Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Wie verwendet man SageMaker AI-Ausführungsrollen
Amazon SageMaker AI führt Operationen in Ihrem Namen mithilfe anderer AWS Dienste durch. Sie müssen SageMaker KI Berechtigungen zur Nutzung dieser Dienste und der Ressourcen, auf die sie zurückgreifen, erteilen. Sie gewähren SageMaker KI diese Berechtigungen mithilfe einer AWS Identity and Access Management (IAM-) Ausführungsrolle. Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Verwenden Sie zum Erstellen und Verwenden einer Ausführungsrolle die folgenden Verfahren.
## Erstellen einer Ausführungsrolle
Gehen Sie wie folgt vor, um eine Ausführungsrolle mit der angehängten IAM-verwalteten Richtlinie, `AmazonSageMakerFullAccess`, zu erstellen. Wenn Ihr Anwendungsfall detailliertere Berechtigungen erfordert, verwenden Sie andere Abschnitte auf dieser Seite, um eine Ausführungsrolle zu erstellen, die Ihren Geschäftsanforderungen entspricht. Sie können eine Ausführungsrolle mithilfe der SageMaker AI-Konsole oder der AWS CLI erstellen.
**Wichtig**
Die im folgenden Verfahren verwendete IAM-verwaltete Richtlinie, `AmazonSageMakerFullAccess`, gewährt der Ausführungsrolle nur die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit `SageMaker`, `Sagemaker`, `sagemaker` oder `aws-glue` im Namen auszuführen. Informationen zum Hinzufügen einer zusätzlichen Richtlinie zu einer Ausführungsrolle, um ihr Zugriff auf andere Amazon-S3-Buckets und -Objekte zu gewähren, finden Sie unter [Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen](#sagemaker-roles-get-execution-role-s3).
**Anmerkung**
Sie können eine Ausführungsrolle direkt erstellen, wenn Sie eine SageMaker AI-Domäne oder eine Notebook-Instanz erstellen.
Informationen zum Erstellen einer SageMaker AI-Domain finden Sie unter[Leitfaden zur Einrichtung von Amazon SageMaker AI](gs.md).
Informationen über die Erstellung einer Notebook-Instance finden Sie unter [Erstellen Sie eine Amazon SageMaker Notebook-Instance für das Tutorial](gs-setup-working-env.md).
**So erstellen Sie eine neue Ausführungsrolle über die SageMaker AI-Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie **Roles (Rollen)** und anschließend **Create role (Rolle erstellen)**.
1. Verwenden Sie für den **AWS Dienst** den **Entitätstyp Vertrauenswürdig** und verwenden Sie dann den Abwärtspfeil, um unter **Anwendungsfälle für andere AWS Dienste** nach **SageMaker KI** zu suchen.
1. Wählen Sie **SageMaker KI — Ausführung** und dann **Weiter**.
1. Die von IAM verwaltete Richtlinie,`AmazonSageMakerFullAccess`, wird automatisch an die Rolle angefügt. Um die in dieser Richtlinie enthaltenen Berechtigungen zu sehen, wählen Sie das Pluszeichen (**\+**) neben dem Richtliniennamen. Wählen Sie **Weiter** aus.
1. Geben Sie einen **Rollennamen** und eine **Beschreibung** ein.
1. (Optional) Fügen Sie der Rolle zusätzliche Berechtigungen und Tags hinzu.
1. Wählen Sie **Rolle erstellen** aus.
1. Suchen Sie im Bereich **Rollen** der IAM-Konsole nach der Rolle, die Sie gerade erstellt haben. Verwenden Sie bei Bedarf das Textfeld, um anhand des Rollennamens nach der Rolle zu suchen.
1. Notieren Sie sich auf der Seite mit der Rollenübersicht den ARN.
**Um eine neue Ausführungsrolle aus dem AWS CLI zu erstellen**
Bevor Sie eine Ausführungsrolle mithilfe der erstellen, stellen Sie sicher AWS CLI, dass Sie sie aktualisieren und konfigurieren[(Optional) Konfigurieren Sie AWS CLI](gs-set-up.md#gs-cli-prereq), indem Sie den Anweisungen unter folgen. Fahren Sie dann mit den Anweisungen unter fort[Benutzerdefiniertes Setup mit dem AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Sobald Sie eine Ausführungsrolle erstellt haben, können Sie sie einer SageMaker AI-Domäne, einem Benutzerprofil oder einer Jupyter-Notebook-Instanz zuordnen.
