadas que respeten el principio de privilegios mínimos y concedan solo los permisos específicos necesarios para cada rol.
-
Permisos individuales
La siguiente lista detalla los permisos detallados que deben establecerse en las declaraciones de política de IAM de un rol, en función de las acciones específicas que un usuario debe realizar con los planes de SageMaker formación:
Lista de permisos de los planes de entrenamiento
-
SearchTrainingPlanOfferings: permite a los usuarios buscar las ofertas de planes de entrenamiento disponibles.{ "Sid": "SearchTrainingPlanOfferingsPermissions", "Effect": "Allow", "Action": [ "sagemaker:SearchTrainingPlanOfferings" ], "Resource": "*" } -
CreateTrainingPlan: permite a los usuarios crear nuevos planes de entrenamiento.nota
También debe incluir los permisos para
CreateReservedCapacityyAddTagsy especificar ambos tipos de recursotraining-planyreserved-capacity.{ "Sid": "CreateTrainingPlanPermissions", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingPlan", "sagemaker:CreateReservedCapacity", "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] } -
DescribeTrainingPlan: permite a los usuarios ver los detalles de los planes de entrenamiento existentes.{ "Sid": "DescribeTrainingPlanPermissions", "Effect": "Allow", "Action": [ "sagemaker:DescribeTrainingPlan" ], "Resource": [ "arn:aws:sagemaker:::training-plan/*" ] } -
ListTrainingPlans: Este permiso permite a los usuarios enumerar todos los planes de formación de su AWS cuenta.{ "Sid": "ListTrainingPlansPermissions", "Effect": "Allow", "Action": [ "sagemaker:ListTrainingPlans" ], "Resource": "*" }
Permisos individuales por tipo de usuario
En esta sección se proporciona un desglose detallado de los permisos individuales necesarios para cada rol, tal como se menciona en la sección IAM para planes de SageMaker formación.
Los creadores de planes necesitan los siguientes permisos:
-
sagemaker:SearchTrainingPlanOfferings -
sagemaker:CreateTrainingPlan -
sagemaker:CreateReservedCapacity -
sagemaker:AddTags -
sagemaker:DescribeTrainingPlan -
sagemaker:ListTrainingPlans
Los usuarios de planes necesitan los siguientes permisos:
-
sagemaker:CreateTrainingJob(para SageMaker Training Job) -
sagemaker:CreateClusterysagemaker:UpdateCluster(para SageMaker HyperPod) -
Acceso a los
reserved-capacityrecursostraining-plany; al configurar las políticas de IAM para los planes de SageMaker formación, incluya los permisos tanto para ellos como paratraining-planlosreserved-capacityrecursos. Estos recursos son necesarios tanto para los trabajos de SageMaker formación como para los SageMaker HyperPod clústeres. Esto permite que sus funciones de IAM interactúen con los recursos de los planes de SageMaker formación y gestionen la capacidad reservada.-
En el SageMaker caso de los trabajos de formación, asegúrese de que su política incluya el
"arn:aws:sagemaker:::reserved-capacity/"recurso"arn:aws:sagemaker:::training-plan/"ARNs y.
-
Del mismo modo, en el caso de SageMaker HyperPod las configuraciones, ARNs inclúyalos además de los recursos específicos del clúster.
