Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Guide d’installation
Vous trouverez ci-dessous des informations sur ce que vous devez installer pour utiliser Notebook Jobs dans votre JupyterLab environnement.
**Pour Amazon SageMaker Studio et Amazon SageMaker Studio Lab**
Si votre bloc-notes se trouve dans Amazon SageMaker Studio ou Amazon SageMaker Studio Lab, vous n'avez pas besoin d'effectuer d'installation supplémentaire : SageMaker Notebook Jobs est intégré à la plateforme. Pour configurer les autorisations requises pour Studio, consultez [Configuration de politiques et d’autorisations pour Studio](scheduled-notebook-policies-studio.md).
**Pour les bloc-notes Jupyter locaux**
Si vous souhaitez utiliser SageMaker Notebook Jobs pour votre JupyterLab environnement local, vous devez effectuer une installation supplémentaire.
Pour installer SageMaker Notebook Jobs, procédez comme suit :
1. Installez Python 3. Pour plus d’informations, consultez [Installation de Python 3 et des packages Python](https://www.codecademy.com/article/install-python3).
1. Installez JupyterLab la version 4 ou supérieure. Pour plus de détails, consultez la [documentation du JupyterLab SDK](https://jupyterlab.readthedocs.io/en/stable/getting_started/installation.html).
1. Installez le AWS CLI. Pour plus d'informations, consultez [Installation ou mise à jour de la dernière version d' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Installez deux ensembles d’autorisations. L'utilisateur IAM a besoin d'autorisations pour soumettre des tâches à l' SageMaker IA, et une fois soumises, la tâche du bloc-notes elle-même assume un rôle IAM qui nécessite des autorisations pour accéder aux ressources en fonction des tâches de la tâche.
1. Si vous n’avez pas encore créé d’utilisateur IAM, consultez [Créer un utilisateur IAM dans votre compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html).
1. Si vous n'avez pas encore créé votre rôle de tâche de bloc-notes, consultez [Création d'un rôle pour la délégation d'autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
1. Attachez les autorisations et la politique d'approbation nécessaires à attacher à votre utilisateur et à votre rôle. Pour step-by-step obtenir des instructions et des informations sur les autorisations, consultez[Installation de politiques et d'autorisations pour les environnements Jupyter locaux](scheduled-notebook-policies-other.md).
1. Générez des AWS informations d'identification pour votre nouvel utilisateur IAM et enregistrez-les dans le fichier d'informations d'identification (\$1/.aws/credentials) de votre environnement. JupyterLab Vous pouvez faire cela dans l'interface de ligne de commande à l'aide de la commande `aws configure`. Pour obtenir des instructions, consultez la section *Définition et affichage des paramètres de configuration à l’aide de commandes* dans [Paramètres des fichiers de configuration et d’informations d’identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html).
1. (facultatif) Par défaut, l'extension du planificateur utilise une image SageMaker AI Docker prédéfinie avec Python 2.0. Tout noyau autre que le noyau par défaut utilisé dans le bloc-notes doit être installé dans le conteneur. Si vous souhaitez exécuter votre bloc-notes dans un conteneur ou une image Docker, vous devez créer une image Amazon Elastic Container Registry (Amazon ECR). Pour en savoir plus sur la façon de transférer (push) une image Docker vers un référentiel Amazon ECR, consultez [Pousser une image Docker](https://docs.aws.amazon.com/AmazonECR/latest/userguide/docker-push-ecr-image.html).
1. Ajoutez l' JupyterLab extension pour SageMaker Notebook Jobs. Vous pouvez l'ajouter à votre JupyterLab environnement à l'aide de la commande :`pip install amazon_sagemaker_jupyter_scheduler`. Vous devrez peut-être redémarrer votre serveur Jupyter avec la commande : `sudo systemctl restart jupyter-server`.
1. JupyterLab Commencez par la commande : `jupyter lab`
1. Vérifiez que le widget Tâches de bloc-notes (![\[Blue icon of a calendar with a checkmark, representing a scheduled task or event.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/icons/notebook-schedule.png)) apparaît dans la barre des tâches de votre bloc-notes Jupyter.