+ Informationen zum Zuordnen einer Ausführungsrolle zu einer vorhandenen SageMaker AI-Domain finden Sie unter. [Bearbeiten von Domaineinstellungen](domain-edit.md)
+ Informationen darüber, wie Sie eine Ausführungsrolle einem vorhandenen Benutzerprofil zuordnen, finden Sie unter [Benutzerprofil hinzufügen](domain-user-profile-add.md).
+ Informationen zum Zuordnen einer Ausführungsrolle zu einer vorhandenen Notebook-Instance finden Sie unter [Aktualisiert eine Notebook-Instance](nbi-update.md).
Sie können auch den ARN einer Ausführungsrolle an Ihren API-Aufruf übergeben. Mit dem [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) können Sie beispielsweise den ARN Ihrer Ausführungsrolle an einen Schätzer übergeben. Im folgenden Codebeispiel erstellen wir einen Schätzer mithilfe des XGBoost-Algorithmuscontainers und übergeben den ARN der Ausführungsrolle als Parameter. Das vollständige Beispiel dazu finden Sie unter [Prognose der GitHub Kundenabwanderung mit](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb) XGBoost.
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
{{execution-role-ARN}},
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen
Wenn Sie eine SageMaker KI-Funktion mit Ressourcen in Amazon S3 verwenden, wie z. B. Eingabedaten, wird die Ausführungsrolle, die Sie in Ihrer Anfrage angeben (zum Beispiel`CreateTrainingJob`), für den Zugriff auf diese Ressourcen verwendet.
Wenn Sie die von IAM verwaltete Richtlinie, `AmazonSageMakerFullAccess`, an eine Ausführungsrolle anhängen, hat diese Rolle die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit `SageMaker`, `Sagemaker`, `sagemaker` oder `aws-glue` im Namen auszuführen. Es ist auch berechtigt, die folgenden Aktionen auf jeder Amazon S3-Ressource durchzuführen:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Um einer Ausführungsrolle Berechtigungen für den Zugriff auf einen oder mehrere bestimmte Buckets in Amazon S3 zu erteilen, können Sie der Rolle eine Richtlinie ähnlich der folgenden hinzufügen. Diese Richtlinie gewährt einer IAM-Rolle die Berechtigung, alle Aktionen auszuführen, die `AmazonSageMakerFullAccess` erlaubt, schränkt diesen Zugriff jedoch auf die Buckets amzn-s3-demo-bucket1 und amzn-s3-demo-bucket2 ein. Weitere Informationen zu den für diese Funktion erforderlichen Amazon S3 S3-Berechtigungen finden Sie in der Sicherheitsdokumentation der jeweiligen SageMaker KI-Funktion, die Sie verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket1/*}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket2/*}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket1}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket2}}"
]
}
]
}
```
------
## Abrufen Ihrer Ausführungsrolle
Sie können die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker), das [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) oder das verwenden, [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)um den ARN und den Namen der Ausführungsrolle abzurufen, die einer SageMaker AI-Domäne, einem Bereich oder einem Benutzerprofil zugeordnet ist.
**Topics**
+ [Ausführungsrolle für die Domain abrufen](#sagemaker-roles-get-execution-role-domain)
+ [Abrufen der Bereichsausführungsrolle](#sagemaker-roles-get-execution-role-space)
+ [Abrufen der Benutzerausführungsrolle](#sagemaker-roles-get-execution-role-user)
### Ausführungsrolle für die Domain abrufen
Im Folgenden finden Sie Anweisungen zur Suche nach der Ausführungsrolle Ihrer Domain.
#### Ausführungsrolle für die Domain abrufen (Konsole)
**Ermitteln der Ausführungsrolle, die Ihrer Domain zugeordnet ist**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Domain-Einstellungen** aus.
1. Im Abschnitt **Allgemeine Einstellungen** ist der ARN für die Ausführungsrolle unter **Ausführungsrolle** aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
### Abrufen der Bereichsausführungsrolle
Im Folgenden finden Sie Anweisungen, wie Sie die Ausführungsrolle Ihres Bereichs ermitteln können.
#### Ausführungsrolle für Speicherplatz abrufen (Konsole)
**Finde die deinem Space zugeordnete Ausführungsrolle**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Speicherverwaltung** aus.
