Fase 6: Creare una policy IAM per i notebook SageMaker AI

Per creare una policy IAM per i notebook AI SageMaker

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

2. Nel riquadro di navigazione sinistro, scegli Policy.

3. Scegli Crea policy.

4. Nella pagina Create Policy (Crea policy), passa alla scheda per modificare JSON. Crea il tuo documento di policy con le istruzioni JSON seguenti. Modifica bucket-name e region-code account-id per il tuo ambiente.

   JSON

   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Action": [
                   "s3:ListBucket"
               ],
               "Effect": "Allow",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket"
               ]
           },
           {
               "Action": [
                   "s3:GetObject"
               ],
               "Effect": "Allow",
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket*"
               ]
           },
           {
               "Action": [
                   "logs:CreateLogStream",
                   "logs:DescribeLogStreams",
                   "logs:PutLogEvents",
                   "logs:CreateLogGroup"
               ],
               "Effect": "Allow",
               "Resource": [
                   "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*",
                   "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
               ]
           },
           {
               "Action": [
                   "glue:UpdateDevEndpoint",
                   "glue:GetDevEndpoint",
                   "glue:GetDevEndpoints"
               ],
               "Effect": "Allow",
               "Resource": [
                   "arn:aws:glue:us-east-1:111122223333:devEndpoint/*"
               ]
           },
           {
               "Action": [
                   "sagemaker:ListTags"
               ],
               "Effect": "Allow",
               "Resource": [
                   "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/*"
               ]
           }
       ]
   }
   

   Selezionare Review policy (Esamina policy).

   La tabella seguente descrive le autorizzazioni concesse dalla policy.

   Azione	Risorsa	Descrizione
   "s3:ListBucket*"	"arn:aws:s3:::bucket-name"	Concede l'autorizzazione per elencare i bucket Amazon S3.
   "s3:GetObject"	"arn:aws:s3:::bucket-name*"	Concede l'autorizzazione per ottenere oggetti Amazon S3 utilizzati SageMaker dai notebook AI.
   "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"	"arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"	Concede l'autorizzazione a scrivere log su Amazon CloudWatch Logs dai notebook. Convenzione per la denominazione: scrive per registrare i gruppi i cui nomi iniziano con aws-glue.
   "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"	"arn:aws:glue:region-code:account-id:devEndpoint/*"	Concede l'autorizzazione a utilizzare un endpoint di sviluppo da notebook AI. SageMaker
   "sagemaker:ListTags"	"arn:aws:sagemaker:region-code:account-id:notebook-instance/*"	Concede l'autorizzazione a restituire tag per una risorsa AI. SageMaker Il aws-glue-dev-endpoint tag è necessario sul notebook SageMaker AI per collegare il notebook a un endpoint di sviluppo.

5. Nella schermata Verifica policy, inserisci il Nome policy, ad esempio AWSGlueSageMakerNotebook. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).