Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Cara menggunakan peran eksekusi SageMaker AI
Amazon SageMaker AI melakukan operasi atas nama Anda menggunakan AWS layanan lain. Anda harus memberikan izin SageMaker AI untuk menggunakan layanan ini dan sumber daya tempat mereka bertindak. Anda memberikan SageMaker AI izin ini menggunakan peran eksekusi AWS Identity and Access Management (IAM). Untuk informasi selengkapnya tentang peran IAM, lihat peran [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Untuk membuat dan menggunakan peran eksekusi, Anda dapat menggunakan prosedur berikut.
## Buat peran eksekusi
Gunakan prosedur berikut untuk membuat peran eksekusi dengan kebijakan terkelola IAM,`AmazonSageMakerFullAccess`, terlampir. Jika kasus penggunaan Anda memerlukan izin yang lebih terperinci, gunakan bagian lain di halaman ini untuk membuat peran eksekusi yang memenuhi kebutuhan bisnis Anda. Anda dapat membuat peran eksekusi menggunakan konsol SageMaker AI atau AWS CLI.
**penting**
Kebijakan terkelola IAM`AmazonSageMakerFullAccess`, yang digunakan dalam prosedur berikut hanya memberikan izin peran eksekusi untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek `SageMaker` dengan`Sagemaker`,,`sagemaker`, `aws-glue` atau dalam nama. Untuk mempelajari cara menambahkan kebijakan tambahan ke peran eksekusi agar akses ke bucket dan objek Amazon S3 lainnya, lihat. [Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker](#sagemaker-roles-get-execution-role-s3)
**catatan**
Anda dapat membuat peran eksekusi secara langsung saat membuat domain SageMaker AI atau instance notebook.
Untuk informasi tentang cara membuat domain SageMaker AI, lihat[Panduan untuk mengatur dengan Amazon SageMaker AI](gs.md).
Untuk informasi tentang cara membuat instance notebook, lihat[Buat Instans SageMaker Notebook Amazon untuk tutorial](gs-setup-working-env.md).
**Untuk membuat peran eksekusi baru dari konsol SageMaker AI**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** dan kemudian pilih **Buat peran**.
1. Simpan **AWS layanan** sebagai **jenis entitas Tepercaya**, lalu gunakan panah bawah untuk menemukan **SageMaker AI** dalam **kasus Penggunaan untuk AWS layanan lain**.
1. Pilih **SageMaker AI — Eksekusi** dan kemudian pilih **Berikutnya**.
1. Kebijakan yang dikelola IAM,`AmazonSageMakerFullAccess`, secara otomatis dilampirkan ke peran. Untuk melihat izin yang disertakan dalam kebijakan ini, pilih tanda tambah (**\$1**) di samping nama kebijakan. Pilih **Berikutnya**.
1. Masukkan **nama Peran** dan **Deskripsi**.
1. (Opsional) Tambahkan izin dan tag tambahan ke peran.
1. Pilih **Buat peran**.
1. Di bagian **Peran** konsol IAM, temukan peran yang baru saja Anda buat. Jika diperlukan, gunakan kotak teks untuk mencari peran menggunakan nama peran.
1. Pada halaman ringkasan peran, catat ARN.
**Untuk membuat peran eksekusi baru dari AWS CLI**
Sebelum Anda membuat peran eksekusi menggunakan AWS CLI, pastikan untuk memperbarui dan mengonfigurasinya dengan mengikuti instruksi di[(Opsional) Konfigurasikan AWS CLI](gs-set-up.md#gs-cli-prereq), lalu lanjutkan dengan instruksi di[Penyiapan khusus menggunakan AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Setelah Anda membuat peran eksekusi, Anda dapat mengaitkannya dengan domain SageMaker AI, profil pengguna, atau dengan instance notebook Jupyter.
+ Untuk mempelajari cara mengaitkan peran eksekusi dengan domain SageMaker AI yang ada, lihat[Edit pengaturan domain](domain-edit.md).
+ Untuk mempelajari cara mengaitkan peran eksekusi dengan profil pengguna yang ada, lihat[Tambahkan profil pengguna](domain-user-profile-add.md).
+ Untuk mempelajari cara mengaitkan peran eksekusi dengan instance notebook yang ada, lihat[Memperbarui Instance Notebook](nbi-update.md).