1. Im Abschnitt **Details** ist der ARN der Ausführungsrolle unter **Ausführungsrolle** aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
#### Ausführungsrolle für Speicherplatz abrufen (SDK für Python)
**Anmerkung**
Der folgende Code ist für die Ausführung in einer SageMaker KI-Umgebung vorgesehen, wie jede der IDEs in Amazon SageMaker Studio. Sie erhalten eine Fehlermeldung, wenn Sie `get_execution_role` außerhalb einer SageMaker KI-Umgebung laufen.
Der folgende [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK-Befehl](https://sagemaker.readthedocs.io/en/stable) ruft den ARN der Ausführungsrolle ab, die dem Space zugeordnet ist.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
### Abrufen der Benutzerausführungsrolle
Im Folgenden finden Sie Anweisungen zur Suche nach der Ausführungsrolle eines Benutzers.
#### Ausführungsrolle des Benutzers abrufen (Konsole)
**Finden Sie die Ausführungsrolle, die einem Benutzer zugewiesen ist**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Benutzerprofile** aus.
1. Wählen Sie den Link, der Ihrem Benutzer entspricht.
1. Im Abschnitt **Details** ist der ARN der Ausführungsrolle unter **Ausführungsrolle** aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
#### Holen Sie sich die Rolle Space Execution (AWS CLI)
**Anmerkung**
Um die folgenden Beispiele verwenden zu können, müssen Sie AWS Command Line Interface (AWS CLI) installiert und konfiguriert haben. Weitere Informationen finden Sie unter [Erste Schritte mit der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) im *AWS Command Line Interface -Benutzerhandbuch für Version 2*.
Der folgende [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI -Befehl zeigt Informationen über die IAM-Identität an, die zur Authentifizierung der Anfrage verwendet wurde. Der Anrufer ist ein IAM-Benutzer.
```
aws sts get-caller-identity
```
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
## Ändern Sie Ihre Ausführungsrolle
Eine Ausführungsrolle ist eine IAM-Rolle, die eine SageMaker KI-Identität (wie ein SageMaker KI-Benutzer, ein Bereich oder eine Domäne) annimmt. Wenn Sie die IAM-Rolle ändern, ändern sich die Berechtigungen für alle Identitäten, die diese Rolle übernehmen.
Wenn Sie eine Ausführungsrolle ändern, ändert sich auch die Ausführungsrolle des entsprechenden Bereichs. Die VerarbeitWeiterleitung der Auswirkungen der Änderung kann einige Zeit dauern.
+ Wenn Sie die *Ausführungsrolle eines Benutzers* ändern, übernehmen die von diesem Benutzer erstellten *privaten Bereiche* die geänderte Ausführungsrolle.
+ Wenn Sie die *standardmäßige Ausführungsrolle eines Bereichs* ändern, übernehmen die *gemeinsam genutzten Bereiche* in der Domain die geänderte Ausführungsrolle.
Weitere Informationen zu Ausführungsrollen und Bereichen finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Sie können die Ausführungsrolle für eine Identität in eine andere IAM-Rolle ändern, indem Sie eine der folgenden Anweisungen verwenden.
Wenn Sie stattdessen eine Rolle *ändern* möchten, die eine Identität annimmt, finden Sie [Ändern Sie die Berechtigungen für die Ausführungsrolle](#sagemaker-roles-modify-to-execution-role) weitere Informationen unter.
**Topics**
+ [Ändern Sie die standardmäßige Ausführungsrolle der Domain](#sagemaker-roles-change-execution-role-domain)
+ [Ändern Sie die standardmäßige Ausführungsrolle von Space](#sagemaker-roles-change-execution-role-space)
+ [Ändern Sie die Ausführungsrolle des Benutzerprofils](#sagemaker-roles-change-execution-role-user)
### Ändern Sie die standardmäßige Ausführungsrolle der Domain
Im Folgenden finden Sie Anweisungen zum Ändern der standardmäßigen Ausführungsrolle Ihrer Domain.
#### Ändern Sie die Standard-Ausführungsrolle der Domain (Konsole)
**Ändern Sie die Ihrer Domain zugeordnete Standardausführungsrolle**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Domain-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Allgemeine Einstellungen** die Option **Bearbeiten** aus.
