Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come utilizzare i ruoli di esecuzione dell' SageMaker IA
Amazon SageMaker AI esegue operazioni per tuo conto utilizzando altri AWS servizi. Devi concedere le autorizzazioni all' SageMaker intelligenza artificiale per utilizzare questi servizi e le risorse su cui agiscono. Concedi all' SageMaker IA queste autorizzazioni utilizzando un ruolo di esecuzione AWS Identity and Access Management (IAM). Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Per creare e utilizzare un ruolo di esecuzione, puoi utilizzare le seguenti procedure.
## Crea ruolo di esecuzione
Utilizza la seguente procedura per creare un ruolo di esecuzione con la policy gestita IAM, `AmazonSageMakerFullAccess`, collegata. Se il tuo caso d'uso richiede autorizzazioni più granulari, utilizza le altre sezioni di questa pagina per creare un ruolo di esecuzione che soddisfi le tue esigenze aziendali. Puoi creare un ruolo di esecuzione utilizzando la console SageMaker AI o il AWS CLI.
**Importante**
La policy gestita IAM, `AmazonSageMakerFullAccess`, utilizzata nella seguente procedura, concede al ruolo di esecuzione solo l'autorizzazione a eseguire determinate azioni Amazon S3 su bucket o oggetti con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` nel nome. Per informazioni su come aggiungere una policy aggiuntiva a un ruolo di esecuzione per concedergli l'accesso ad altri bucket e oggetti Amazon S3, consulta [Aggiungi autorizzazioni Amazon S3 aggiuntive a un SageMaker ruolo di esecuzione AI](#sagemaker-roles-get-execution-role-s3).
**Nota**
Puoi creare un ruolo di esecuzione direttamente quando crei un dominio SageMaker AI o un'istanza di notebook.
Per informazioni su come creare un dominio SageMaker AI, consulta[Guida alla configurazione con Amazon SageMaker AI](gs.md).
Per informazioni su come creare una istanza del notebook, consulta [Crea un'istanza Amazon SageMaker Notebook per il tutorial](gs-setup-working-env.md).
**Per creare un nuovo ruolo di esecuzione dalla console SageMaker AI**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Selezionare **Roles (Ruoli)**, quindi selezionare **Create role (Crea ruolo)**.
1. Mantieni il **tipo di entità affidabile** come **AWS servizio**, quindi utilizza la freccia rivolta verso il basso per trovare l'**SageMaker intelligenza artificiale** nei **casi d'uso per altri AWS servizi**.
1. Scegli **SageMaker AI — Esecuzione**, quindi scegli **Avanti**.
1. La policy gestita IAM, `AmazonSageMakerFullAccess`, viene collegata automaticamente al ruolo . Per visualizzare le autorizzazioni incluse in questa policy, scegli il segno più (**\+**) accanto al nome della policy. Scegli **Next (Successivo)**.
1. Inserire un **nome di ruolo** e una **descrizione**.
1. (Facoltativo) Aggiungi autorizzazioni aggiuntive e tag al ruolo.
1. Scegli **Crea ruolo**.
1. Nella sezione **Ruoli** della console IAM, trova il ruolo che hai appena creato. Se necessario, utilizza la casella di testo per cercare il ruolo utilizzando il nome del ruolo.
1. Nella pagina Riepilogo ruolo, annota l’ARN.
**Per creare un nuovo ruolo di esecuzione da AWS CLI**
Prima di creare un ruolo di esecuzione utilizzando il AWS CLI, assicurati di aggiornarlo e configurarlo seguendo le istruzioni contenute in[(Facoltativo) Configura il AWS CLI](gs-set-up.md#gs-cli-prereq), quindi continua con le istruzioni in[Configurazione personalizzata utilizzando AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Dopo aver creato un ruolo di esecuzione, puoi associarlo a un dominio SageMaker AI, a un profilo utente o a un'istanza di Jupyter Notebook.
+ Per ulteriori informazioni su come associare un ruolo di esecuzione a un dominio SageMaker AI esistente, consulta. [Modifica delle impostazioni del dominio](domain-edit.md)
+ Per ulteriori informazioni su come associare un ruolo di esecuzione a un profilo utente esistente, consulta [Aggiunta di profili utente](domain-user-profile-add.md).
+ Per ulteriori informazioni su come associare un ruolo di esecuzione a una istanza del notebook, consulta [Aggiornamento di un'istanza del notebook](nbi-update.md).
