Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de políticas y permisos para Studio
Deberá instalar las políticas y los permisos adecuados antes de programar la primera ejecución del cuaderno. A continuación, se proporcionan instrucciones para configurar los siguientes permisos:
+ Relaciones de confianza del rol de ejecución de trabajos
+ Permisos de IAM adicionales asociados al rol de ejecución de trabajos
+ (opcional) La política de AWS KMS permisos para usar una clave KMS personalizada
**importante**
Si su AWS cuenta pertenece a una organización que cuenta con políticas de control de servicios (SCP), sus permisos efectivos son la intersección lógica entre lo que permiten sus políticas de usuario SCPs y rol de IAM y lo que permiten. Por ejemplo, si la SCP de su organización especifica que solo puede acceder a los recursos de `us-east-1` y `us-west-1`, y sus políticas solo le permiten acceder a los recursos de `us-west-1` y`us-west-2`, en última instancia, solo podrá acceder a los recursos de `us-west-1`. Si quieres ejercer todos los permisos permitidos en tus políticas de rol y usuario, las de tu organización SCPs deberían concederte el mismo conjunto de permisos que tus propias políticas de usuario y rol de IAM. Para obtener información acerca de cómo determinar las solicitudes permitidas, consulte [Cómo determinar si se una solicitud se permite o se deniega dentro de una cuenta](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow).
**Relaciones de confianza**
Para modificar las relaciones de confianza, siga los pasos siguientes:
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/).
1. En el panel izquierdo, seleccione **Roles**.
1. Busque el rol de ejecución de trabajos para el trabajo del cuaderno y elija el nombre del rol.
1. Seleccione la pestaña **Relaciones de confianza**.
1. Elija **Editar la política de confianza**.
1. Copie y pegue la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Elija **Actualizar política**.
## Permisos de IAM adicionales
Es posible que tenga que incluir permisos de IAM adicionales en las siguientes situaciones:
+ Los roles de trabajo del cuaderno y los roles de ejecución de Studio son diferentes
+ Debe acceder a los recursos de Amazon S3 a través de un punto de conexión de VPC de S3
+ Desea utilizar una clave de KMS personalizada para cifrar los buckets de Amazon S3 de entrada y salida
El siguiente análisis proporciona las políticas que necesita para cada caso.
### Permisos necesarios si los roles de trabajo del cuaderno y los roles de ejecución de Studio son diferentes
El siguiente fragmento de código JSON es un ejemplo de política que debe agregar a los roles de trabajo del cuaderno y de ejecución de Studio si no utiliza el rol de ejecución de Studio como rol de trabajo del cuaderno. Revise y modifique esta política si necesita restringir aún más los privilegios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}
```
------
### Permisos necesarios para acceder a los recursos de Amazon S3 a través de un punto de conexión de VPC de S3
Si ejecutas SageMaker Studio en modo de VPC privada y accedes a S3 a través del punto de enlace de VPC de S3, puedes añadir permisos a la política de puntos de enlace de VPC para controlar a qué recursos de S3 se puede acceder a través del punto de enlace de VPC. Agregue los siguientes permisos a su política de puntos de conexión de VPC. Puede modificar la política si necesita restringir aún más los permisos; por ejemplo, puede proporcionar una especificación más específica para el campo `Principal`.
```
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}
```
Para obtener más información sobre cómo configurar una política de puntos de conexión de VPC de S3, consulte [Edición de la política del punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
### Permisos necesarios para usar una clave de KMS personalizada (opcional)
De forma predeterminada, los buckets de Amazon S3 de entrada y salida se cifran mediante el cifrado del lado del servidor, pero puede especificar una clave de KMS personalizada para cifrar los datos en el bucket de Amazon S3 de salida y en el volumen de almacenamiento asociado al trabajo del cuaderno.
Si desea utilizar una clave de KMS personalizada, asocie la siguiente política y proporcione su propio ARN de clave de KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------