# Configuration de politiques et d’autorisations pour Studio
Vous devez installer les politiques et les autorisations appropriées avant de planifier votre première exécution de bloc-notes. Vous trouverez ci-dessous des instructions sur la configuration des autorisations suivantes :
+ Relations de confiance entre le rôle et l’exécution de la tâche
+ Autorisations IAM supplémentaires associées au rôle d'exécution des tâches
+ (facultatif) La politique AWS KMS d'autorisation pour utiliser une clé KMS personnalisée
**Important**
Si votre AWS compte appartient à une organisation ayant mis en place des politiques de contrôle des services (SCP), vos autorisations effectives constituent l'intersection logique entre ce qui est autorisé par votre rôle IAM et les politiques utilisateur. SCPs Par exemple, si la politique SCP de votre organisation indique que vous ne pouvez accéder aux ressources que dans `us-east-1` et `us-west-1`, et que vos politiques vous autorisent uniquement à accéder aux ressources dans `us-west-1` et `us-west-2`, en fin de compte, vous pouvez accéder aux ressources uniquement dans `us-west-1`. Si vous souhaitez exercer toutes les autorisations autorisées dans votre rôle et vos politiques utilisateur, celles de votre organisation SCPs doivent accorder le même ensemble d'autorisations que vos propres politiques relatives aux utilisateurs et aux rôles IAM. Pour en savoir plus sur la manière de déterminer vos demandes autorisées, consultez [Identification d'une demande autorisée ou refusée dans un compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow).
**Relations d'approbation**
Pour modifier les relations d'approbation, procédez comme suit :
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/).
1. Sélectionnez **Roles** (Rôles) dans le panneau de gauche.
1. Recherchez le rôle d'exécution de la tâche pour votre tâche de bloc-notes et choisissez le nom du rôle.
1. Choisissez l’onglet **Relations de confiance**.
1. Choisissez **Modifier la politique d’approbation**.
1. Copiez-collez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Update Policy** (Mettre à jour la politique).
## Autorisations IAM supplémentaires
Il se peut que vous deviez inclure des autorisations IAM supplémentaires dans les situations suivantes :
+ Les rôles de vos tâches de bloc-notes et d'exécution Studio sont différents
+ Vous devez accéder aux ressources Amazon S3 via le point de terminaison d'un VPC S3
+ Vous souhaitez utiliser une clé KMS personnalisée pour chiffrer vos compartiments Amazon S3 d'entrée et de sortie
La discussion suivante fournit les politiques dont vous avez besoin pour chaque cas.
### Autorisations requises si les rôles de vos tâches de bloc-notes et d'exécution Studio sont différents
L’extrait JSON suivant est un exemple de politique que vous devez ajouter aux rôles d’exécution Studio et de tâche de bloc-notes si vous n’utilisez pas le rôle d’exécution Studio comme rôle de tâche de bloc-notes. Passez en revue cette politique et modifiez-la si vous devez restreindre davantage les privilèges.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}
```
------
### Autorisations requises pour accéder aux ressources Amazon S3 via le point de terminaison d'un VPC S3
Si vous exécutez SageMaker Studio en mode VPC privé et que vous accédez à S3 via le point de terminaison VPC S3, vous pouvez ajouter des autorisations à la politique de point de terminaison VPC afin de contrôler quelles ressources S3 sont accessibles via le point de terminaison VPC. Ajoutez les autorisations suivantes à votre politique de point de terminaison de VPC. Vous pouvez modifier la politique si vous devez restreindre davantage les autorisations : par exemple, vous pouvez fournir une spécification plus précise pour le champ `Principal`.
```
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}
```
Pour plus de détails sur la façon de configurer une politique de point de terminaison de VPC S3, consultez [Pour modifier la politique de point de terminaison de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
### Autorisations nécessaires pour utiliser une clé KMS personnalisée (facultatif)
Par défaut, les compartiments Amazon S3 d'entrée et de sortie sont chiffrés à l'aide d'un chiffrement côté serveur, mais vous pouvez spécifier une clé KMS personnalisée pour chiffrer vos données dans le compartiment Amazon S3 de sortie et le volume de stockage attaché à la tâche de bloc-notes.
Si vous souhaitez utiliser une clé KMS personnalisée, joignez la politique suivante et fournissez votre propre ARN de clé KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
# Installation de politiques et d'autorisations pour les environnements Jupyter locaux
Vous devez configurer les autorisations et les politiques nécessaires pour planifier des tâches de bloc-notes dans un environnement Jupyter local. L'utilisateur IAM a besoin d'autorisations pour soumettre des tâches à l' SageMaker IA et le rôle IAM assumé par la tâche de bloc-notes elle-même nécessite des autorisations pour accéder aux ressources, en fonction des tâches de la tâche. Vous trouverez ci-dessous des instructions sur la configuration des autorisations et des politiques nécessaires.