1. Erweitern Sie im Abschnitt **Berechtigungen** unter **Standardausführungsrolle** die Dropdownliste.
1. In der Dropdown-Liste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „**Rolle mithilfe des Assistenten zur Rollenerstellung erstellen**“ auswählen.
1. Wählen Sie in den folgenden Schritten „Weiter“ und im letzten Schritt „Senden“.
### Ändern Sie die standardmäßige Ausführungsrolle von Space
Im Folgenden finden Sie Anweisungen zum Ändern der Standard-Ausführungsrolle Ihres Bereiche. Wenn Sie diese Ausführungsrolle ändern, ändert sich auch die Rolle, die von allen gemeinsam genutzten Bereichen in der Domain eingenommen wird.
#### Ändern der standardmäßigen Ausführungsrolle (Konsole)
**Ändern Sie die Standard-Ausführungsrolle für den Space, wenn Sie einen neuen Space erstellen**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Domain-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Allgemeine Einstellungen** die Option **Bearbeiten** aus.
1. Erweitern Sie im Abschnitt **Berechtigungen** unter **Space (Standardausführungsrolle**) die Dropdownliste.
1. In der Dropdown-Liste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „**Rolle mithilfe des Assistenten zur Rollenerstellung erstellen**“ auswählen.
1. Wählen Sie in den folgenden Schritten „**Weiter**“ und im letzten Schritt „**Senden**“.
### Ändern Sie die Ausführungsrolle des Benutzerprofils
Im Folgenden finden Sie Anweisungen zum Ändern der Ausführungsrolle eines Benutzers. Wenn Sie diese Ausführungsrolle ändern, ändert sich auch die Rolle, die von allen privaten Bereichen übernommen wird, die von diesem Benutzer erstellt wurden.
#### Ändern der Ausführungsrolle des Benutzerprofils (Konsole)
**Ändern der Ausführungsrolle, die einem Benutzer zugewiesen ist**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Benutzerprofile** aus.
1. Wählen Sie den Link, der dem Namen des Benutzerprofils entspricht.
1. Wählen Sie **Bearbeiten** aus.
1. In der Dropdown-Liste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „**Rolle mithilfe des Assistenten zur Rollenerstellung erstellen**“ auswählen.
1. Wählen Sie in den folgenden Schritten „**Weiter**“ und im letzten Schritt „**Senden**“.
## Ändern Sie die Berechtigungen für die Ausführungsrolle
Sie können bestehende Berechtigungen für die Ausführungsrolle einer Identität (z. B. eines SageMaker KI-Benutzers, eines Bereichs oder einer Domäne) ändern. Dazu müssen Sie die entsprechende IAM-Rolle finden, die die Identität annimmt, und dann diese IAM-Rolle ändern. Im Folgenden finden Sie Anweisungen, wie Sie dies über die Konsole erreichen können.
Wenn Sie eine Ausführungsrolle ändern, ändert sich auch die Ausführungsrolle des entsprechenden Bereichs. Die Änderung wirkt sich möglicherweise nicht unmittelbar aus.
+ Wenn Sie die *Ausführungsrolle eines Benutzers* ändern, übernehmen die von diesem Benutzer erstellten *privaten Bereiche* die geänderte Ausführungsrolle.
+ Wenn Sie die *standardmäßige Ausführungsrolle eines Bereichs* ändern, übernehmen die *gemeinsam genutzten Bereiche* in der Domain die geänderte Ausführungsrolle.
Weitere Informationen zu Ausführungsrollen und Bereichen finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Wenn Sie stattdessen eine Rolle *ändern* möchten, die eine Identität annimmt, finden Sie unter[Ändern Sie Ihre Ausführungsrolle](#sagemaker-roles-change-execution-role).
### Ändern Sie die Berechtigungen für die Ausführungsrolle (Konsole)
**So ändern Sie die Berechtigungen für Ihre Ausführungsrollen**
1. Rufen Sie zunächst den Namen der Identität ab, die Sie ändern möchten.
+ [Ausführungsrolle für die Domain abrufen](#sagemaker-roles-get-execution-role-domain)
+ [Abrufen der Bereichsausführungsrolle](#sagemaker-roles-get-execution-role-space)
+ [Abrufen der Benutzerausführungsrolle](#sagemaker-roles-get-execution-role-user)
1. Informationen zum Ändern einer Rolle, die eine Identität annimmt, finden Sie unter [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *AWS Identity and Access Management Benutzerhandbuch*.
