将 Connect Studio JupyterLab 笔记本电脑与包含培训和处理任务的 Amazon S3 访问权限授予 - 亚马逊 SageMaker AI
注意事项设置包含培训和处理任务的 Amazon S3 访问授权

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Connect Studio JupyterLab 笔记本电脑与包含培训和处理任务的 Amazon S3 访问权限授予

使用以下信息授予 Amazon S3 访问权限,以访问 SageMaker AI 训练和 A SageMaker I 处理任务中的数据。

当启用了可信身份传播的用户启动需要访问 Amazon S3 数据的 A SageMaker I 训练或处理任务时:

  • SageMaker AI 调用 Amazon S3 访问授权,以根据用户的身份获取临时证书

  • 如果成功,这些临时证书将访问 Amazon S3 数据

  • 如果不成功, SageMaker AI 会重新使用 IAM 角色证书

注意

要强制所有权限都是通过 Amazon S3 访问授权授予的,您需要删除您的执行角色的相关的 Amazon S3 访问权限,并将其附加到相应的 Amazon S3 访问权限授予中。

注意事项

Amazon S3 访问授权不能与 Pipe 模式一起使用,用于 SageMaker 人工智能训练和处理 Amazon S3 输入。

启用可信身份传播后,您无法启动具有以下功能的 A SageMaker I Training Job

  • 远程调试

  • 调试器

  • Profiler

启用可信身份传播后,您无法启动具有以下功能的 A SageMaker I Processing Job

  • DatasetDefinition

设置包含培训和处理任务的 Amazon S3 访问授权

设置 Amazon S3 访问授权后,向您的域或用户执行角色添加以下权限

  • us-east-1是你的 AWS 区域

  • 111122223333是你的 AWS 账户 身份证

  • S3-ACCESS-GRANT-ROLE是你的 Amazon S3 访问权限授予角色

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}