Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Panduan instalasi
Berikut ini memberikan informasi tentang apa yang perlu Anda instal untuk menggunakan Pekerjaan Notebook di JupyterLab lingkungan Anda.
**Untuk Amazon SageMaker Studio dan Amazon SageMaker Studio Lab**
Jika notebook Anda ada di Amazon SageMaker Studio atau Amazon SageMaker Studio Lab, Anda tidak perlu melakukan penginstalan tambahan— Pekerjaan SageMaker Notebook dibangun ke dalam platform. Untuk menyiapkan izin yang diperlukan untuk Studio, lihat[Menyiapkan kebijakan dan izin untuk Studio](scheduled-notebook-policies-studio.md).
**Untuk notebook Jupyter lokal**
Jika Anda ingin menggunakan Pekerjaan SageMaker Notebook untuk JupyterLab lingkungan lokal Anda, Anda perlu melakukan instalasi tambahan.
Untuk menginstal Pekerjaan SageMaker Notebook, selesaikan langkah-langkah berikut:
1. Instal Python 3. Untuk detailnya, lihat [Menginstal Paket Python 3 dan Python](https://www.codecademy.com/article/install-python3).
1. Instal JupyterLab versi 4 atau lebih tinggi. Untuk detailnya, lihat [dokumentasi JupyterLab SDK](https://jupyterlab.readthedocs.io/en/stable/getting_started/installation.html).
1. Instal AWS CLI. Untuk detailnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Instal dua set izin. Pengguna IAM membutuhkan izin untuk mengirimkan pekerjaan ke SageMaker AI, dan setelah dikirimkan, pekerjaan notebook itu sendiri mengasumsikan peran IAM yang memerlukan izin untuk mengakses sumber daya tergantung pada tugas pekerjaan.
1. Jika Anda belum membuat pengguna IAM, lihat [Membuat pengguna IAM di akun Anda AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html).
1. Jika Anda belum membuat peran pekerjaan notebook, lihat [Membuat peran untuk mendelegasikan izin ke pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
1. Lampirkan izin dan kebijakan kepercayaan yang diperlukan untuk dilampirkan ke pengguna dan peran Anda. Untuk step-by-step instruksi dan detail izin, lihat[Menginstal kebijakan dan izin untuk lingkungan Jupyter lokal](scheduled-notebook-policies-other.md).
1. Hasilkan AWS kredensyal untuk pengguna IAM Anda yang baru dibuat dan simpan di file kredensyal (\$1/.aws/credentials) lingkungan Anda. JupyterLab Anda dapat melakukan ini dengan perintah CLI. `aws configure` Untuk petunjuknya, lihat bagian *Mengatur dan melihat pengaturan konfigurasi menggunakan perintah* di [Pengaturan file konfigurasi dan kredensi](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html).
1. (opsional) Secara default, ekstensi penjadwal menggunakan gambar SageMaker AI Docker yang sudah dibuat sebelumnya dengan Python 2.0. Kernel non-default apa pun yang digunakan dalam notebook harus dipasang di wadah. Jika Anda ingin menjalankan notebook Anda dalam wadah atau gambar Docker, Anda perlu membuat gambar Amazon Elastic Container Registry (Amazon ECR). Untuk informasi tentang cara mendorong image Docker ke Amazon ECR, lihat [Mendorong Gambar Docker](https://docs.aws.amazon.com/AmazonECR/latest/userguide/docker-push-ecr-image.html).
1. Tambahkan JupyterLab ekstensi untuk Pekerjaan SageMaker Notebook. Anda dapat menambahkannya ke JupyterLab lingkungan Anda dengan perintah:`pip install amazon_sagemaker_jupyter_scheduler`. Anda mungkin perlu me-restart server Jupyter Anda dengan perintah:. `sudo systemctl restart jupyter-server`
1. Mulailah JupyterLab dengan perintah:`jupyter lab`.
1. Verifikasi bahwa widget (![\[Blue icon of a calendar with a checkmark, representing a scheduled task or event.\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/icons/notebook-schedule.png)) Pekerjaan Notebook muncul di bilah tugas notebook Jupyter Anda.
