View a markdown version of this page

IAM pour les plans de SageMaker formation - Amazon SageMaker AI
Politiques géréesAutorisations individuelles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAM pour les plans de SageMaker formation

SageMaker les plans de formation nécessitent des autorisations spécifiques pour deux rôles distincts :

  1. Rôle de créateur de plan : les utilisateurs auxquels le rôle Créateur de plan a été attribué doivent être autorisés à rechercher des offres de plans d’entraînement, à créer de nouveaux plans d’entraînement, ainsi qu’à répertorier et à décrire les plans d’entraînement.

  2. Rôle d'utilisateur du plan : les utilisateurs ayant le rôle d'utilisateur du plan doivent être autorisés à utiliser les plans de formation dans le cadre de tâches de SageMaker formation ou lors de la création et de la mise à jour de SageMaker HyperPod clusters.

Avant d'utiliser les plans de SageMaker formation, mettez à jour les autorisations en fonction de votre méthode d'accès :

  • Pour AWS Management Console nos SageMaker SDKs utilisateurs : mettez à jour les autorisations du rôle IAM configuré pour l'utilisateur de la console ou de l'API.

  • Pour AWS CLI les utilisateurs : assurez-vous que votre AWS CLI profil est correctement configuré avec les informations d'identification et les autorisations appropriées.

  • Pour les utilisateurs de l'application Studio JupyterLab, par exemple, définissez des autorisations sur le rôle d'exécution associé à l'espace utilisé par l'application.

Vous pouvez définir ces autorisations à l’aide d’une politique gérée ou d’autorisations individuelles plus détaillées.

Pour en savoir plus sur la manière de mettre à jour la politique d’autorisations pour un rôle, consultez Mise à jour des autorisations pour un rôle. Pour en savoir plus sur la manière de rechercher et de mettre à jour un rôle d’exécution, consultez Obtention de votre rôle d’exécution.

Note

Les administrateurs doivent soigneusement déterminer quels utilisateurs doivent être en mesure de créer des plans d’entraînement et d’attribuer des autorisations en conséquence.

Politiques gérées

Note

  • La politique AmazonSageMakerFullAccess gérée est conçue comme une ease-of-use politique principalement à des fins d'expérimentation. Bien qu'il fournisse un accès étendu aux fonctionnalités de l' SageMaker IA, notamment à l'utilisation de plans de formation, il est important de noter que :

    • Cette politique n’est pas recommandée pour les environnements de production en raison de ses autorisations étendues.

    • Elle n’inclut pas les autorisations pour créer des plans d’entraînement, car CreateTrainingPlan est considéré comme une action administrative nécessitant un paiement initial.

    • Pour les cas d’utilisation en production, nous recommandons vivement de créer des politiques personnalisées qui respectent le principe du moindre privilège, en accordant uniquement les autorisations spécifiques requises pour chaque rôle.

Autorisations individuelles

La liste suivante détaille les autorisations granulaires qui doivent être définies dans les déclarations de politique IAM d'un rôle, en fonction des actions spécifiques que l'utilisateur doit effectuer dans le cadre des plans de SageMaker formation :

Liste des autorisations des plans d’entraînement

  • SearchTrainingPlanOfferings : cette autorisation permet aux utilisateurs de rechercher les offres de plans d’entraînement disponibles.

    {
  "Sid": "SearchTrainingPlanOfferingsPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:SearchTrainingPlanOfferings"
  ],
  "Resource": "*"
}

  • CreateTrainingPlan : cette autorisation permet aux utilisateurs de créer de nouveaux plans d’entraînement.

    Note

    Vous devez également inclure des autorisations pour CreateReservedCapacity et AddTags, et spécifier les deux types de ressources training-plan et reserved-capacity.

    {
  "Sid": "CreateTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:CreateTrainingPlan",
    "sagemaker:CreateReservedCapacity",
    "sagemaker:AddTags"
  ],
  "Resource": [
    "arn:aws:sagemaker:*:*:training-plan/*",
    "arn:aws:sagemaker:*:*:reserved-capacity/*"
  ]
}

  • DescribeTrainingPlan : cette autorisation permet aux utilisateurs de visualiser les détails des plans d’entraînement existants.

    {
  "Sid": "DescribeTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:DescribeTrainingPlan"
  ],
  "Resource": [
    "arn:aws:sagemaker:::training-plan/*"
  ]
}

  • ListTrainingPlans: Cette autorisation permet aux utilisateurs de répertorier tous les plans de formation de leur AWS compte.

    {
  "Sid": "ListTrainingPlansPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:ListTrainingPlans"
  ],
  "Resource": "*"
}

Autorisations individuelles par type d’utilisateur

Cette section fournit une répartition détaillée des autorisations individuelles requises pour chaque rôle, telles qu’indiquées dans la section IAM pour les plans de SageMaker formation.

Pour les créateurs de plans, les autorisations suivantes sont nécessaires :

  • sagemaker:SearchTrainingPlanOfferings

  • sagemaker:CreateTrainingPlan

  • sagemaker:CreateReservedCapacity

  • sagemaker:AddTags

  • sagemaker:DescribeTrainingPlan

  • sagemaker:ListTrainingPlans

Les utilisateurs de plans ont besoin des autorisations suivantes :

  • sagemaker:CreateTrainingJob(pour SageMaker Training Job)

  • sagemaker:CreateClusteret sagemaker:UpdateCluster (pour SageMaker HyperPod)

  • Accès aux reserved-capacity ressources training-plan et ; lors de la configuration des politiques IAM pour les plans de SageMaker formation, incluez des autorisations pour les deux training-plan et pour les reserved-capacity ressources. Ces ressources sont nécessaires à la fois pour les emplois SageMaker de formation et pour les SageMaker HyperPod clusters. Cela permet à vos rôles IAM d'interagir avec les ressources des plans de SageMaker formation et de gérer les capacités réservées.

    • Pour les emplois de SageMaker formation, assurez-vous que votre politique inclut les "arn:aws:sagemaker:::reserved-capacity/" ressources "arn:aws:sagemaker:::training-plan/" et ARNs.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateTrainingJob"
      ],
      "Resource": [
        "arn:aws:sagemaker:us-east-2:111122223333:training-job/",
        "arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
        "arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
      ]
    }
  ]
}

De même, pour les SageMaker HyperPod configurations, incluez-les ARNs en plus des ressources spécifiques au cluster.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateCluster",
        "sagemaker:UpdateCluster"
      ],
      "Resource": [
        "arn:aws:sagemaker:us-east-2:111122223333:cluster/",
        "arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
        "arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
      ]
    }
  ]
}