Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per Amazon SageMaker HyperPod
Le seguenti politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker HyperPod. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console di SageMaker intelligenza artificiale o dal ruolo collegato al HyperPod servizio.
**Topics**
+ [AWS politica gestita: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS politica gestita: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS politica gestita: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS politica gestita: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche SageMaker HyperPod gestite](#security-iam-awsmanpol-hyperpod-updates)
# AWS politica gestita: AmazonSageMakerHyperPodTrainingOperatorAccess
Questa politica fornisce le autorizzazioni amministrative necessarie per configurare l'operatore di formazione. SageMaker HyperPod Consente l'accesso ai SageMaker HyperPod componenti aggiuntivi di Amazon EKS. La policy include le autorizzazioni per descrivere SageMaker HyperPod le risorse del tuo account.
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker:DescribeClusterNode`- Consente agli utenti di restituire informazioni su un HyperPod cluster.
Per visualizzare le autorizzazioni per questa politica, consulta [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)il AWS Managed Policy Reference.
# AWS politica gestita: AmazonSageMakerHyperPodObservabilityAdminAccess
Questa politica fornisce i privilegi amministrativi necessari per configurare l' SageMaker HyperPodosservabilità di Amazon. Concede l’accesso ai componenti aggiuntivi Servizio gestito da Amazon per Prometheus, Grafana gestito da Amazon e Amazon Elastic Kubernetes Service. La policy include anche un ampio accesso a Grafana HTTP APIs ServiceAccountTokens attraverso tutte le aree di lavoro Amazon Managed Grafana del tuo account.
**Dettagli dell’autorizzazione**
L’elenco seguente fornisce una panoramica delle autorizzazioni incluse in questa policy.
+ `prometheus`: crea e gestisce spazi di lavoro e gruppi di regole del Servizio gestito da Amazon per Prometheus
+ `grafana`: crea e gestisce spazi di lavoro e account di servizio di Grafana gestito da Amazon
+ `eks`: crea e gestisce il componente aggiuntivo `amazon-sagemaker-hyperpod-observability` di Amazon EKS
+ `iam`: passa ruoli di servizio IAM specifici a Grafana gestito da Amazon e Amazon EKS
+ `sagemaker`— Elenca e descrive i cluster SageMaker HyperPod
+ `sso`: crea e gestisce le istanze dell’applicazione Centro identità IAM per la configurazione di Grafana gestito da Amazon
+ `tag`: tagga le risorse dei componenti aggiuntivi Servizio gestito da Amazon per Prometheus, Grafana gestito da Amazon e Amazon EKS
Per visualizzare la policy JSON, vedere. [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)
# AWS politica gestita: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crea e utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForSageMakerHyperPod` con l'`AmazonSageMakerHyperPodServiceRolePolicy`allegato al ruolo. Questa politica concede SageMaker HyperPod le autorizzazioni di Amazon per AWS servizi correlati come Amazon EKS e Amazon. CloudWatch
Il ruolo collegato al servizio semplifica la configurazione SageMaker HyperPod perché non è necessario aggiungere manualmente le autorizzazioni necessarie. SageMaker HyperPod definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. SageMaker HyperPod Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi SageMaker HyperPod le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
`AmazonSageMakerHyperPodServiceRolePolicy`Consente di SageMaker HyperPod completare le seguenti azioni sulle risorse specificate per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy di ruolo collegata al servizio include le autorizzazioni seguenti.
+ `eks`: consente ai principali di leggere le informazioni sul cluster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Consente ai responsabili di pubblicare i flussi di CloudWatch log di Amazon su. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per SageMaker HyperPod
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un SageMaker HyperPod cluster utilizzando la console SageMaker AI, o il AWS CLI AWS SDKs, SageMaker HyperPod crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio ma devi crearlo di nuovo, puoi utilizzare lo stesso processo (creare un nuovo SageMaker HyperPod cluster) per ricreare il ruolo nel tuo account.
## Modifica di un ruolo collegato al servizio per SageMaker HyperPod
SageMaker HyperPod non consente di modificare il ruolo collegato al `AWSServiceRoleForSageMakerHyperPod` servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per SageMaker HyperPod
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Per eliminare le risorse SageMaker HyperPod del cluster utilizzando il ruolo collegato al servizio**
Utilizza una delle seguenti opzioni per eliminare le risorse SageMaker HyperPod del cluster.
+ [Elimina un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) utilizzando la console SageMaker AI
+ [Eliminare un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) utilizzando il AWS CLI
**Nota**
Se il SageMaker HyperPod servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo `AWSServiceRoleForSageMakerHyperPod` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi SageMaker HyperPod
SageMaker HyperPod supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, vedere [Prerequisiti per](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS politica gestita: AmazonSageMakerClusterInstanceRolePolicy
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon. SageMaker HyperPod
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `cloudwatch`— Consente ai mandanti di pubblicare le CloudWatch metriche di Amazon.
+ `logs`— Consente ai mandanti di pubblicare CloudWatch flussi di log.
+ `s3`: consente ai principali di elencare e recuperare i file di script del ciclo di vita da un bucket Amazon S3 nell’account. Questi bucket sono limitati a quelli il cui nome inizia con “sagemaker-”.
+ `ssmmessages`: consente ai principali di aprire una connessione a AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche SageMaker HyperPod gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite SageMaker HyperPod da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md): nuova policy | 1 | Policy iniziale | 22 agosto 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): policy aggiornata | 2 | È stata aggiornata la policy per limitare l’ambito di applicazione del ruolo per includere il prefisso `service-role`. Sono state inoltre aggiunte le autorizzazioni necessarie per `eks:DeletePodIdentityAssociation` `eks:UpdatePodIdentityAssociation` end-to-end le azioni amministrative. | 19 agosto 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): nuova policy | 1 | Policy iniziale | 10 luglio 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md): nuova policy | 1 | Policy iniziale | 9 settembre 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md): nuova policy | 1 | Policy iniziale | 29 novembre 2023 |