# Menyiapkan kebijakan dan izin untuk Studio
Anda harus menginstal kebijakan dan izin yang tepat sebelum menjadwalkan proses notebook pertama Anda. Berikut ini memberikan petunjuk tentang pengaturan izin berikut:
+ Hubungan kepercayaan peran eksekusi pekerjaan
+ Izin IAM tambahan yang dilampirkan pada peran eksekusi pekerjaan
+ (opsional) Kebijakan AWS KMS izin untuk menggunakan kunci KMS kustom
**penting**
Jika AWS akun Anda milik organisasi dengan kebijakan kontrol layanan (SCP), izin efektif Anda adalah persimpangan logis antara apa yang diizinkan oleh dan apa yang diizinkan oleh peran IAM SCPs dan kebijakan pengguna Anda. Misalnya, jika SCP organisasi Anda menetapkan bahwa Anda hanya dapat mengakses sumber daya di `us-east-1` dan`us-west-1`, dan kebijakan Anda hanya memungkinkan Anda untuk mengakses sumber daya di `us-west-1` dan`us-west-2`, pada akhirnya Anda hanya dapat mengakses sumber daya di. `us-west-1` Jika Anda ingin menggunakan semua izin yang diizinkan dalam peran dan kebijakan pengguna, organisasi Anda SCPs harus memberikan kumpulan izin yang sama dengan kebijakan pengguna dan peran IAM Anda sendiri. Untuk detail tentang cara menentukan permintaan yang diizinkan, lihat [Menentukan apakah permintaan diizinkan atau ditolak dalam akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow).
**Hubungan kepercayaan**
Untuk mengubah hubungan kepercayaan, selesaikan langkah-langkah berikut:
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** di panel kiri.
1. Temukan peran eksekusi pekerjaan untuk pekerjaan notebook Anda dan pilih nama peran.
1. Pilih tab **Trust relationship**.
1. Pilih **Edit kebijakan kepercayaan**.
1. Salin dan tempel kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Pilih **Kebijakan Perbarui**.
## Izin IAM tambahan
Anda mungkin perlu menyertakan izin IAM tambahan dalam situasi berikut:
+ Eksekusi Studio dan peran pekerjaan notebook Anda berbeda
+ Anda perlu mengakses sumber daya Amazon S3 melalui titik akhir VPC S3
+ Anda ingin menggunakan kunci KMS khusus untuk mengenkripsi bucket Amazon S3 masukan dan output Anda
Diskusi berikut memberikan kebijakan yang Anda butuhkan untuk setiap kasus.
### Izin diperlukan jika eksekusi Studio dan peran pekerjaan notebook Anda berbeda
Cuplikan JSON berikut adalah contoh kebijakan yang harus ditambahkan ke eksekusi Studio dan peran pekerjaan notebook jika Anda tidak menggunakan peran eksekusi Studio sebagai peran pekerjaan notebook. Tinjau dan ubah kebijakan ini jika Anda perlu membatasi hak istimewa lebih lanjut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}
```
------
### Izin yang diperlukan untuk mengakses sumber daya Amazon S3 melalui titik akhir VPC S3
Jika Anda menjalankan SageMaker Studio dalam mode VPC pribadi dan mengakses S3 melalui titik akhir VPC S3, Anda dapat menambahkan izin ke kebijakan titik akhir VPC untuk mengontrol sumber daya S3 mana yang dapat diakses melalui titik akhir VPC. Tambahkan izin berikut ke kebijakan titik akhir VPC Anda. Anda dapat mengubah kebijakan jika perlu membatasi izin lebih lanjut—misalnya, Anda dapat memberikan spesifikasi yang lebih sempit untuk bidang tersebut. `Principal`
```
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}
```
Untuk detail tentang cara menyiapkan kebijakan titik akhir VPC S3, lihat [Mengedit kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
### Izin yang diperlukan untuk menggunakan kunci KMS kustom (opsional)
Secara default, bucket input dan output Amazon S3 dienkripsi menggunakan enkripsi sisi server, tetapi Anda dapat menentukan kunci KMS khusus untuk mengenkripsi data Anda di bucket Amazon S3 keluaran dan volume penyimpanan yang dilampirkan ke pekerjaan notebook.
Jika Anda ingin menggunakan kunci KMS kustom, lampirkan kebijakan berikut dan berikan ARN kunci KMS Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
# Menginstal kebijakan dan izin untuk lingkungan Jupyter lokal
Anda perlu menyiapkan izin dan kebijakan yang diperlukan untuk menjadwalkan pekerjaan buku catatan di lingkungan Jupyter lokal. Pengguna IAM memerlukan izin untuk mengirimkan pekerjaan ke SageMaker AI dan peran IAM yang diasumsikan oleh pekerjaan notebook itu sendiri membutuhkan izin untuk mengakses sumber daya, tergantung pada tugas pekerjaan. Berikut ini akan memberikan petunjuk tentang cara mengatur izin dan kebijakan yang diperlukan.