Puoi anche passare l'ARN di un ruolo di esecuzione alla chiamata API. Ad esempio, utilizzando [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), puoi passare l'ARN del tuo ruolo di esecuzione a uno stimatore. Nell'esempio di codice che segue, creiamo uno stimatore utilizzando il contenitore dell' XGBoostalgoritmo e passiamo l'ARN del ruolo di esecuzione come parametro. Per l'esempio completo su GitHub, consulta [Customer Churn Prediction with. XGBoost](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb)
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
{{execution-role-ARN}},
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Aggiungi autorizzazioni Amazon S3 aggiuntive a un SageMaker ruolo di esecuzione AI
Quando utilizzi una funzionalità di SageMaker intelligenza artificiale con risorse in Amazon S3, come i dati di input, il ruolo di esecuzione specificato nella richiesta (ad esempio`CreateTrainingJob`) viene utilizzato per accedere a tali risorse.
Se colleghi la policy gestita IAM, `AmazonSageMakerFullAccess`, a un ruolo di esecuzione, tale ruolo è autorizzato a eseguire determinate azioni Amazon S3 su bucket o oggetti con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` nel nome. È inoltre autorizzato a eseguire le seguenti azioni su qualsiasi risorsa Amazon S3:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Per dare a un ruolo di esecuzione le autorizzazioni per accedere a uno o più bucket specifici in Amazon S3, è possibile collegare una policy simile al seguente ruolo. Questa policy concede a un ruolo IAM l’autorizzazione per eseguire tutte le azioni consentite da `AmazonSageMakerFullAccess`, ma limita l’accesso ai bucket amzn-s3-demo-bucket1 e amzn-s3-demo-bucket2. Consulta la documentazione di sicurezza per la specifica funzionalità di SageMaker intelligenza artificiale che stai utilizzando per ulteriori informazioni sulle autorizzazioni Amazon S3 richieste per tale funzionalità.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket1/*}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket2/*}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket1}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket2}}"
]
}
]
}
```
------
## Acquisizione del ruolo di esecuzione
Puoi utilizzare la [console SageMaker AI](https://console.aws.amazon.com/sagemaker), l'[SDK Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) o il [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)per recuperare l'ARN e il nome del ruolo di esecuzione associato a SageMaker un dominio, spazio o profilo utente AI.
**Topics**
+ [Acquisizione del ruolo di esecuzione del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Acquisizione del ruolo di esecuzione dello spazio](#sagemaker-roles-get-execution-role-space)
+ [Acquisizione del ruolo di esecuzione dell’utente](#sagemaker-roles-get-execution-role-user)
### Acquisizione del ruolo di esecuzione del dominio
Di seguito vengono fornite istruzioni su come trovare il ruolo di esecuzione del dominio.
#### Acquisizione del ruolo di esecuzione del dominio (console)
**Trova il ruolo di esecuzione collegato al tuo dominio**
1. Apri la console AI, SageMaker [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Impostazioni del dominio**.
1. Nella sezione **Impostazioni generali**, l’ARN del ruolo di esecuzione è elencato in **Ruolo di esecuzione**.
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
### Acquisizione del ruolo di esecuzione dello spazio
Di seguito vengono fornite istruzioni su come trovare il ruolo di esecuzione dello spazio.
#### Acquisizione del ruolo di esecuzione dello spazio (console)
**Trova il ruolo di esecuzione collegato al tuo spazio**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Gestione dello spazio**.
1. Nella sezione **Dettagli**, l’ARN del ruolo di esecuzione è elencato in **Ruolo di esecuzione**.
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
#### Acquisizione del ruolo di esecuzione dello spazio (SDK per Python)
**Nota**
Il codice seguente è pensato per essere eseguito in un ambiente di SageMaker intelligenza artificiale, come qualsiasi altro IDEs in Amazon SageMaker Studio. Riceverai un errore se esegui `get_execution_role` al di fuori di un ambiente SageMaker AI.
Il seguente comando [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK recupera](https://sagemaker.readthedocs.io/en/stable) l'ARN del ruolo di esecuzione associato allo spazio.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
### Acquisizione del ruolo di esecuzione dell’utente
Di seguito vengono fornite istruzioni su come trovare il ruolo di esecuzione di un utente.
