Políticas gerenciadas Permissões individuais

IAM para planos SageMaker de treinamento

SageMaker os planos de treinamento exigem permissões específicas para duas funções distintas:

Perfil de criador do plano: os usuários atribuídos ao perfil de criador do plano precisam de permissões para pesquisar ofertas de plano de treinamento e criar, listar e descrever planos de treinamento.
Função de usuário do plano: os usuários com a função de usuário do plano precisam de permissões para usar planos de SageMaker treinamento em trabalhos de treinamento ou ao criar e atualizar SageMaker HyperPod clusters.

Antes de usar os planos de SageMaker treinamento, atualize as permissões com base no seu método de acesso:

Para Console de gerenciamento da AWS nossos SageMaker SDKs usuários: atualize as permissões da função do IAM configurada para o usuário do console ou da API.
Para AWS CLI usuários: certifique-se de que seu AWS CLI perfil esteja configurado corretamente com as credenciais e permissões apropriadas.
Para usuários do aplicativo Studio JupyterLab, como, defina permissões na função de execução associada ao espaço usado pelo aplicativo.

Você pode definir essas permissões usando uma política gerenciada ou permissões individuais mais granulares.

Para ter informações sobre como atualizar a política de permissões para um perfil, consulte Atualizar permissões para um perfil. Para ter mais informações sobre como encontrar e atualizar um perfil de execução, consulte Obtenha um perfil de execução.

nota

Os administradores devem considerar cuidadosamente quais usuários precisam criar planos de treinamento e atribuir permissões adequadamente.

Políticas gerenciadas

Para criadores de plano: AmazonSageMakerTrainingPlanCreateAccess oferece acesso para criar e gerenciar planos de treinamento.
Para usuários de plano: AmazonSageMakerFullAccess inclui as permissões para usar planos de treinamento.

nota

A política AmazonSageMakerFullAccess gerenciada foi projetada como uma ease-of-use política principalmente para fins de experimentação. Embora ofereça amplo acesso aos recursos de SageMaker IA, incluindo o uso de planos de treinamento, é importante observar:
- Não é recomendada para ambientes de produção devido às suas permissões amplas.
- Não inclui permissões para criar planos de treinamento, pois CreateTrainingPlan é considerada uma ação administrativa que exige pagamento adiantado.
- Para casos de uso de produção, é altamente recomendável criar políticas personalizadas que sigam o princípio de privilégio mínimo, que concede somente as permissões específicas necessárias para cada perfil.

Permissões individuais

A lista a seguir detalha as permissões granulares que devem ser definidas nas declarações de política do IAM de uma função, com base nas ações específicas que um usuário precisa realizar com os planos de SageMaker treinamento:

Lista de permissões dos planos de treinamento

SearchTrainingPlanOfferings: essa permissão possibilita que os usuários pesquisem as ofertas de planos de treinamento disponíveis.


{
  "Sid": "SearchTrainingPlanOfferingsPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:SearchTrainingPlanOfferings"
  ],
  "Resource": "*"
}

CreateTrainingPlan: essa permissão possibilita que os usuários criem planos de treinamento.

nota

Você também deve incluir permissões para CreateReservedCapacity e AddTags e especificar os tipos de recurso training-plan e reserved-capacity.


{
  "Sid": "CreateTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:CreateTrainingPlan",
    "sagemaker:CreateReservedCapacity",
    "sagemaker:AddTags"
  ],
  "Resource": [
    "arn:aws:sagemaker:*:*:training-plan/*",
    "arn:aws:sagemaker:*:*:reserved-capacity/*"
  ]
}

DescribeTrainingPlan: essa permissão possibilita que os usuários visualizem detalhes dos planos de treinamento existentes.


{
  "Sid": "DescribeTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:DescribeTrainingPlan"
  ],
  "Resource": [
    "arn:aws:sagemaker:::training-plan/*"
  ]
}

ListTrainingPlans: Essa permissão permite que os usuários listem todos os planos de treinamento em suas AWS contas.


{
  "Sid": "ListTrainingPlansPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:ListTrainingPlans"
  ],
  "Resource": "*"
}

Permissões individuais por tipo de usuário

Esta seção apresenta uma análise detalhada das permissões individuais necessárias para cada perfil, conforme mencionado na seção IAM para planos SageMaker de treinamento.

Para os criadores de plano, as seguintes permissões são necessárias:

sagemaker:SearchTrainingPlanOfferings
sagemaker:CreateTrainingPlan
sagemaker:CreateReservedCapacity
sagemaker:AddTags
sagemaker:DescribeTrainingPlan
sagemaker:ListTrainingPlans

Os usuários de plano precisam das seguintes permissões:

sagemaker:CreateTrainingJob(para SageMaker Training Job)
sagemaker:CreateClustere sagemaker:UpdateCluster (para SageMaker HyperPod)
Acesso aos reserved-capacity recursos training-plan e; ao configurar as políticas do IAM para planos de SageMaker treinamento, inclua permissões para ambos training-plan e para os reserved-capacity recursos. Esses recursos são necessários tanto para trabalhos SageMaker de treinamento quanto para SageMaker HyperPod clusters. Isso permite que suas funções do IAM interajam com os recursos dos planos de SageMaker treinamento e gerenciem a capacidade reservada.
- Para trabalhos SageMaker de treinamento, certifique-se de que sua política inclua o "arn:aws:sagemaker:::reserved-capacity/" recurso "arn:aws:sagemaker:::training-plan/" ARNs e.

Da mesma forma, para SageMaker HyperPod configurações, inclua-as ARNs além dos recursos específicos do cluster.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Reserve capacidade com planos SageMaker de treinamento

Criação de planos de treinamento