Anda juga dapat meneruskan ARN dari peran eksekusi ke panggilan API Anda. Misalnya, menggunakan [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), Anda dapat meneruskan ARN peran eksekusi Anda ke estimator. Dalam contoh kode berikut, kami membuat estimator menggunakan wadah XGBoost algoritma dan meneruskan ARN dari peran eksekusi sebagai parameter. Untuk contoh selengkapnya tentang GitHub, lihat [Prediksi Churn Pelanggan](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb) dengan. XGBoost
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker
Saat Anda menggunakan fitur SageMaker AI dengan sumber daya di Amazon S3, seperti data input, peran eksekusi yang Anda tentukan dalam permintaan Anda (misalnya`CreateTrainingJob`) digunakan untuk mengakses sumber daya ini.
Jika Anda melampirkan kebijakan terkelola IAM`AmazonSageMakerFullAccess`, ke peran eksekusi, peran tersebut memiliki izin untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek `SageMaker` dengan`Sagemaker`,,`sagemaker`, `aws-glue` atau dalam nama. Ini juga memiliki izin untuk melakukan tindakan berikut pada sumber daya Amazon S3 apa pun:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Untuk memberikan izin peran eksekusi untuk mengakses satu atau beberapa bucket tertentu di Amazon S3, Anda dapat melampirkan kebijakan yang mirip dengan peran berikut ini. Kebijakan ini memberikan izin peran IAM untuk melakukan semua tindakan yang `AmazonSageMakerFullAccess` memungkinkan tetapi membatasi akses ini ke bucket amzn-s3-demo-bucket1 dan amzn-s3-demo-bucket2. Lihat dokumentasi keamanan untuk fitur SageMaker AI tertentu yang Anda gunakan untuk mempelajari lebih lanjut tentang izin Amazon S3 yang diperlukan untuk fitur tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Dapatkan peran eksekusi Anda
Anda dapat menggunakan [konsol SageMaker AI](https://console.aws.amazon.com/sagemaker), [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), atau [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)untuk mengambil ARN dan nama peran eksekusi yang dilampirkan ke SageMaker domain AI, ruang, atau profil pengguna.
**Topics**
+ [Dapatkan peran eksekusi domain](#sagemaker-roles-get-execution-role-domain)
+ [Dapatkan peran eksekusi ruang](#sagemaker-roles-get-execution-role-space)
+ [Dapatkan peran eksekusi pengguna](#sagemaker-roles-get-execution-role-user)
### Dapatkan peran eksekusi domain
Berikut ini memberikan petunjuk tentang menemukan peran eksekusi domain Anda.
#### Dapatkan peran eksekusi domain (konsol)
**Temukan peran eksekusi yang dilampirkan ke domain Anda**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Pengaturan domain**.
1. Di bagian **Pengaturan umum**, peran eksekusi ARN tercantum di bawah Peran **eksekusi**.
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
### Dapatkan peran eksekusi ruang
Berikut ini memberikan instruksi untuk menemukan peran eksekusi ruang Anda.
#### Dapatkan peran eksekusi ruang (konsol)
**Temukan peran eksekusi yang melekat pada ruang Anda**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Manajemen ruang**.
1. Di bagian **Detail**, peran eksekusi ARN tercantum di bawah Peran **eksekusi**.
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
#### Dapatkan peran eksekusi ruang (SDK untuk Python)
**catatan**
Kode berikut dimaksudkan untuk dijalankan di lingkungan SageMaker AI, seperti yang ada IDEs di Amazon SageMaker Studio. Anda akan menerima kesalahan jika Anda berjalan `get_execution_role` di luar lingkungan SageMaker AI.
Perintah [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) berikut mengambil ARN dari peran eksekusi yang dilampirkan ke ruang.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
### Dapatkan peran eksekusi pengguna
Berikut ini memberikan instruksi untuk menemukan peran eksekusi pengguna.
#### Dapatkan peran eksekusi pengguna (konsol)
**Temukan peran eksekusi yang dilampirkan ke pengguna**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Profil pengguna**.
1. Pilih tautan yang sesuai dengan pengguna Anda.
1. Di bagian **Detail**, peran eksekusi ARN tercantum di bawah Peran **eksekusi**.
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
#### Dapatkan peran eksekusi ruang (AWS CLI)
**catatan**
Untuk menggunakan contoh berikut, Anda harus memiliki AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi. Untuk selengkapnya, lihat [Memulai AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) di *Panduan AWS Command Line Interface Pengguna untuk Versi 2*.
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI Perintah berikut menampilkan informasi tentang identitas IAM yang digunakan untuk mengautentikasi permintaan. Penelepon adalah pengguna IAM.