Vous devez installer deux ensembles d’autorisations. Le schéma suivant montre la structure d’autorisation qui vous permet de planifier des tâches de bloc-notes dans un environnement Jupyter local. L'utilisateur IAM doit configurer les autorisations IAM afin de soumettre des tâches à SageMaker AI. Une fois que l’utilisateur a soumis la tâche de bloc-notes, la tâche elle-même endosse un rôle IAM qui nécessite des autorisations pour accéder aux ressources en fonction des tâches de la tâche.
![\[\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/notebook-jobs-permissions.png)
Les sections suivantes vous aident à installer les politiques et les autorisations nécessaires à la fois pour l’utilisateur IAM et pour le rôle d’exécution de tâche.
## Autorisations des utilisateurs IAM
**Autorisations pour soumettre des offres d'emploi à l' SageMaker IA**
Pour ajouter des autorisations pour soumettre des tâches, procédez comme suit :
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/).
1. Sélectionnez **Utilisateurs** dans le panneau de gauche.
1. Trouvez l'utilisateur IAM pour votre tâche de bloc-notes et choisissez le nom d'utilisateur.
1. Choisissez **Ajouter des autorisations**, puis **Créer une politique en ligne** dans le menu déroulant.
1. Choisissez l’onglet **JSON**.
1. Copiez-collez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EventBridgeSchedule",
"Effect": "Allow",
"Action": [
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:EnableRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "IAMPassrole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "IAMListRoles",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "S3ArtifactsAccess",
"Effect": "Allow",
"Action": [
"s3:PutEncryptionConfiguration",
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:DeleteObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemaker-automated-execution-*"
]
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:DescribePipeline",
"sagemaker:CreateTrainingJob",
"sagemaker:DeletePipeline",
"sagemaker:CreatePipeline"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "AllowSearch",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*"
},
{
"Sid": "SagemakerTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags",
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
**AWS KMS politique d'autorisation (facultatif)**
Par défaut, les compartiments Amazon S3 d'entrée et de sortie sont chiffrés à l'aide d'un chiffrement côté serveur, mais vous pouvez spécifier une clé KMS personnalisée pour chiffrer vos données dans le compartiment Amazon S3 de sortie et le volume de stockage attaché à la tâche de bloc-notes.
Si vous souhaitez utiliser une clé KMS personnalisée, répétez les instructions précédentes, attachez la politique suivante et fournissez votre propre ARN de clé KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
## Autorisations du rôle d'exécution de tâche
**Relations d'approbation**
Pour modifier les relations d'approbation du rôle d'exécution de tâche, procédez comme suit :
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/).
1. Sélectionnez **Roles** (Rôles) dans le panneau de gauche.
1. Recherchez le rôle d'exécution de la tâche pour votre tâche de bloc-notes et choisissez le nom du rôle.
1. Choisissez l’onglet **Relations de confiance**.
1. Choisissez **Modifier la politique d’approbation**.
1. Copiez-collez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Autorisations supplémentaires**
Une fois soumise, la tâche de bloc-notes a besoin d'autorisations pour accéder aux ressources. Les instructions suivantes vous montrent comment ajouter un ensemble minimal d'autorisations. Si nécessaire, ajoutez des autorisations supplémentaires en fonction des besoins de votre tâche de bloc-notes. Pour ajouter des autorisations à votre rôle d'exécution de tâche, procédez comme suit :
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/).
1. Sélectionnez **Roles** (Rôles) dans le panneau de gauche.
1. Recherchez le rôle d’exécution de la tâche pour votre tâche de bloc-notes et choisissez le nom du rôle.
1. Choisissez **Ajouter des autorisations**, puis **Créer une politique en ligne** dans le menu déroulant.
1. Choisissez l’onglet **JSON**.
1. Copiez-collez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassroleForJobCreation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "S3ForStoringArtifacts",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:StartPipelineExecution",
"sagemaker:CreateTrainingJob"
],
"Resource": "*"
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability"
],
"Resource": "*"
}
]
}
```
------
1. Ajoutez des autorisations aux autres ressources auxquelles votre tâche de bloc-notes accède.
1. Choisissez **Examiner une politique**.
1. Entrez un nom pour votre politique.
1. Choisissez **Create Policy** (Créer une politique).