#### Acquisizione del ruolo di esecuzione dell’utente (console)
**Cerca il ruolo di esecuzione collegato a un utente**
1. Apri la console AI, SageMaker [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Profili utente**.
1. Scegli il link che corrisponde al tuo utente.
1. Nella sezione **Dettagli**, l’ARN del ruolo di esecuzione è elencato in **Ruolo di esecuzione**.
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
#### Acquisizione del ruolo di esecuzione dello spazio (AWS CLI)
**Nota**
Per utilizzare i seguenti esempi, è necessario che AWS Command Line Interface (AWS CLI) sia installato e configurato. Per informazioni, consulta [Nozioni di base sulla AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) nella *Guida per l’utente di AWS Command Line Interface per la versione 2*.
Il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI seguente visualizza informazioni sull’identità IAM utilizzata per autenticare la richiesta. Il chiamante è un utente IAM.
```
aws sts get-caller-identity
```
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
## Modifica del ruolo di esecuzione
Un ruolo di esecuzione è un ruolo IAM assunto da un'identità SageMaker AI (come un utente, uno spazio o un dominio SageMaker AI). La modifica del ruolo IAM altera le autorizzazioni per tutte le identità che assumono quel ruolo.
Quando modifichi un ruolo di esecuzione, cambia anche il ruolo di esecuzione dello spazio corrispondente. Gli effetti della modifica potrebbero essere visibili solo dopo un po’ di tempo.
+ Quando modifichi il *ruolo di esecuzione di un utente*, gli *spazi privati* creati dall’utente assumeranno il ruolo di esecuzione modificato.
+ Quando modifichi il *ruolo di esecuzione predefinito di uno spazio*, gli *spazi condivisi* nel dominio assumeranno il ruolo di esecuzione modificato.
Per ulteriori informazioni sugli spazi e sui ruoli di esecuzione, consulta [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md).
Puoi sostituire il ruolo di esecuzione per un’identità con un ruolo IAM diverso utilizzando una delle istruzioni seguenti.
Se invece vuoi *modificare* un ruolo assunto da un’identità, consulta [Modifica delle autorizzazioni per il ruolo di esecuzione](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Modifica del ruolo di esecuzione predefinito del dominio](#sagemaker-roles-change-execution-role-domain)
+ [Modifica del ruolo di esecuzione predefinito dello spazio](#sagemaker-roles-change-execution-role-space)
+ [Modifica del ruolo di esecuzione del profilo utente](#sagemaker-roles-change-execution-role-user)
### Modifica del ruolo di esecuzione predefinito del dominio
Di seguito vengono fornite istruzioni su come cambiare il ruolo di esecuzione predefinito del dominio.
#### Modifica del ruolo di esecuzione predefinito del dominio (console)
**Modifica il ruolo di esecuzione predefinito collegato al tuo dominio**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Impostazioni del dominio**.
1. Nella sezione **Impostazioni generali**, scegli **Modifica**.
1. Nella sezione **Autorizzazioni**, in **Ruolo di esecuzione predefinito**, espandi l’elenco a discesa.
1. Nell’elenco a discesa puoi scegliere un ruolo esistente, inserire un ARN personalizzato per il ruolo IAM o creare un nuovo ruolo.
Per creare un nuovo ruolo, puoi scegliere **Crea un ruolo utilizzando la procedura guidata per la creazione del ruolo**.
1. Scegli Avanti nelle fasi seguenti e seleziona Invia nell’ultima fase.
### Modifica del ruolo di esecuzione predefinito dello spazio
Di seguito vengono fornite istruzioni su come cambiare il ruolo di esecuzione predefinito dello spazio. La modifica di questo ruolo di esecuzione cambierà il ruolo assunto da tutti gli spazi condivisi nel dominio.
#### Modifica del ruolo di esecuzione predefinito dello spazio (console)
**Modifica il ruolo di esecuzione predefinito dello spazio quando crei un nuovo spazio**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Impostazioni del dominio**.
1. Nella sezione **Impostazioni generali**, scegli **Modifica**.
1. Nella sezione **Autorizzazioni**, in **Ruolo di esecuzione predefinito dello spazio**, espandi l’elenco a discesa.
1. Nell’elenco a discesa puoi scegliere un ruolo esistente, inserire un ARN personalizzato per il ruolo IAM o creare un nuovo ruolo.
Per creare un nuovo ruolo, puoi scegliere **Crea un ruolo utilizzando la procedura guidata per la creazione del ruolo**.
