本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Studio 设置策略和权限
在安排首次运行笔记本之前,您需要安装适当的策略和权限。以下是设置以下权限的说明:
-
作业执行角色信任关系
-
附加到作业执行角色的其他 IAM 权限
-
(可选)使用自定义 KMS 密钥的 AWS KMS 权限策略
重要
如果您的 AWS 账户属于具有服务控制策略 (SCP) 的组织,则您的有效权限是您的 IAM 角色和用户策略所允许的内容 SCPs 和允许的权限之间的逻辑交叉点。例如,如果您组织的 SCP 规定您只能访问 us-east-1
和 us-west-1
中的资源,而您的策略仅允许访问 us-west-1
和 us-west-2
中的资源,那么最终您只能访问 us-west-1
中的资源。如果您想行使角色和用户策略中允许的所有权限,则您的组织 SCPs 应授予与您自己的 IAM 用户和角色策略相同的权限集。有关如何确定允许的请求的详细信息,请参阅确定是允许还是拒绝账户内的请求。
信任关系
要修改信任关系,请完成以下步骤:
-
打开 IAM 管理控制台
。 -
在左侧面板中选择角色。
-
找到笔记本作业的作业执行角色并选择角色名称。
-
选择信任关系选项卡。
-
选择编辑信任策略。
-
复制并粘贴以下策略:
-
选择更新策略。
其他 IAM 权限
在以下情况下,您可能需要包括其他 IAM 权限:
-
您的 Studio 执行角色和笔记本作业角色不同
-
您需要通过 S3 VPC 端点访问 Amazon S3 资源
-
您想使用自定义 KMS 密钥来加密输入和输出 Amazon S3 存储桶
以下讨论提供了每种情况所需的策略。
如果您的 Studio 执行角色和笔记本作业角色不同,则需要相应权限
以下 JSON 代码片段是一个示例策略,如果不将 Studio 执行角色用作笔记本作业角色,则应将其添加到 Studio 执行角色和笔记本作业角色中。如果需要进一步限制权限,请查看并修改此策略。
通过 S3 VPC 端点访问 Amazon S3 资源所需的权限
如果您在私有 VPC 模式下运行 SageMaker Studio 并通过 S3 VPC 终端节点访问 S3,则可以向 VPC 终端节点策略添加权限以控制可通过 VPC 终端节点访问哪些 S3 资源。将以下权限添加到 VPC 端点策略。如果需要进一步限制权限,则可以修改策略,例如可以为 Principal
字段提供更严格的规范。
{ "Sid": "S3DriverAccess", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*" }
有关如何设置 S3 VPC 端点策略的详细信息,请参阅编辑 VPC 端点策略。
使用自定义 KMS 密钥时所需的权限(可选)
默认情况下,输入和输出 Amazon S3 存储桶使用服务器端加密进行加密,但您可以指定自定义 KMS 密钥来加密输出 Amazon S3 存储桶和附加到笔记本作业的存储卷中的数据。
如果您想使用自定义 KMS 密钥,请附加以下策略并提供您自己的 KMS 密钥 ARN。