Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Hubungkan JupyterLab notebook Studio ke Amazon S3 Access Grants dengan propagasi identitas tepercaya diaktifkan
Anda dapat menggunakan [Amazon S3 Access Grants untuk secara fleksibel memberikan kontrol akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) butir halus berbasis identitas ke lokasi Amazon S3. Ini memberikan akses bucket Amazon S3 langsung ke pengguna dan grup perusahaan Anda. Halaman berikut memberikan informasi dan instruksi tentang cara menggunakan Amazon S3 Access Grants dengan propagasi identitas tepercaya untuk AI. SageMaker
## Prasyarat
Untuk menghubungkan Studio ke Lake Formation dan Athena dengan propagasi identitas tepercaya diaktifkan, pastikan Anda telah menyelesaikan prasyarat berikut:
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ Ikuti cara [memulai dengan Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) untuk menyiapkan Amazon S3 Access Grants untuk bucket Anda. Lihat [penskalaan akses data dengan Amazon S3 Access](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/) Grants untuk informasi selengkapnya.
**catatan**
Amazon S3 standar APIs tidak secara otomatis berfungsi dengan Hibah Akses Amazon S3. Anda harus secara eksplisit menggunakan Hibah Akses Amazon S3. APIs Lihat [Mengelola akses dengan Hibah Akses Amazon S3 untuk informasi selengkapnya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
**Topics**
+ [Prasyarat](#s3-access-grants-prerequisites)
+ [Hubungkan Hibah Akses Amazon S3 dengan notebook Studio JupyterLab](s3-access-grants-setup.md)
+ [Hubungkan JupyterLab notebook Studio ke Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan](trustedidentitypropagation-s3-access-grants-jobs.md)
# Hubungkan Hibah Akses Amazon S3 dengan notebook Studio JupyterLab
Gunakan informasi berikut untuk memberikan Hibah Akses Amazon S3 di buku catatan Studio. JupyterLab
[Setelah Amazon S3 Access Grants disiapkan, [tambahkan izin berikut ke peran eksekusi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) domain atau pengguna Anda.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)
+ `us-east-1`adalah Anda Wilayah AWS
+ `111122223333`adalah Akun AWS ID Anda
+ `S3-ACCESS-GRANT-ROLE`adalah peran Hibah Akses Amazon S3 Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Pastikan kebijakan kepercayaan peran Amazon S3 Access Grants memungkinkan dan tindakan. `sts:SetContext` `sts:AssumeRole` Berikut ini adalah contoh kebijakan ketika Anda [memperbarui kebijakan kepercayaan peran Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Gunakan Hibah Akses Amazon S3 untuk memanggil Amazon S3
Berikut ini adalah contoh skrip Python yang menunjukkan bagaimana Amazon S3 Access Grants dapat digunakan untuk memanggil Amazon S3. Ini mengasumsikan Anda telah berhasil mengatur propagasi identitas tepercaya dengan SageMaker AI.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Jika Anda menggunakan jalur ke bucket Amazon S3 di mana hibah akses Amazon S3 tidak diaktifkan, panggilan akan gagal.
Untuk bahasa pemrograman lainnya, lihat [Mengelola akses dengan Hibah Akses Amazon S3 untuk informasi selengkapnya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
# Hubungkan JupyterLab notebook Studio ke Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan
Gunakan informasi berikut untuk memberikan Hibah Akses Amazon S3 untuk mengakses data dalam pekerjaan SageMaker Pelatihan dan Pemrosesan Amazon.
Saat pengguna dengan propagasi identitas tepercaya diaktifkan meluncurkan pekerjaan SageMaker Pelatihan atau Pemrosesan yang perlu mengakses data Amazon S3:
+ SageMaker AI memanggil Amazon S3 Access Grants untuk mendapatkan kredensyal sementara berdasarkan identitas pengguna
+ Jika berhasil, kredensyal sementara ini mengakses data Amazon S3
+ Jika tidak berhasil, SageMaker AI kembali menggunakan kredensyal peran IAM
**catatan**
[Untuk menegakkan bahwa semua izin diberikan melalui Hibah Akses Amazon S3, Anda harus menghapus izin akses Amazon S3 terkait peran eksekusi Anda dan melampirkannya ke Hibah Akses Amazon S3 yang sesuai.](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant)
**Topics**
+ [Pertimbangan-pertimbangan](#s3-access-grants-jobs-considerations)
+ [Siapkan Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan](#s3-access-grants-jobs-setup)
## Pertimbangan-pertimbangan
Hibah Akses Amazon S3 tidak dapat digunakan dengan [mode Pipa](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) untuk SageMaker Pelatihan dan Pemrosesan untuk input Amazon S3.
Ketika propagasi identitas tepercaya diaktifkan, Anda tidak dapat meluncurkan SageMaker Training Job dengan fitur berikut
+ Debug Jarak Jauh
+ Debugger
+ Profiler
Ketika propagasi identitas tepercaya diaktifkan, Anda tidak dapat meluncurkan pekerjaan Pemrosesan dengan fitur berikut
+ DatasetDefinition
## Siapkan Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan
[Setelah Amazon S3 Access Grants disiapkan, [tambahkan izin berikut ke peran eksekusi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) domain atau pengguna Anda.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)
+ `us-east-1`adalah Anda Wilayah AWS
+ `111122223333`adalah Akun AWS ID Anda
+ `S3-ACCESS-GRANT-ROLE`adalah peran Hibah Akses Amazon S3 Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------