1. Scegli **Avanti** nelle fasi seguenti e seleziona **Invia** nell’ultima fase.
### Modifica del ruolo di esecuzione del profilo utente
Di seguito vengono fornite istruzioni su come cambiare il ruolo di esecuzione di un utente. La modifica di questo ruolo di esecuzione cambierà il ruolo assunto da tutti gli spazi privati creati da questo utente.
#### Modifica del ruolo di esecuzione del profilo utente (console)
**Modifica il ruolo di esecuzione collegato a un utente**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Profili utente**.
1. Scegli il link che corrisponde al nome del profilo utente.
1. Scegli **Modifica**.
1. Nell’elenco a discesa puoi scegliere un ruolo esistente, inserire un ARN personalizzato per il ruolo IAM o creare un nuovo ruolo.
Per creare un nuovo ruolo, puoi scegliere **Crea un ruolo utilizzando la procedura guidata per la creazione del ruolo**.
1. Scegli **Avanti** nelle fasi seguenti e seleziona **Invia** nell’ultima fase.
## Modifica delle autorizzazioni per il ruolo di esecuzione
Puoi modificare le autorizzazioni esistenti per il ruolo di esecuzione di un'identità (ad esempio un utente, uno spazio o un dominio SageMaker AI). Per farlo, individua e modifica il ruolo IAM appropriato che l’identità sta assumendo. Di seguito vengono fornite le istruzioni per eseguire questa operazione tramite la console.
Quando modifichi un ruolo di esecuzione, cambierà anche il ruolo di esecuzione dello spazio corrispondente. Gli effetti della modifica potrebbero non essere immediati.
+ Quando modifichi il *ruolo di esecuzione di un utente*, gli *spazi privati* creati dall’utente assumeranno il ruolo di esecuzione modificato.
+ Quando modifichi il *ruolo di esecuzione predefinito di uno spazio*, gli *spazi condivisi* nel dominio assumeranno il ruolo di esecuzione modificato.
Per ulteriori informazioni sugli spazi e sui ruoli di esecuzione, consulta [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md).
Invece, per *cambiare* un ruolo assunto da un’identità, consulta [Modifica del ruolo di esecuzione](#sagemaker-roles-change-execution-role).
### Modifica delle autorizzazioni per il ruolo di esecuzione (console)
**Per modificare le autorizzazioni per i ruoli di esecuzione**
1. Prima di tutto, ottieni il nome dell’identità da modificare.
+ [Acquisizione del ruolo di esecuzione del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Acquisizione del ruolo di esecuzione dello spazio](#sagemaker-roles-get-execution-role-space)
+ [Acquisizione del ruolo di esecuzione dell’utente](#sagemaker-roles-get-execution-role-user)
1. Per modificare un ruolo assunto da un’identità, consulta [Modifying a role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) in *AWS Identity and Access Management User Guide*.
Per ulteriori informazioni e istruzioni su come aggiungere le autorizzazioni alle identità IAM, consulta [Add or remove identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) in *AWS Identity and Access Management User Guide*.
## Passaggio dei ruoli
Azioni come il passaggio di un ruolo tra i servizi sono una funzione comune all'interno dell' SageMaker IA. Puoi trovare maggiori dettagli su [azioni, risorse e chiavi di condizione per l' SageMaker intelligenza artificiale](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) nel *Service Authorization Reference*.
Il ruolo viene passato (`iam:PassRole`) quando effettui le chiamate API seguenti: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) e [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Al ruolo IAM si allega la seguente politica di fiducia, che concede all' SageMaker IA le autorizzazioni principali per assumere il ruolo ed è la stessa per tutti i ruoli di esecuzione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Le autorizzazioni che hai bisogno di concedere al ruolo variano a seconda dell'API che chiami. Le seguenti sezioni spiegano queste autorizzazioni.
**Nota**
Invece di gestire le autorizzazioni creando una politica di autorizzazione, puoi utilizzare la politica di autorizzazione -managed. AWS`AmazonSageMakerFullAccess` Le autorizzazioni contenute in questa politica sono abbastanza ampie, per consentire qualsiasi azione che potresti voler eseguire nell'intelligenza artificiale. SageMaker Per un elenco delle policy, incluse le informazioni sui motivi per l'aggiunta di molte autorizzazioni, consulta [AWS politica gestita: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Se si preferiscono creare policy personalizzate e gestire le autorizzazioni per limitarle alle sole azioni necessarie da eseguire con il ruolo di esecuzione, consultare i seguenti argomenti.
