Fase 7: creare un ruolo IAM per i notebook SageMaker AI - AWS Glue

Fase 7: creare un ruolo IAM per i notebook SageMaker AI

Se prevedi di utilizzare i notebook SageMaker AI con gli endpoint di sviluppo, devi concedere le autorizzazioni per il ruolo IAM. Puoi fornire queste autorizzazioni utilizzando AWS Identity and Access Management (IAM), tramite un ruolo IAM.

Per creare un ruolo IAM per i notebook SageMaker AI

  1. Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra seleziona Ruoli.

  3. Scegli Crea ruolo.

  4. Per tipo di ruolo, scegli AWS Service (Servizio AWS), trova e seleziona SageMaker, quindi il caso d'uso SageMaker - Execution (SageMaker - Esecuzione). Quindi scegliere Next: Permissions (Successivo: Autorizzazioni).

  5. Nella pagina Attach permissions policy (Collega policy di autorizzazioni), scegli le policy che contengono le autorizzazioni necessarie, ad esempio AmazonSageMakerFullAccess. Scegli Prossimo: Rivedi.

    Se prevedi di accedere a origini e destinazioni Amazon S3 crittografate con SSE-KMS, collega una policy che permetta ai notebook di decrittografare i dati, come mostrato nell'esempio seguente. Per ulteriori informazioni, vedi Protezione dei dati mediante la crittografia lato server con chiavi gestite da AWS KMS (SSE-KMS).

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "arn:aws:kms:*:111122223333:key/key-id"
      ]
    }
  ]
}

  6. In Nome ruolo, immetti un nome per il ruolo. Per permettere il passaggio del ruolo dagli utenti della console a SageMaker AI, utilizza un nome che abbia come prefisso la stringa AWSGlueServiceSageMakerNotebookRole. Le policy fornite da AWS Glue prevedono ruoli IAM che iniziano con AWSGlueServiceSageMakerNotebookRole. In caso contrario, è necessario aggiungere una policy per concedere agli utenti l'autorizzazione iam:PassRole per i ruoli IAM in modo da soddisfare la convenzione per la denominazione.

    Per esempio, inserisci AWSGlueServiceSageMakerNotebookRole-Default e quindi seleziona Create role (Crea ruolo).

  7. Dopo aver creato il ruolo, collega una policy che abiliti autorizzazioni aggiuntive necessarie per creare notebook SageMaker AI da AWS Glue.

    Apto il ruolo appena creato, AWSGlueServiceSageMakerNotebookRole-Default e scegli Attach policies (Collega policy). Collega la policy creata denominata AWSGlueSageMakerNotebook al ruolo.