Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del ruolo IAM
Lo CloudFormation stack contenuto nelle istruzioni di installazione automatizza la configurazione dei ruoli IAM per te. Se desideri eseguirlo manualmente, segui le istruzioni riportate di seguito:
Configurazione dei ruoli IAM per il server MCP
Modifica imminente in vigore dal 29 maggio 2026
Le sagemaker-unified-studio-mcp autorizzazioni mostrate di seguito non saranno più necessarie dopo il 29 maggio 2026. L'autorizzazione avverrà invece a livello di AWS
servizio utilizzando le policy IAM esistenti. Se utilizzi queste autorizzazioni per negare l'accesso, consulta l'articolo Prossima modifica delle autorizzazioni (29 maggio 2026) per aggiornare le policy prima di tale data.
Per accedere al server SMUS Managed MCP, è necessario un ruolo IAM con la seguente politica in linea:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseSagemakerUnifiedStudioMcpServer", "Effect": "Allow", "Action": [ "sagemaker-unified-studio-mcp:InvokeMcp", "sagemaker-unified-studio-mcp:CallReadOnlyTool", "sagemaker-unified-studio-mcp:CallPrivilegedTool" ], "Resource": [ "*" ] } ] }
Nei passaggi successivi, creeremo un profilo per questo ruolo. L'account che assume questo ruolo per ottenere le credenziali deve essere aggiunto alla politica di assunzione del ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountToAssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole" } ] }
Autorizzazioni aggiuntive in base alla modalità di distribuzione () EMR-EC2/EMR-S
EMR-EC2 Applicazioni
Sostituisci il bucket di staging di Amazon S3 nella policy con il bucket Amazon S3 in cui desideri archiviare gli elementi aggiornati
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListSteps", "elasticmapreduce:ListClusters", "elasticmapreduce:DescribeJobFlows", "elasticmapreduce:AddJobFlowSteps", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject*", "s3:List*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::<s3-staging-bucket>", "arn:aws:s3:::<s3-staging-bucket>/*" ] } ] }
Autorizzazioni KMS - Staging Bucket
Se lo staging bucket è crittografato con un CMK, aggiungi la seguente politica. Il servizio utilizzerà automaticamente la CMK configurata nel bucket durante il caricamento dei dati.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cmk-key-id>" }
Applicazioni serverless EMR
Sostituisci il bucket di staging di Amazon S3 nella policy con il bucket Amazon S3 in cui desideri archiviare gli elementi aggiornati
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:StartJobRun", "emr-serverless:GetJobRun", "emr-serverless:GetApplication", "emr-serverless:ListApplications", "emr-serverless:GetDashboardForJobRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "emr-serverless.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:*" }, { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject*", "s3:List*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::<s3-staging-bucket>", "arn:aws:s3:::<s3-staging-bucket>/*" ] } ] }
Autorizzazioni KMS - Staging Bucket
Se lo staging bucket è crittografato con un CMK, aggiungi la seguente politica. Il servizio utilizzerà automaticamente la CMK configurata nel bucket durante il caricamento dei dati
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cmk-key-id>" }
Autorizzazioni KMS - Registri CloudWatch
Se CloudWatch i log sono crittografati con una CMK, aggiungi la seguente politica in modo che il servizio possa leggere i log dell'applicazione. EMR-Serverless
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cw-logs-cmk-id>" }
Prossima modifica delle autorizzazioni (29 maggio 2026)
A partire dal 29 maggio 2026, il server AWS SMUS MCP non richiederà più autorizzazioni IAM separate per autorizzare le operazioni del server MCP. L'autorizzazione avverrà invece a livello di AWS servizio utilizzando i ruoli e le policy IAM esistenti.
Due chiavi di condizione verranno aggiunte automaticamente a tutte le richieste effettuate tramite il server SMUS MCP:
aws:ViaAWSMCPService— Impostato sutrueper qualsiasi richiesta effettuata tramite un server AWS MCP gestito.aws:CalledViaAWSMCP— Impostato sul principale del servizio del server MCP (ad esempio,sagemaker-unified-studio-mcp.amazonaws.com).
Se attualmente utilizzi le sagemaker-unified-studio-mcp autorizzazioni per negare l'accesso al server SMUS MCP o se non desideri consentire alcuna azione avviata dal server MCP AWS gestito sul tuo account, devi aggiornare le politiche prima del 29 maggio 2026. Utilizzate invece le nuove chiavi di condizione.
Nega tutte le operazioni tramite qualsiasi server MCP AWS gestito:
{ "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "Bool": { "aws:ViaAWSMCPService": "true" } } }
Nega operazioni specifiche tramite uno specifico server MCP AWS gestito:
{ "Effect": "Deny", "Action": ["glue:GetJobRun", "glue:StartJobRun"], "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaAWSMCP": "sagemaker-unified-studio-mcp.amazonaws.com" } } }
Per ulteriori informazioni sulle chiavi di condizione, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
