設定 Studio 的政策和許可 - Amazon SageMaker AI
其他 IAM 許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Studio 的政策和許可

您必須先安裝適當的政策和許可,才能排程您的第一個筆記本執行。以下提供設定下列許可的說明:

  • 工作執行角色信任關係

  • 連接至任務執行角色的其他 IAM 許可

  • (選用) 使用自訂 KMS 金鑰的 AWS KMS 許可政策

重要

如果 AWS 您的帳戶屬於具有服務控制政策 (SCP) 的組織,則您的有效許可是 SCPs 允許的內容與您的 IAM 角色和使用者政策允許的內容之間的邏輯交集。例如,如果您組織的 SCP 指定您只能存取 us-east-1us-west-1 中的資源,而您的政策僅允許您存取 us-west-1us-west-2 中的資源,則最終您只能存取 us-west-1 中的資源。如果您想要行使您的角色和使用者政策中允許的所有權限,則組織的 SCP 應該授予與您自己的 IAM 使用者和角色政策相同的一組許可。如需與如何判斷請求是否得到允許相關的詳細資訊,請參閱確定帳戶內是否允許或拒絕請求

信任關係

若要修改信任關係,請完成下列步驟:

  1. 開啟 IAM 主控台

  2. 在左側面板中,選取角色

  3. 尋找筆記本工作的工作執行角色,並選擇角色名稱。

  4. 選擇信任關係標籤。

  5. 選擇編輯信任政策

  6. 複製並貼上下方政策:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sagemaker.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "events.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  7. 選擇更新政策

其他 IAM 許可

在下列情況下,您可能需要包含額外的 IAM 許可:

  • 您的 Studio 執行與筆記本工作角色不同

  • 您需要透過 S3 VPC 端點存取 Amazon S3 資源

  • 您想要使用自訂 KMS 金鑰來加密 Amazon S3 儲存貯體輸入和輸出

以下討論內容提供了每個案例所需的政策。

您的 Studio 執行與筆記本工作角色不同時需要的許可

下列 JSON 程式碼片段是一個範例政策,如果您不使用 Studio 執行角色作為筆記本工作角色,則應該將其新增至 Studio 執行和筆記本工作角色。如果您需要進一步限制許可,請檢閱並修改此政策。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

透過 S3 VPC 端點存取 Amazon S3 資源所需的許可

如果您在私有虛擬私人雲端模式下執行 SageMaker Studio,並透過 S3 VPC 私人雲端端點存取 S3,則可以向 VPC 端點政策新增許可,以控制哪些 S3 資源可透過 VPC 端點存取。將下列許可新增至您的 VPC 端點政策。如果您需要進一步限制許可,可以修改政策,例如,您可以為 Principal 欄位提供更狹窄的規格。

{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

如需有關如何設定 S3 VPC 端點政策的詳細資訊,請參閱編輯 VPC 端點政策

使用自訂 KMS 金鑰所需的許可 (可選)

根據預設,輸入和輸出 Amazon S3 儲存貯體使用伺服器端加密,但您可以指定自訂 KMS 金鑰來對輸出 Amazon S3 儲存貯體中的資料,以及連接到筆記本任務的儲存磁碟區進行加密。

如果您想要使用自訂 KMS 金鑰,請連接下列政策並提供您自己的 KMS 金鑰 ARN。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Action":[
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant"
         ],
         "Resource":"your_KMS_key_ARN"
      }
   ]
}