Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida all’installazione
Di seguito vengono fornite informazioni su cosa è necessario installare per utilizzare Notebook Jobs nel proprio ambiente. JupyterLab
**Per Amazon SageMaker Studio e Amazon SageMaker Studio Lab**
Se il notebook è in Amazon SageMaker Studio o Amazon SageMaker Studio Lab, non è necessario eseguire installazioni aggiuntive: SageMaker Notebook Jobs è integrato nella piattaforma. Per configurare le autorizzazioni necessarie per Studio, consulta [Configurazione di policy e autorizzazioni per Studio](scheduled-notebook-policies-studio.md).
**Per i notebook Jupyter locali**
Se desideri utilizzare SageMaker Notebook Jobs per il tuo JupyterLab ambiente locale, devi eseguire un'installazione aggiuntiva.
Per installare SageMaker Notebook Jobs, completa i seguenti passaggi:
1. Installa Python 3. Per i dettagli, consulta [Installazione dei pacchetti Python 3 e Python](https://www.codecademy.com/article/install-python3).
1. Installa JupyterLab la versione 4 o successiva. Per i dettagli, consulta la [documentazione JupyterLab SDK](https://jupyterlab.readthedocs.io/en/stable/getting_started/installation.html).
1. Installa il. AWS CLI Per informazioni, consulta [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Installa due set di autorizzazioni. L'utente IAM necessita delle autorizzazioni per inviare lavori all' SageMaker IA e, una volta inviato, il lavoro notebook stesso assume un ruolo IAM che richiede le autorizzazioni per accedere alle risorse a seconda delle attività lavorative.
1. Se non è ancora stato creato un utente IAM, consulta [Creazione di un utente IAM nel tuo account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html).
1. Se non hai ancora creato il ruolo di un notebook, consulta [Creazione di un ruolo per delegare le autorizzazioni a un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
1. Collega le autorizzazioni e la policy di attendibilità necessarie al tuo utente e ruolo. Per step-by-step istruzioni e dettagli sulle autorizzazioni, consulta. [Installazione di policy e autorizzazioni per gli ambienti Jupyter locali](scheduled-notebook-policies-other.md)
1. Genera AWS credenziali per il tuo utente IAM appena creato e salvale nel file delle credenziali (\$1/.aws/credentials) del tuo ambiente. JupyterLab È possibile farlo tramite il comando CLI `aws configure`. Per le istruzioni, consulta la sezione *Impostazione e visualizzazione delle impostazioni di configurazione utilizzando i comandi* in [Configurazione e impostazioni dei file di credenziali](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html).
1. (opzionale) Per impostazione predefinita, l'estensione scheduler utilizza un'immagine Docker SageMaker AI predefinita con Python 2.0. Qualsiasi kernel non predefinito utilizzato nel notebook deve essere installato nel container. Se desideri eseguire il notebook in un container o un'immagine Docker, devi creare un'immagine Amazon Elastic Container Registry (Amazon ECR). Per informazioni su come inviare un'immagine Docker a un'immagine Amazon ECR, consulta [Invio di un’immagine Docker](https://docs.aws.amazon.com/AmazonECR/latest/userguide/docker-push-ecr-image.html).
1. Aggiungi l' JupyterLab estensione per Notebook Jobs. SageMaker Puoi aggiungerlo al tuo JupyterLab ambiente con il comando:`pip install amazon_sagemaker_jupyter_scheduler`. Potrebbe essere necessario riavviare il server Jupyter con il comando: `sudo systemctl restart jupyter-server`.
1. Inizia JupyterLab con il comando:`jupyter lab`.
1. Verifica che il widget Notebook Jobs (![\[Blue icon of a calendar with a checkmark, representing a scheduled task or event.\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/icons/notebook-schedule.png)) appaia nella barra delle operazioni del notebook Jupyter.
# Configurazione di policy e autorizzazioni per Studio
Prima di pianificare la tua prima esecuzione del notebook, devi installare le policy e le autorizzazioni appropriate. Di seguito vengono fornite istruzioni sulla configurazione delle autorizzazioni seguenti:
+ Relazioni di attendibilità per il ruolo di esecuzione del processo
+ Autorizzazioni IAM aggiuntive collegate al ruolo di esecuzione del processo
+ (opzionale) La politica di AWS KMS autorizzazione per l'utilizzo di una chiave KMS personalizzata
**Importante**
Se il tuo AWS account appartiene a un'organizzazione con policy di controllo dei servizi (SCP), le tue autorizzazioni effettive sono l'intersezione logica tra ciò che è consentito dal tuo ruolo IAM SCPs e ciò che è consentito dal tuo ruolo IAM e dalle politiche utente. Ad esempio, se l'SCP dell'organizzazione specifica che è possibile accedere solo alle risorse in `us-east-1` e `us-west-1`, e le policy consentono solo di accedere alle risorse contenute in `us-west-1` e `us-west-2`, in ultima analisi, è possibile accedere solo alle risorse contenute in `us-west-1`. Se desideri esercitare tutte le autorizzazioni consentite nelle tue policy relative al ruolo e agli utenti, la tua organizzazione SCPs dovrebbe concedere lo stesso set di autorizzazioni delle tue policy IAM relative agli utenti e ai ruoli. Per informazioni su come determinare le richieste consentite, consulta la sezione [Determinazione della concessione o del rifiuto di una richiesta in un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow).
