권한 - AWS IoT 분석

지원 종료 알림: 2025년 12월 15일에 AWS 에 대한 지원이 종료됩니다 AWS IoT 분석. 2025년 12월 15일 이후에는 AWS IoT 분석 콘솔 또는 AWS IoT 분석 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 AWS IoT 분석 지원 종료를 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

권한

두 가지 역할을 생성해야 합니다. 한 역할은 노트북을 컨테이너화하기 위해 SageMaker AI 인스턴스를 시작할 수 있는 권한을 부여합니다. 컨테이너 실행에 또 다른 역할이 필요합니다.

첫 번째 역할을 자동 또는 수동으로 생성할 수 있습니다. AWS IoT 분석 콘솔을 사용하여 새 SageMaker AI 인스턴스를 생성하는 경우 SageMaker AI 인스턴스를 실행하고 노트북을 컨테이너화하는 데 필요한 모든 권한을 부여하는 새 역할을 자동으로 생성할 수 있는 옵션이 제공됩니다. 또는 수동으로 이런 권한을 가진 역할을 생성할 수도 있습니다. 이렇게 하려면 AmazonSageMakerFullAccess 정책이 연결된 역할을 생성한 후 다음 정책을 추가합니다.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:BatchDeleteImage",
        "ecr:BatchGetImage",
        "ecr:CompleteLayerUpload",
        "ecr:CreateRepository",
        "ecr:DescribeRepositories",
        "ecr:GetAuthorizationToken",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:*:*:iotanalytics-notebook-containers/*"
    }
  ]
}

수동으로 컨테이너를 실행시킬 권한을 부여하는 두 번째 역할을 생성해야 합니다. AWS IoT 분석 콘솔을 사용하여 첫 번째 역할을 자동으로 생성했더라도이 작업을 수행해야 합니다. 다음 정책과 신뢰 정책이 연결된 역할을 생성합니다.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:*:*:aws-*-dataset-*/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotanalytics:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
    ]
}

다음은 신뢰 정책 예시입니다.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": ["sagemaker.amazonaws.com", "iotanalytics.amazonaws.com"]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}