**Importante**
Se riscontri problemi, consulta [Risoluzione dei problemi di Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) in *Informazioni di riferimento sull’autorizzazione del servizio*.
**Topics**
+ [Crea ruolo di esecuzione](#sagemaker-roles-create-execution-role)
+ [Acquisizione del ruolo di esecuzione](#sagemaker-roles-get-execution-role)
+ [Modifica del ruolo di esecuzione](#sagemaker-roles-change-execution-role)
+ [Modifica delle autorizzazioni per il ruolo di esecuzione](#sagemaker-roles-modify-to-execution-role)
+ [Passaggio dei ruoli](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob e API CreateAuto MLJob V2: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createdomain-perms)
+ [CreateImage e UpdateImage APIs: Autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createmodel-perms)
+ [SageMaker funzionalità geospaziali, ruoli](sagemaker-geospatial-roles.md)
## CreateAutoMLJob e API CreateAuto MLJob V2: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateAutoMLJob` o `CreateAutoMLJobV2`, puoi collegare la policy di autorizzazione minima seguente al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Se specifichi un VPC privato per il tuo processo AutoML, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output del processo AutoML, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa del processo AutoML, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: autorizzazioni per i ruoli di esecuzione
Il ruolo di esecuzione per i domini con IAM Identity Center e il user/execution ruolo per i domini IAM richiedono le seguenti autorizzazioni quando si passa una chiave gestita AWS KMS dal cliente come `KmsKeyId` nella richiesta API. `CreateDomain` Le autorizzazioni vengono applicate durante la chiamata API `CreateApp`.
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateDomain`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
}
]
}
```
------
In alternativa, se le autorizzazioni sono specificate in una policy KMS, puoi collegare la seguente policy al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{ExecutionRole}}"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage e UpdateImage APIs: Autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateImage` o `UpdateImage`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: autorizzazioni per i ruoli di esecuzione
Le autorizzazioni che concedi al ruolo di esecuzione per la chiamata dell'API `CreateNotebookInstance` dipendono da ciò che intendi fare con l'istanza del notebook. Se prevedi di utilizzarlo per richiamare l' SageMaker intelligenza artificiale APIs e assegnare lo stesso ruolo quando chiami `CreateTrainingJob` e `CreateModel` APIs, allega al ruolo la seguente politica di autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Per ridurre le autorizzazioni, limitale a specifiche risorse Amazon S3 e Amazon ECR, limitando `"Resource": "*"`, come segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object1}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}",
"arn:aws:s3:::{{inputbucket}}/{{object2}}",
"arn:aws:s3:::{{inputbucket}}/{{object3}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo1}}",
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo2}}",
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo3}}"
]
}
]
}
```
------
Se si prevede di accedere ad altre risorse, come Amazon DynamoDB o Amazon Relational Database Service, aggiungere le relative autorizzazioni a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` nel bucket specifico da te specificato come `InputDataConfig.DataSource.S3DataSource.S3Uri` in una richiesta `CreateTrainingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject `, `s3:PutObject`e `s3:DeleteObject` come segue:
+ Crea l'ambito dei seguenti valori, da te specificato in una richiesta `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Crea l'ambito dei seguenti valori, da te specificato in una richiesta `CreateModel`:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Crea l'ambito delle autorizzazioni `ecr`, come segue:
+ Crea l'ambito del valore `AlgorithmSpecification.TrainingImage` da te specificato in una richiesta `CreateTrainingJob`.
+ Crea l'ambito del valore `PrimaryContainer.Image` da te specificato in una richiesta `CreateModel`:
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\*". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
## CreateHyperParameterTuningJob API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateHyperParameterTuningJob`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare`"Resource": "*"`, puoi assegnare queste autorizzazioni a risorse specifiche di Amazon S3, Amazon ECR CloudWatch e Amazon Logs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:{{us-east-1}}:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Se il container di addestramento associato al processo di regolazione degli iperparametri deve accedere ad altre origini dati, ad esempio a risorse DynamoDB o Amazon RDS, aggiungi le autorizzazioni rilevanti a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` in un bucket specifico da te specificato come `InputDataConfig.DataSource.S3DataSource.S3Uri` in una richiesta `CreateTrainingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject `e `s3:PutObject` nei seguenti oggetti specificati nella configurazione di dati in entrata e in uscita in una richiesta `CreateHyperParameterTuningJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Crea l'ambito delle autorizzazioni Amazon ECR nel percorso di registro (`AlgorithmSpecification.TrainingImage`) da te specificato in una richiesta `CreateHyperParameterTuningJob`.