```
aws sts get-caller-identity
```
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
## Ubah peran eksekusi Anda
Peran eksekusi adalah peran IAM yang diasumsikan oleh identitas SageMaker AI (seperti pengguna SageMaker AI, ruang, atau domain). Mengubah peran IAM mengubah izin untuk semua identitas dengan asumsi peran tersebut.
Saat Anda mengubah peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin membutuhkan waktu untuk menyebar.
+ Saat Anda mengubah *peran eksekusi pengguna*, *ruang pribadi* yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang diubah.
+ Saat Anda mengubah *peran eksekusi default spasi*, *spasi bersama* di domain akan mengambil peran eksekusi yang diubah.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Anda dapat mengubah peran eksekusi untuk identitas ke peran IAM yang berbeda dengan menggunakan salah satu instruksi berikut.
Sebaliknya, jika Anda ingin *memodifikasi* peran yang diasumsikan oleh identitas, lihat[Ubah izin ke peran eksekusi](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Mengubah peran eksekusi default domain](#sagemaker-roles-change-execution-role-domain)
+ [Ubah peran eksekusi default spasi](#sagemaker-roles-change-execution-role-space)
+ [Ubah peran eksekusi profil pengguna](#sagemaker-roles-change-execution-role-user)
### Mengubah peran eksekusi default domain
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default domain Anda.
#### Mengubah peran eksekusi default domain (konsol)
**Mengubah peran eksekusi default yang dilampirkan ke domain Anda**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Pengaturan domain**.
1. Di bagian **Pengaturan umum**, pilih **Edit**.
1. Di bagian **Izin, di bawah Peran** **eksekusi default, perluas** daftar drop-down.
1. Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih **Buat peran menggunakan opsi panduan pembuatan peran**.
1. Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
### Ubah peran eksekusi default spasi
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default ruang Anda. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua spasi bersama di domain.
#### Ubah peran eksekusi default ruang (konsol)
**Ubah peran eksekusi default spasi saat Anda membuat spasi baru**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Pengaturan domain**.
1. Di bagian **Pengaturan umum**, pilih **Edit**.
1. Di bagian **Izin, di bawah Peran** **eksekusi default Space, perluas** daftar drop-down.
1. Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih **Buat peran menggunakan opsi panduan pembuatan peran**.
1. Pilih **Berikutnya** dalam langkah-langkah berikut dan pilih **Kirim** pada langkah terakhir.
### Ubah peran eksekusi profil pengguna
Berikut ini memberikan instruksi tentang mengubah peran eksekusi pengguna. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua ruang pribadi yang dibuat oleh pengguna ini.
#### Ubah peran eksekusi profil pengguna (konsol)
**Mengubah peran eksekusi yang dilampirkan ke pengguna**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Profil pengguna**.
1. Pilih tautan yang sesuai dengan nama profil pengguna.
1. Pilih **Edit**.
1. Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih **Buat peran menggunakan opsi panduan pembuatan peran**.
1. Pilih **Berikutnya** dalam langkah-langkah berikut dan pilih **Kirim** pada langkah terakhir.
## Ubah izin ke peran eksekusi
Anda dapat mengubah izin yang ada ke peran eksekusi identitas (seperti pengguna SageMaker AI, ruang, atau domain). Hal ini dilakukan dengan menemukan peran IAM yang sesuai yang diasumsikan oleh identitas, kemudian memodifikasi peran IAM tersebut. Berikut ini akan memberikan instruksi untuk mencapai ini melalui konsol.
Saat Anda memodifikasi peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin tidak langsung.
+ Saat Anda memodifikasi *peran eksekusi pengguna*, *ruang pribadi* yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang dimodifikasi.
+ Saat Anda mengubah *peran eksekusi default spasi*, *spasi bersama* di domain akan mengambil peran eksekusi yang dimodifikasi.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Sebaliknya, jika Anda ingin *mengubah* peran yang diasumsikan oleh identitas, lihat[Ubah peran eksekusi Anda](#sagemaker-roles-change-execution-role).
### Ubah izin ke peran eksekusi (konsol)
**Untuk mengubah izin ke peran eksekusi**
1. Pertama dapatkan nama identitas yang ingin Anda modifikasi.
+ [Dapatkan peran eksekusi domain](#sagemaker-roles-get-execution-role-domain)
+ [Dapatkan peran eksekusi ruang](#sagemaker-roles-get-execution-role-space)
+ [Dapatkan peran eksekusi pengguna](#sagemaker-roles-get-execution-role-user)
1. Untuk mengubah peran yang diasumsikan identitas, lihat [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dalam *AWS Identity and Access Management Panduan Pengguna*.
