Considérations Configurez les subventions d'accès Amazon S3 avec des tâches de formation et de traitement

Connectez les JupyterLab blocs-notes Studio à Amazon S3 Access Grants avec des tâches de formation et de traitement

Utilisez les informations suivantes pour accorder des subventions d'accès à Amazon S3 afin d'accéder aux données dans SageMaker le cadre de tâches de formation et de traitement de l' SageMaker IA.

Lorsqu'un utilisateur pour lequel la propagation d'identité sécurisée est activée lance une tâche de formation ou de traitement basée sur l' SageMaker IA qui doit accéder aux données Amazon S3 :

SageMaker L'IA appelle Amazon S3 Access Grants pour obtenir des informations d'identification temporaires basées sur l'identité de l'utilisateur
En cas de succès, ces informations d'identification temporaires accèdent aux données Amazon S3
En cas d'échec, SageMaker l'IA recommence à utiliser les informations d'identification du rôle IAM

Note

Pour garantir que toutes les autorisations sont accordées via Amazon S3 Access Grants, vous devez supprimer l'autorisation d'accès Amazon S3 associée à votre rôle d'exécution et les associer à votre autorisation d'accès Amazon S3 correspondante.

Rubriques

Considérations
Configurez les subventions d'accès Amazon S3 avec des tâches de formation et de traitement

Considérations

Les subventions d'accès Amazon S3 ne peuvent pas être utilisées avec le mode Pipe à la fois pour la formation à l' SageMaker IA et pour le traitement des entrées Amazon S3.

Lorsque la propagation fiable des identités est activée, vous ne pouvez pas lancer un Job de formation à l' SageMaker IA doté de la fonctionnalité suivante

Débogage à distance
Debugger
Profiler

Lorsque la propagation d'identités fiables est activée, vous ne pouvez pas lancer un SageMaker AI Processing Job doté de la fonctionnalité suivante

DatasetDefinition

Configurez les subventions d'accès Amazon S3 avec des tâches de formation et de traitement

Une fois Amazon S3 Access Grants configuré, ajoutez les autorisations suivantes à votre domaine ou à votre rôle d'exécution utilisateur.

us-east-1est votre Région AWS
111122223333est votre Compte AWS identifiant
S3-ACCESS-GRANT-ROLEest votre rôle Amazon S3 Access Grant


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

JupyterLab Carnets de studio avec Amazon S3 Access Grants

Connect à Amazon EMR