Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento - SageMaker Inteligência Artificial da Amazon
ConsideraçõesConfigure o Amazon S3 Access Grants com trabalhos de treinamento e processamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte os JupyterLab notebooks do Connect Studio às concessões de acesso do Amazon S3 com trabalhos de treinamento e processamento

Use as informações a seguir para conceder ao Amazon S3 Access Grants para acessar dados em trabalhos de treinamento de SageMaker IA e processamento de SageMaker IA.

Quando um usuário com propagação de identidade confiável habilitada inicia um trabalho de treinamento ou processamento de SageMaker IA que precisa acessar os dados do Amazon S3:

  • SageMaker A IA chama o Amazon S3 Access Grants para obter credenciais temporárias com base na identidade do usuário

  • Se forem bem-sucedidas, essas credenciais temporárias acessam os dados do Amazon S3

  • Se não for bem-sucedida, a SageMaker IA volta a usar as credenciais da função do IAM

nota

Para garantir que todas as permissões sejam concedidas por meio do Amazon S3 Access Grants, você precisará remover a permissão de acesso relacionada ao Amazon S3 da sua função de execução e anexá-la à sua concessão de acesso ao Amazon S3 correspondente.

Considerações

Os Amazon S3 Access Grants não podem ser usados com o modo Pipe tanto para treinamento de SageMaker IA quanto para processamento de entradas do Amazon S3.

Quando a propagação de identidade confiável está habilitada, você não pode iniciar um SageMaker AI Training Job com o seguinte recurso

  • Depuração remota

  • Debugger

  • Profiler

Quando a propagação de identidade confiável está ativada, você não pode iniciar um SageMaker AI Processing Job com o seguinte recurso

  • DatasetDefinition

Configure o Amazon S3 Access Grants com trabalhos de treinamento e processamento

Depois que o Amazon S3 Access Grants for configurado, adicione as seguintes permissões ao seu domínio ou função de execução de usuário.

  • us-east-1é seu Região da AWS

  • 111122223333é o seu Conta da AWS ID

  • S3-ACCESS-GRANT-ROLEé sua função de concessão de acesso ao Amazon S3

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}