Weitere Informationen und Anweisungen zum Hinzufügen von Berechtigungen zu IAM-Identitäten finden Sie unter [Hinzufügen und Entfernen von Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *AWS Identity and Access Management -Benutzerhandbuch*.
## Rollen weitergeben
Aktionen wie die Übertragung einer Rolle zwischen Diensten sind eine übliche Funktion innerhalb von SageMaker KI. Weitere Informationen zu [Aktionen, Ressourcen und Bedingungsschlüsseln für SageMaker KI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) finden Sie in der *Service Authorization Reference*.
Sie übergeben die Rolle (`iam:PassRole`) bei diesen API-Aufrufen: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) und [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Sie fügen der IAM-Rolle die folgende Vertrauensrichtlinie hinzu, die SageMaker AI-Prinzipalberechtigungen zur Übernahme der Rolle gewährt. Sie gilt für alle Ausführungsrollen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Die Berechtigungen, die der Rolle erteilt werden müssen, hängen von der aufgerufenen API ab. Die folgenden Abschnitte erläutern diese Berechtigungen.
**Anmerkung**
Anstatt Berechtigungen zu verwalten, indem Sie eine Berechtigungsrichtlinie erstellen, können Sie die AWS-managed `AmazonSageMakerFullAccess` Permission Policy verwenden. Die Berechtigungen in dieser Richtlinie sind ziemlich breit gefächert und ermöglichen alle Aktionen, die Sie möglicherweise in SageMaker KI ausführen möchten. Eine Liste der Richtlinien einschließlich Informationen über die Gründe für das Hinzufügen vieler dieser Zugriffsrechte, finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Wenn Sie lieber benutzerdefinierte Richtlinien erstellen und Berechtigungen so verwalten möchten, dass sie nur für die Aktionen, die Sie mit der Ausführungsrolle durchführen müssen, gelten, lesen Sie die folgenden Themen.
**Wichtig**
Wenn Sie auf Probleme stoßen, finden Sie weitere Informationen unter [Fehlerbehebung bei Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) in der *Serviceautorisierungsreferenz*.
**Topics**
+ [Erstellen einer Ausführungsrolle](#sagemaker-roles-create-execution-role)
+ [Abrufen Ihrer Ausführungsrolle](#sagemaker-roles-get-execution-role)
+ [Ändern Sie Ihre Ausführungsrolle](#sagemaker-roles-change-execution-role)
+ [Ändern Sie die Berechtigungen für die Ausführungsrolle](#sagemaker-roles-modify-to-execution-role)
+ [Rollen weitergeben](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob und CreateAutoMLJobV2 API: Berechtigungen für Ausführungsrollen](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createdomain-perms)
+ [CreateImage und UpdateImage APIs: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Berechtigungen für Ausführungsrollen](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createmodel-perms)
+ [SageMaker Funktionen und Rollen im Zusammenhang mit räumlichen Daten](sagemaker-geospatial-roles.md)
## CreateAutoMLJob und CreateAutoMLJobV2 API: Berechtigungen für Ausführungsrollen
Für eine Ausführungsrolle, die Sie in einer – `CreateAutoMLJob`oder `CreateAutoMLJobV2`-API-Anfrage übergeben können, können Sie die folgende Berechtigungsrichtlinie an die Rolle anfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Wenn Sie eine private VPC für Ihren AutoML-Auftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie einen KMS-Schlüssel in der Ausgabekonfiguration Ihres AutoML-Auftrags angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Wenn Sie einen Volume-KMS-Schlüssel in der Ressourcenkonfiguration Ihres AutoML-Auftrags angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: Berechtigungen für die Ausführungsrolle
Die Ausführungsrolle für Domänen mit IAM Identity Center und die user/execution Rolle für IAM-Domänen benötigen die folgenden Berechtigungen, wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel `KmsKeyId` in der `CreateDomain` API-Anfrage übergeben. Die Berechtigungen werden während des `CreateApp` API-Aufrufs durchgesetzt.