*Untuk informasi selengkapnya dan petunjuk tentang menambahkan izin ke identitas IAM, lihat [Menambahkan atau menghapus izin identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna.AWS Identity and Access Management *
## Peran Lulus
Tindakan seperti melewati peran antar layanan adalah fungsi umum dalam SageMaker AI. Anda dapat menemukan detail selengkapnya tentang [Tindakan, Sumber Daya, dan Kunci Kondisi untuk SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) di *Referensi Otorisasi Layanan*.
Anda meneruskan role (`iam:PassRole`) saat melakukan panggilan API ini: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html), dan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Anda melampirkan kebijakan kepercayaan berikut ke peran IAM yang memberikan izin utama SageMaker AI untuk mengambil peran, dan sama untuk semua peran eksekusi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Izin yang perlu Anda berikan untuk peran bervariasi tergantung pada API yang Anda panggil. Bagian berikut menjelaskan izin ini.
**catatan**
Alih-alih mengelola izin dengan membuat kebijakan izin, Anda dapat menggunakan kebijakan izin yang AWS dikelola`AmazonSageMakerFullAccess`. Izin dalam kebijakan ini cukup luas, untuk memungkinkan tindakan apa pun yang mungkin ingin Anda lakukan di SageMaker AI. Untuk daftar kebijakan termasuk informasi tentang alasan menambahkan banyak izin, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Jika Anda memilih untuk membuat kebijakan kustom dan mengelola izin untuk cakupan izin hanya untuk tindakan yang perlu Anda lakukan dengan peran eksekusi, lihat topik berikut.
**penting**
Jika Anda mengalami masalah, lihat[Memecahkan Masalah Identitas dan SageMaker Akses Amazon AI](security_iam_troubleshoot.md).
Untuk informasi selengkapnya tentang peran IAM, lihat Peran [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dalam Referensi *Otorisasi Layanan*.
**Topics**
+ [Buat peran eksekusi](#sagemaker-roles-create-execution-role)
+ [Dapatkan peran eksekusi Anda](#sagemaker-roles-get-execution-role)
+ [Ubah peran eksekusi Anda](#sagemaker-roles-change-execution-role)
+ [Ubah izin ke peran eksekusi](#sagemaker-roles-modify-to-execution-role)
+ [Peran Lulus](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob dan CreateAuto MLJob V2 API: Izin Peran Eksekusi](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: Izin Peran Eksekusi](#sagemaker-roles-createdomain-perms)
+ [CreateImage dan UpdateImage APIs: Izin Peran Eksekusi](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Izin Peran Eksekusi](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: Izin Peran Eksekusi](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: Izin Peran Eksekusi](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: Izin Peran Eksekusi](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: Izin Peran Eksekusi](#sagemaker-roles-createmodel-perms)
+ [SageMaker peran kemampuan geospasial](sagemaker-geospatial-roles.md)
## CreateAutoMLJob dan CreateAuto MLJob V2 API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateAutoMLJob` atau `CreateAutoMLJobV2` API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Jika Anda menentukan VPC pribadi untuk pekerjaan AutoML Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan AutoML Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan AutoML Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: Izin Peran Eksekusi
Peran eksekusi untuk domain dengan IAM Identity Center dan user/execution peran untuk domain IAM memerlukan izin berikut saat Anda meneruskan kunci terkelola AWS KMS pelanggan seperti dalam `KmsKeyId` permintaan API. `CreateDomain` Izin diberlakukan selama panggilan `CreateApp` API.
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateDomain` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
Atau, jika izin ditentukan dalam kebijakan KMS, Anda dapat melampirkan kebijakan berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage dan UpdateImage APIs: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateImage` atau `UpdateImage` API, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Izin Peran Eksekusi
Izin yang Anda berikan untuk peran eksekusi untuk memanggil `CreateNotebookInstance` API bergantung pada apa yang Anda rencanakan untuk dilakukan dengan instance notebook. Jika Anda berencana menggunakannya untuk memanggil SageMaker AI APIs dan meneruskan peran yang sama saat memanggil `CreateTrainingJob` dan `CreateModel` APIs, lampirkan kebijakan izin berikut ke peran tersebut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Untuk memperketat izin, batasi ke sumber daya Amazon S3 dan Amazon ECR tertentu, dengan `"Resource": "*"` membatasi, sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Jika Anda berencana untuk mengakses sumber daya lain, seperti Amazon DynamoDB atau Amazon Relational Database Service, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan seperti `InputDataConfig.DataSource.S3DataSource.S3Uri` dalam `CreateTrainingJob` permintaan.
