Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# SageMaker rôles relatifs aux capacités géospatiales
En tant que service géré, les fonctionnalités SageMaker géospatiales d'Amazon effectuent des opérations en votre nom sur le AWS matériel géré par l' SageMaker IA. Gestion des identités et des accès AWS À utiliser pour accorder aux utilisateurs, aux groupes et aux rôles l'accès à la SageMaker géospatiale.
Un administrateur IAM peut accorder ces autorisations à un utilisateur, à un groupe ou à un rôle en utilisant le AWS Management Console AWS CLI, ou l'un des. AWS SDKs
**Pour utiliser le SageMaker géospatial, vous devez disposer des autorisations IAM suivantes.**
1. **Un rôle d'exécution de l' SageMaker IA.**
Pour utiliser les opérations d'API spécifiques à la SageMaker géospatiale, votre rôle d'exécution de l' SageMaker IA doit inclure le principal du service SageMaker géospatial `sagemaker-geospatial.amazonaws.com` dans la politique de confiance du rôle d'exécution. Cela permet au rôle d'exécution de l' SageMaker IA d'effectuer des actions Compte AWS en votre nom.
1. **Un utilisateur, un groupe ou un rôle ayant accès à Amazon SageMaker Studio Classic et à la technologie SageMaker géospatiale**
Pour démarrer avec la SageMaker géospatiale, vous pouvez utiliser la politique AWS gérée :`AmazonSageMakerGeospatialFullAccess`. Cette autorisation accordera à un utilisateur, à un groupe ou à un rôle un accès complet à la SageMaker géospatiale. Pour consulter la politique et en savoir plus sur les actions, les ressources et les conditions disponibles, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Pour commencer à utiliser Studio Classic et à créer un domaine Amazon SageMaker AI, consultez[Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md).
Utilisez les rubriques suivantes pour créer un nouveau rôle d'exécution d' SageMaker IA, mettre à jour un rôle d'exécution d' SageMaker IA existant et apprendre à gérer les autorisations à l'aide d'actions, de ressources et de conditions IAM spécifiques à la SageMaker géospatiale.
**Topics**
+ [Création d'un nouveau rôle d'exécution de l' SageMaker IA](sagemaker-geospatial-roles-create-execution-role.md)
+ [Ajouter le principal du service SageMaker géospatial à un rôle d'exécution d' SageMaker IA existant](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob` : autorisations du rôle d’exécution](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob` : autorisations du rôle d’exécution](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob` : autorisations du rôle d’exécution](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob` : autorisations du rôle d’exécution](sagemaker-roles-export-vej-perms.md)
# Création d'un nouveau rôle d'exécution de l' SageMaker IA
Pour utiliser les fonctionnalités SageMaker géospatiales, vous devez configurer un utilisateur, un groupe ou un rôle, ainsi qu'un rôle d'exécution. Un rôle d'utilisateur est une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'utilisateur peut et ne peut pas faire dans ce cadre AWS. Un rôle d’exécution est un rôle IAM qui accorde au service l’autorisation d’accéder à vos ressources AWS . Un rôle d'exécution comprend des autorisations et une politique de confiance. La stratégie de confiance spécifie quels principaux sont autorisés à assumer le rôle.
SageMaker la géospatiale nécessite également un principal de service différent,`sagemaker-geospatial.amazonaws.com`. Si vous êtes déjà un client SageMaker AI, vous devez ajouter ce principe de service supplémentaire à votre politique de confiance.
Utilisez la procédure suivante pour créer un nouveau rôle d’exécution avec la politique gérée par IAM, `AmazonSageMakerGeospatialFullAccess`, attachée. Si votre cas d’utilisation nécessite des autorisations plus détaillées, utilisez d’autres sections de ce guide pour créer un rôle d’exécution qui répond aux besoins de votre entreprise.
**Important**
La politique gérée par IAM, `AmazonSageMakerGeospatialFullAccess`, utilisée dans la procédure suivante, n’accorde que l’autorisation du rôle d’exécution pour effectuer certaines actions Amazon S3 sur des compartiments ou des objets avec `SageMaker`, `Sagemaker`, `sagemaker` ou `aws-glue` dans le nom. Pour découvrir comment mettre à jour la politique du rôle d’exécution pour lui accorder l’accès à d’autres compartiments et objets Amazon S3, consultez [Ajouter des autorisations Amazon S3 supplémentaires à un rôle d'exécution SageMaker AI](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Pour créer un rôle**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sélectionnez **Roles (Rôles)**, puis sélectionnez **Create role (Créer un rôle)**.
1. Sélectionnez **SageMaker**.
1. Sélectionnez **Next: Permissions (Suivant : Autorisations)**.
1. La politique gérée IAM, `AmazonSageMakerGeospatialFullAccess`, est automatiquement attachée à ce rôle. Pour afficher les autorisations incluses dans cette politique, sélectionnez la flèche latérale en regard du nom de la politique. Sélectionnez **Next: Tags (Suivant : Balises)**.
1. (Facultatif) Ajoutez des balises et sélectionnez **Next: Review (Suivant : Vérification)**.
1. Nommez le rôle dans le champ de texte sous **Role name (Nom de rôle)** et sélectionnez **Create role (Créer un rôle)**.
1. Dans la section **Rôles** de la console IAM, sélectionnez le rôle que vous venez de créer à l’étape 7. Si nécessaire, utilisez la zone de texte pour rechercher le rôle à l’aide du nom de rôle que vous avez saisi à l’étape 7.
1. Sur la page de résumé, prenez note de l’ARN.
# Ajouter le principal du service SageMaker géospatial à un rôle d'exécution d' SageMaker IA existant
Pour utiliser les opérations d'API spécifiques à la SageMaker géospatiale, votre rôle d'exécution de l' SageMaker IA doit inclure le principal du service SageMaker géospatial `sagemaker-geospatial.amazonaws.com` dans la politique de confiance du rôle d'exécution. Cela permet au rôle d'exécution de l' SageMaker IA d'effectuer des actions Compte AWS en votre nom.
Des actions telles que le transfert d'un rôle entre les services sont courantes au sein de SageMaker l'IA. Pour en savoir plus,
Pour ajouter le principal de service SageMaker géospatial à un rôle d'exécution d' SageMaker IA existant, mettez à jour la politique existante afin d'inclure le principal de service SageMaker géospatial, comme indiqué dans la politique de confiance suivante. En associant le principal de service à la politique de confiance, un rôle d'exécution de l' SageMaker IA peut désormais exécuter les SageMaker tâches géospatiales spécifiques APIs en votre nom.
Pour en savoir plus sur les actions, ressources et conditions IAM spécifiques à la SageMaker géospatiale, consultez la section [Actions, ressources et clés de condition pour l' SageMaker IA](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) dans le guide de l'utilisateur *IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `StartEarthObservationJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des [clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) pour plus d'informations.
# API `StartVectorEnrichmentJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `StartVectorEnrichmentJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des [clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) pour plus d'informations.
# API `ExportEarthObservationJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `ExportEarthObservationJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des [clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) pour plus d'informations.
# API `ExportVectorEnrichmentJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `ExportVectorEnrichmentJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des clés de [compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).