Bei einer Ausführungsrolle, die Sie in einer `CreateDomain`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
}
]
}
```
------
Wenn die Berechtigungen in einer KMS-Richtlinie angegeben sind, können Sie der Rolle alternativ die folgende Richtlinie hinzufügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{ExecutionRole}}"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage und UpdateImage APIs: Berechtigungen für die Ausführungsrolle
Für eine Ausführungsrolle, die Sie in einer – `CreateImage`oder `UpdateImage`-API-Anfrage übergeben können, können Sie die folgende Berechtigungsrichtlinie an die Rolle anhängen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Berechtigungen für Ausführungsrollen
Die Berechtigungen, die Sie der Ausführungsrolle für den Aufruf der `CreateNotebookInstance`-API erteilen, hängen davon ab, was Sie mit der Notebook-Instance tun möchten. Wenn Sie damit SageMaker KI-APIs aufrufen und beim Aufrufen der APIs und dieselbe Rolle übergeben möchten, fügen Sie der Rolle die folgende Berechtigungsrichtlinie hinzu: `CreateTrainingJob` `CreateModel`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Um die Berechtigungen einzuschränken, beschränken Sie sie auf bestimmte Amazon S3- und Amazon ECR-Ressourcen, indem Sie `"Resource": "*"` wie folgt einschränken:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object1}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}",
"arn:aws:s3:::{{inputbucket}}/{{object2}}",
"arn:aws:s3:::{{inputbucket}}/{{object3}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo1}}",
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo2}}",
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo3}}"
]
}
]
}
```
------
Wenn Sie planen, auf andere Ressourcen wie Amazon DynamoDB oder Amazon Relational Database Service zuzugreifen, fügen Sie die entsprechenden Berechtigungen zu dieser Richtlinie hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung dem spezifischen Bucket zu, den Sie als `InputDataConfig.DataSource.S3DataSource.S3Uri` in einer `CreateTrainingJob`-Anforderung angegeben haben.
+ Weisen Sie die Berechtigungen `s3:GetObject `, `s3:PutObject` und `s3:DeleteObject` folgendermaßen zu:
+ Begrenzen Sie auf die folgenden Werte, die Sie in einer `CreateTrainingJob`-Anforderung definieren:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Begrenzen Sie auf die folgenden Werte, die Sie in einer `CreateModel`-Anforderung definieren:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Weisen Sie die `ecr`-Berechtigungen folgendermaßen zu:
+ Begrenzen Sie auf den `AlgorithmSpecification.TrainingImage`-Wert, den Sie in einer `CreateTrainingJob`-Anforderung definieren.
+ Begrenzen Sie auf den `PrimaryContainer.Image`-Wert, den Sie in einer `CreateModel`-Anforderung definieren:
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\*". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Abläufe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie einen AWS KMS-Schlüssel zur Verschlüsselung des Speichervolumens der Notebook-Instance angeben, fügen Sie der Ausführungsrolle die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
}
```
## CreateHyperParameterTuningJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateHyperParameterTuningJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt dies zu spezifizieren`"Resource": "*"`, könnten Sie diese Berechtigungen auf bestimmte Amazon S3-, Amazon ECR- und Amazon CloudWatch Logs-Ressourcen beschränken:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:{{us-east-1}}:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Wenn der mit dem Hyperparameter-Abstimmungsauftrag verbundene Trainingscontainer auf andere Datenquellen wie DynamoDB- oder Amazon RDS-Ressourcen zugreifen muss, fügen Sie dieser Richtlinie die entsprechenden Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung einem spezifischen Bucket zu, den Sie als `InputDataConfig.DataSource.S3DataSource.S3Uri` in einer `CreateTrainingJob`-Anforderung angeben.
+ Weisen Sie die Berechtigungen `s3:GetObject `und `s3:PutObject` folgenden Objekten zu, die Sie in der Ein- und Ausgabedatenkonfiguration in einer `CreateHyperParameterTuningJob`-Anforderung spezifizieren:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (`AlgorithmSpecification.TrainingImage`), den Sie in einer `CreateHyperParameterTuningJob` Anfrage angeben.
+ Umfang der Amazon CloudWatch Logs-Berechtigungen zum Protokollieren von Gruppen von SageMaker Schulungsaufträgen.