+ Lingkup `s3:GetObject ``s3:PutObject`,, dan `s3:DeleteObject` izin sebagai berikut:
+ Cakupan ke nilai berikut yang Anda tentukan dalam `CreateTrainingJob` permintaan:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Cakupan ke nilai berikut yang Anda tentukan dalam `CreateModel` permintaan:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ `ecr`Izin lingkup sebagai berikut:
+ Cakupan ke `AlgorithmSpecification.TrainingImage` nilai yang Anda tentukan dalam `CreateTrainingJob` permintaan.
+ Cakupan ke `PrimaryContainer.Image` nilai yang Anda tentukan dalam `CreateModel` permintaan:
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
## CreateHyperParameterTuningJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateHyperParameterTuningJob` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3, Amazon ECR, CloudWatch dan Amazon Logs tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Jika container pelatihan yang terkait dengan tugas penyetelan hyperparameter perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan `InputDataConfig.DataSource.S3DataSource.S3Uri` sebagai `CreateTrainingJob` permintaan.
+ Cakupan `s3:GetObject ` dan `s3:PutObject` izin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalam `CreateHyperParameterTuningJob` permintaan:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Cakupan izin Amazon ECR ke jalur registri (`AlgorithmSpecification.TrainingImage`) yang Anda tentukan dalam permintaan. `CreateHyperParameterTuningJob`
+ Cakupan izin Amazon CloudWatch Logs untuk log grup pekerjaan SageMaker pelatihan.
`cloudwatch`Tindakan tersebut berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [ CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya tugas penyetelan hyperparameter Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateProcessingJob` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Jika `CreateProcessingJob.AppSpecification.ImageUri` perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan `ProcessingInputs` sebagai `CreateProcessingJob` permintaan.
+ Cakupan `s3:GetObject ` dan `s3:PutObject` izin untuk objek yang akan diunduh atau diunggah dalam `ProcessingInputs` dan `ProcessingOutputConfig` dalam permintaan. `CreateProcessingJob`
+ Cakupan izin Amazon ECR ke jalur registri (`AppSpecification.ImageUri`) yang Anda tentukan dalam permintaan. `CreateProcessingJob`
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan pemrosesan Anda, tambahkan izin berikut. Jangan cakup dalam kebijakan dengan kondisi atau filter sumber daya apa pun. Jika tidak, pemeriksaan validasi yang terjadi selama pembuatan pekerjaan pemrosesan gagal.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan pemrosesan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan pemrosesan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateTrainingJob` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Jika `CreateTrainingJob.AlgorithSpecifications.TrainingImage` perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Jika Anda menentukan sumber daya algoritme dengan menggunakan `AlgorithmSpecification.AlgorithmArn` parameter, peran eksekusi juga harus memiliki izin berikut:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan `InputDataConfig.DataSource.S3DataSource.S3Uri` sebagai `CreateTrainingJob` permintaan.
+ Cakupan `s3:GetObject ` dan `s3:PutObject` izin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalam `CreateTrainingJob` permintaan:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Cakupan izin Amazon ECR ke jalur registri (`AlgorithmSpecification.TrainingImage`) yang Anda tentukan dalam permintaan. `CreateTrainingJob`
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan pelatihan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan pelatihan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan pelatihan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateModel` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Jika `CreateModel.PrimaryContainer.Image` perlu mengakses sumber data lain, seperti Amazon DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan izin S3 untuk objek yang Anda tentukan `PrimaryContainer.ModelDataUrl` dalam permintaan. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ Cakupan izin Amazon ECR ke jalur registri tertentu yang Anda tentukan sebagai `PrimaryContainer.Image` dan `SecondaryContainer.Image` dalam permintaan. `CreateModel`
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
**catatan**
Jika Anda berencana untuk menggunakan [fitur pagar pembatas penerapan SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) untuk penerapan model dalam produksi, pastikan peran eksekusi Anda memiliki izin untuk melakukan `cloudwatch:DescribeAlarms` tindakan pada alarm rollback otomatis Anda.
Jika Anda menentukan VPC pribadi untuk model Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```