Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# SageMaker funciones de capacidades geoespaciales
Como servicio gestionado, las capacidades SageMaker geoespaciales de Amazon realizan operaciones en su nombre en el AWS hardware gestionado por la SageMaker IA. Se utiliza AWS Identity and Access Management para conceder a los usuarios, grupos y roles acceso a la información SageMaker geoespacial.
Un administrador de IAM puede conceder estos permisos a un usuario, grupo o rol mediante el Consola de administración de AWS AWS CLI, o uno de los. AWS SDKs
**Para utilizar la información SageMaker geoespacial, necesita los siguientes permisos de IAM.**
1. **Una función de ejecución de SageMaker IA.**
Para utilizar las operaciones de API específicas SageMaker desde el punto de vista geoespacial, su función de ejecución de la SageMaker IA debe incluir al director del servicio SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` en la política de confianza de la función de ejecución. Esto permite que la función de ejecución de la SageMaker IA lleve a cabo acciones Cuenta de AWS en su nombre.
1. **Un usuario, grupo o rol que tiene acceso a Amazon SageMaker Studio Classic y SageMaker geospatial**
Para empezar con la tecnología SageMaker geoespacial, puede utilizar la política AWS administrada:. `AmazonSageMakerGeospatialFullAccess` Estas concesiones otorgarán a un usuario, grupo o rol acceso completo a la información SageMaker geoespacial. Para ver la política y obtener más información sobre qué acciones, recursos y condiciones están disponibles, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Para empezar a usar Studio Classic y crear un dominio de Amazon SageMaker AI, consulte[Descripción general del dominio Amazon SageMaker AI](gs-studio-onboard.md).
Utilice los siguientes temas para crear una nueva función de ejecución de SageMaker IA, actualizar una función de ejecución de SageMaker IA existente y aprender a gestionar los permisos mediante acciones, recursos y condiciones de IAM específicos desde el punto de vista SageMaker geoespacial.
**Topics**
+ [Crear una nueva función de ejecución de la SageMaker IA](sagemaker-geospatial-roles-create-execution-role.md)
+ [Añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob`: permisos de rol de ejecución](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob`: permisos de rol de ejecución](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob`: permisos de rol de ejecución](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob`: permisos de rol de ejecución](sagemaker-roles-export-vej-perms.md)
# Crear una nueva función de ejecución de la SageMaker IA
Para trabajar con las capacidades SageMaker geoespaciales, debe configurar un usuario, grupo o rol y un rol de ejecución. Un rol de usuario es una AWS identidad con políticas de permisos que determinan lo que el usuario puede y no puede hacer en AWS ella. Un rol de ejecución es un rol de IAM que concede al servicio permiso para acceder a sus recursos de AWS . Un rol de ejecución consiste en una política de permisos y confianza. La política de confianza especifica qué entidades principales tienen permiso para asumir el rol.
SageMaker el sector geoespacial también requiere un director de servicio diferente,`sagemaker-geospatial.amazonaws.com`. Si ya es cliente de SageMaker IA, debe añadir este principio de servicio adicional a su política de confianza.
Utilice el siguiente procedimiento para crear un rol de ejecución nuevo con la política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, asociada. Si su caso de uso requiere permisos más detallados, utilice otras secciones de esta guía para crear un rol de ejecución que se adapte a las necesidades de su empresa.
**importante**
La política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, utilizada en el siguiente procedimiento, solo concede permiso al rol de ejecución para realizar determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. Para obtener información sobre cómo actualizar la política del rol de ejecución para concederle acceso a otros buckets y objetos de Amazon S3, consulte [Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Para crear un nuevo rol**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** y seleccione **Crear rol**.
1. Seleccione **SageMaker**.
1. Seleccione **Siguiente: Permisos**.
1. La política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, se asocia automáticamente a este rol. Para ver los permisos incluidos en esta política, seleccione la flecha lateral situada junto al nombre de la política. Seleccione **Siguiente: Etiquetas**.
1. De forma opcional, agregue etiquetas y seleccione **Siguiente: Revisar**.
1. Asigne un nombre al rol en el campo de texto situado bajo **Nombre del rol** y seleccione **Crear rol**.
1. En la sección **Roles** de la consola de IAM, seleccione el rol que acaba de crear en el paso 7. Si es necesario, utilice el cuadro de texto para buscar el rol con el nombre del rol que ingresó en el paso 7.
1. En la página de resumen del rol, tome nota del ARN del rol.
# Añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente
Para utilizar las operaciones de API específicas SageMaker desde el punto de vista geoespacial, su función de ejecución de la SageMaker IA debe incluir al director del servicio SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` en la política de confianza de la función de ejecución. Esto permite que la función de ejecución de la SageMaker IA lleve a cabo acciones Cuenta de AWS en su nombre.
Acciones como transferir una función de un servicio a otro son habituales en la SageMaker IA. Para obtener más información,
Para añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente, actualice la política existente para incluir al director del servicio SageMaker geoespacial, tal como se muestra en la siguiente política de confianza. Al asociar el director del servicio a la política de confianza, un rol de ejecución de SageMaker IA ahora puede ejecutar la función SageMaker geoespacial específica APIs en su nombre.
*Para obtener más información sobre las acciones, los recursos y las condiciones de la IAM específicos desde el punto de vista SageMaker geoespacial, consulte las [claves de las acciones, los recursos y las condiciones de la SageMaker IA en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) de la IAM.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `StartEarthObservationJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `StartVectorEnrichmentJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `StartVectorEnrichmentJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `ExportEarthObservationJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `ExportEarthObservationJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `ExportVectorEnrichmentJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `ExportVectorEnrichmentJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de claves de bucket de [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).