+ Valuta le autorizzazioni di Amazon CloudWatch Logs per registrare gruppi di lavori di SageMaker formazione.
Le azioni `cloudwatch` sono applicabili per le risorse "\*". Per ulteriori informazioni, consulta [ CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) nella Amazon CloudWatch User Guide.
Se specifichi un VPC privato per il tuo processo di ottimizzazione degli iperparametri, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output del processo di ottimizzazione iperparametri, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa del processo di ottimizzazione iperparametri, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateProcessingJob`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare `"Resource": "*"`, puoi creare l'ambito delle autorizzazioni nelle risorse specifiche Amazon S3 e Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
}
]
}
```
------
Se `CreateProcessingJob.AppSpecification.ImageUri` deve accedere ad altre origini dati, ad esempio le risorse DynamoDB o Amazon RDS, aggiungi autorizzazioni pertinenti a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` in un bucket specifico da te specificato come `ProcessingInputs` in una richiesta `CreateProcessingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject ` e `s3:PutObject` agli oggetti che verranno scaricati o caricati in `ProcessingInputs` e `ProcessingOutputConfig` in una richiesta `CreateProcessingJob`.
+ Crea l'ambito delle autorizzazioni Amazon ECR nel percorso di registro (`AppSpecification.ImageUri`) da te specificato in una richiesta `CreateProcessingJob`.
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\*". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
Se specifichi un VPC privato per il processo di elaborazione, aggiungi le seguenti autorizzazioni. Non definire l'ambito della policy con condizioni o filtri delle risorse. In caso contrario, i controlli di convalida effettuati durante la creazione del processo di elaborazione avranno esito negativo.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output dell'attività di elaborazione, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa dell'attività di elaborazione, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateTrainingJob`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare `"Resource": "*"`, puoi creare l'ambito delle autorizzazioni nelle risorse specifiche Amazon S3 e Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
}
]
}
```
------
Se `CreateTrainingJob.AlgorithSpecifications.TrainingImage` deve accedere ad altre origini dati, ad esempio le risorse DynamoDB o Amazon RDS, aggiungi autorizzazioni pertinenti a questa policy.
Se si specifica una risorsa algoritmica utilizzando il `AlgorithmSpecification.AlgorithmArn` parametro, il ruolo di esecuzione deve disporre anche della seguente autorizzazione:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` in un bucket specifico da te specificato come `InputDataConfig.DataSource.S3DataSource.S3Uri` in una richiesta `CreateTrainingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject `e `s3:PutObject` nei seguenti oggetti specificati nella configurazione di dati in entrata e in uscita in una richiesta `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Crea l'ambito delle autorizzazioni Amazon ECR nel percorso di registro (`AlgorithmSpecification.TrainingImage`) da te specificato in una richiesta `CreateTrainingJob`.
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\*". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
Se specifichi un VPC privato per il tuo processo di addestramento, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output del processo di addestramento, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa del processo di addestramento, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateModel`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare `"Resource": "*"`, puoi creare l'ambito delle autorizzazioni nelle risorse specifiche Amazon S3 e Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}",
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
]
}
]
}
```
------
Se `CreateModel.PrimaryContainer.Image` deve accedere ad altre origini dati, ad esempio le risorse Amazon DynamoDB o Amazon RDS, aggiungi autorizzazioni pertinenti a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito delle autorizzazioni S3 negli oggetti `PrimaryContainer.ModelDataUrl` in una richiesta [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
+ Crea l'ambito delle autorizzazioni ECR in un percorso di registro specifico da te specificato come `PrimaryContainer.Image` e `SecondaryContainer.Image` in una richiesta `CreateModel`.
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\*". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
**Nota**
Se prevedi di utilizzare la [funzionalità SageMaker AI Deployment Guardrails](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) per l'implementazione del modello in produzione, assicurati che il tuo ruolo di esecuzione sia autorizzato a eseguire l'`cloudwatch:DescribeAlarms`azione sugli allarmi di rollback automatico.
Se specifichi un VPC privato per il tuo modello, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```