Anda harus menginstal dua set izin. Diagram berikut menunjukkan struktur izin bagi Anda untuk menjadwalkan pekerjaan notebook di lingkungan Jupyter lokal. Pengguna IAM perlu mengatur izin IAM untuk mengirimkan pekerjaan ke AI. SageMaker Setelah pengguna mengirimkan pekerjaan notebook, pekerjaan itu sendiri mengasumsikan peran IAM yang memiliki izin untuk mengakses sumber daya tergantung pada tugas pekerjaan.
![\[\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/notebook-jobs-permissions.png)
Bagian berikut membantu Anda menginstal kebijakan dan izin yang diperlukan untuk pengguna IAM dan peran eksekusi pekerjaan.
## Izin pengguna IAM
**Izin untuk mengirimkan pekerjaan ke AI SageMaker **
Untuk menambahkan izin untuk mengirimkan pekerjaan, selesaikan langkah-langkah berikut:
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/).
1. Pilih **Pengguna** di panel kiri.
1. Temukan pengguna IAM untuk pekerjaan notebook Anda dan pilih nama pengguna.
1. Pilih **Tambahkan Izin**, dan pilih **Buat kebijakan sebaris** dari menu tarik-turun.
1. Pilih tab **JSON**.
1. Salin dan tempel kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EventBridgeSchedule",
"Effect": "Allow",
"Action": [
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:EnableRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "IAMPassrole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "IAMListRoles",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "S3ArtifactsAccess",
"Effect": "Allow",
"Action": [
"s3:PutEncryptionConfiguration",
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:DeleteObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemaker-automated-execution-*"
]
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:DescribePipeline",
"sagemaker:CreateTrainingJob",
"sagemaker:DeletePipeline",
"sagemaker:CreatePipeline"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "AllowSearch",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*"
},
{
"Sid": "SagemakerTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags",
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
**AWS KMS kebijakan izin (opsional)**
Secara default, bucket input dan output Amazon S3 dienkripsi menggunakan enkripsi sisi server, tetapi Anda dapat menentukan kunci KMS khusus untuk mengenkripsi data Anda di bucket Amazon S3 keluaran dan volume penyimpanan yang dilampirkan ke pekerjaan notebook.
Jika Anda ingin menggunakan kunci KMS kustom, ulangi instruksi sebelumnya, lampirkan kebijakan berikut, dan berikan ARN kunci KMS Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
## Izin peran eksekusi Job
**Hubungan kepercayaan**
Untuk mengubah hubungan kepercayaan peran eksekusi pekerjaan, selesaikan langkah-langkah berikut:
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** di panel kiri.
1. Temukan peran eksekusi pekerjaan untuk pekerjaan notebook Anda dan pilih nama peran.
1. Pilih tab **Trust relationship**.
1. Pilih **Edit kebijakan kepercayaan**.
1. Salin dan tempel kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Izin tambahan**
Setelah dikirimkan, pekerjaan notebook membutuhkan izin untuk mengakses sumber daya. Petunjuk berikut menunjukkan cara menambahkan seperangkat izin minimal. Jika perlu, tambahkan lebih banyak izin berdasarkan kebutuhan pekerjaan notebook Anda. Untuk menambahkan izin ke peran eksekusi pekerjaan Anda, selesaikan langkah-langkah berikut:
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** di panel kiri.
1. Temukan peran eksekusi pekerjaan untuk pekerjaan notebook Anda dan pilih nama peran.
1. Pilih **Tambahkan Izin**, dan pilih **Buat kebijakan sebaris** dari menu tarik-turun.
1. Pilih tab **JSON**.
1. Salin dan tempel kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassroleForJobCreation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "S3ForStoringArtifacts",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:StartPipelineExecution",
"sagemaker:CreateTrainingJob"
],
"Resource": "*"
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability"
],
"Resource": "*"
}
]
}
```
------
1. Tambahkan izin ke sumber daya lain yang diakses pekerjaan buku catatan Anda.
1. Pilih **Tinjau kebijakan**.
1. Masukkan nama untuk kebijakan Anda.
1. Pilih **Buat kebijakan**.