Die `cloudwatch` Aktionen gelten für die Ressourcen "\*". Weitere Informationen finden Sie unter [ CloudWatch Ressourcen und Abläufe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für den Hyperparameter-Optimierungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie in der Ausgabekonfiguration Ihres Hyperparameter-Optimierungsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Wenn Sie in der Ressourcenkonfiguration Ihres Hyperparameter-Optimierungsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateProcessingJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt `"Resource": "*"` anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
}
]
}
```
------
Wenn `CreateProcessingJob.AppSpecification.ImageUri` auf andere Datenquellen, wie DynamoDB- oder Amazon RDS-Ressourcen, zugreifen muss, fügen Sie dieser Richtlinie entsprechende Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung einem spezifischen Bucket zu, den Sie als `ProcessingInputs` in einer `CreateProcessingJob`-Anforderung angeben.
+ Gültigkeitsbereich der Berechtigungen `s3:GetObject ` und `s3:PutObject` für die Objekte, die in der `ProcessingInputs` und `ProcessingOutputConfig` in einer `CreateProcessingJob`-Anforderung heruntergeladen oder hochgeladen werden.
+ Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (`AppSpecification.ImageUri`), den Sie in einer `CreateProcessingJob` Anfrage angeben.
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\*". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Abläufe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für Ihren Verarbeitungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu. Geben Sie in der Richtlinie keine Bedingungen oder Ressourcenfilter an. Andernfalls schlagen die Validierungsprüfungen, die während der Erstellung des Verarbeitungsauftrags durchgeführt werden, fehl.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie in der Ausgabekonfiguration Ihres Verarbeitungsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
]
}
```
Wenn Sie in der Ressourcenkonfiguration Ihres Verarbeitungsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
]
}
```
## CreateTrainingJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateTrainingJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt `"Resource": "*"` anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}",
"arn:aws:s3:::{{outputbucket}}/{{path}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
}
]
}
```
------
Wenn `CreateTrainingJob.AlgorithSpecifications.TrainingImage` auf andere Datenquellen, wie DynamoDB- oder Amazon RDS-Ressourcen, zugreifen muss, fügen Sie dieser Richtlinie entsprechende Berechtigungen hinzu.
Wenn Sie mithilfe des `AlgorithmSpecification.AlgorithmArn` Parameters eine Algorithmusressource angeben, muss die Ausführungsrolle auch über die folgenden Berechtigungen verfügen:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung einem spezifischen Bucket zu, den Sie als `InputDataConfig.DataSource.S3DataSource.S3Uri` in einer `CreateTrainingJob`-Anforderung angeben.
+ Weisen Sie die Berechtigungen `s3:GetObject `und `s3:PutObject` folgenden Objekten zu, die Sie in der Ein- und Ausgabedatenkonfiguration in einer `CreateTrainingJob`-Anforderung spezifizieren:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (`AlgorithmSpecification.TrainingImage`), den Sie in einer `CreateTrainingJob` Anfrage angeben.
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\*". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Abläufe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für den Trainingsjob angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie in der Ausgabekonfiguration Ihres Trainingsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey"
]
}
```
Wenn Sie in der Ressourcenkonfiguration Ihres Trainingsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
]
}
```
## CreateModel API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateModel`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt `"Resource": "*"` anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{inputbucket}}/{{object}}"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}",
"arn:aws:ecr:{{us-east-1}}:111122223333:repository/{{my-repo}}"
]
}
]
}
```
------
Wenn `CreateModel.PrimaryContainer.Image` Zugriff auf andere Datenquellen – z. B. Amazon DynamoDB- oder Amazon RDS-Ressourcen – benötigt, fügen Sie dieser Richtlinie die entsprechenden Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie S3-Berechtigungen den Objekten zu, die Sie unter `PrimaryContainer.ModelDataUrl` in einer [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)-Anforderung angeben.
+ Erweitern Sie Amazon ECR-Berechtigungen auf einen bestimmten Registry-Pfad, den Sie als `PrimaryContainer.Image` und `SecondaryContainer.Image` in einer `CreateModel` Anfrage angeben.
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\*". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Abläufe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
**Anmerkung**
Wenn Sie planen, die [SageMaker AI-Bereitstellungs-Guardrails-Funktion](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) für die Modellbereitstellung in der Produktion zu verwenden, stellen Sie sicher, dass Ihre Ausführungsrolle berechtigt ist, die `cloudwatch:DescribeAlarms` Aktion für Ihre automatischen Rollback-Alarme auszuführen.
Wenn Sie eine private VPC für das Modell angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```