**Relazioni di attendibilità**
Per modificare le relazioni di attendibilità, completa la seguente procedura:
1. Apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Seleziona **Ruoli** nel pannello a sinistra.
1. Trova il ruolo di esecuzione del processo per il processo relativo al notebook e scegli il nome del ruolo.
1. Seleziona la scheda **Relazioni di attendibilità**
1. Seleziona **Modifica policy di attendibilità**.
1. Copia e incolla la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Scegli **Aggiorna policy**.
## Autorizzazioni aggiuntive per IAM
Potrebbe essere necessario includere autorizzazioni IAM aggiuntive nelle seguenti situazioni:
+ I ruoli di esecuzione in Studio e dei processi relativi ai notebook sono diversi
+ Devi accedere alle risorse Amazon S3 tramite un endpoint VPC S3
+ Desideri utilizzare una chiave KMS personalizzata per crittografare i bucket Amazon S3 di input e output
La discussione seguente fornisce le policy necessarie per ogni caso.
### Autorizzazioni necessarie se i ruoli di esecuzione in Studio e dei processi relativi ai notebook sono diversi
Il seguente frammento di codice JSON è un esempio di policy da aggiungere ai ruoli di esecuzione in Studio e dei processi relativi ai notebook se non si utilizza il ruolo di esecuzione di Studio come ruolo di processo relativo al notebook. Rivedi e modifica questa policy se devi limitare ulteriormente i privilegi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}
```
------
### Autorizzazioni necessarie per accedere alle risorse Amazon S3 tramite un endpoint VPC S3
Se esegui SageMaker Studio in modalità VPC privata e accedi a S3 tramite l'endpoint VPC S3, puoi aggiungere autorizzazioni alla policy degli endpoint VPC per controllare quali risorse S3 sono accessibili tramite l'endpoint VPC. Aggiungi le seguenti autorizzazioni alla tua policy sugli endpoint VPC. Puoi modificare la policy se devi limitare ulteriormente le autorizzazioni, ad esempio fornendo specifiche più restrittive per il campo `Principal`.
```
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}
```
Per informazioni dettagliate su come configurare una policy per gli endpoint VPC di S3, consulta [Modifica della policy degli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
### Autorizzazioni necessarie per utilizzare una chiave KMS personalizzata (opzionale)
Per impostazione predefinita, i bucket Amazon S3 di input e output sono crittografati utilizzando la crittografia lato server; tuttavia, puoi specificare una chiave KMS personalizzata per crittografare i dati nel bucket Amazon S3 di output e nel volume di storage collegato al processo relativo al notebook.
Se desideri utilizzare una chiave KMS personalizzata, collega la seguente policy e fornisci l’ARN della chiave KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
# Installazione di policy e autorizzazioni per gli ambienti Jupyter locali
Devi configurare le autorizzazioni e le policy necessarie per pianificare i processi del notebook negli ambienti Jupyter locali. L'utente IAM necessita delle autorizzazioni per inviare lavori all' SageMaker IA e il ruolo IAM che il job notebook stesso assume richiede le autorizzazioni per accedere alle risorse, a seconda delle attività lavorative. Di seguito vengono fornite istruzioni sulla configurazione delle autorizzazioni e delle policy necessarie.
Dovrai installare due set di autorizzazioni. Il diagramma seguente mostra la struttura delle autorizzazioni per pianificare i processi del notebook in un ambiente Jupyter locale. L'utente IAM deve configurare le autorizzazioni IAM per inviare lavori all'IA. SageMaker Dopo l'invio del processo del notebook da parte dell'utente, il processo stesso assume un ruolo IAM che ha l’autorizzazione per accedere alle risorse a seconda delle attività del processo.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/notebook-jobs-permissions.png)
Le seguenti sezioni aiutano a installare le policy e le autorizzazioni necessarie sia per l'utente IAM che per il ruolo di esecuzione del processo.
## Autorizzazioni degli utenti IAM
**Autorizzazioni per inviare lavori all'IA SageMaker **
Per aggiungere le autorizzazioni per inviare i processi, completa la seguente procedura:
1. Apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Seleziona **Utenti** nel pannello a sinistra.
1. Trova l'utente IAM per il tuo processo relativo al notebook e scegli il nome utente.
1. Scegli **Aggiungi autorizzazioni**, quindi seleziona **Crea policy inline** dal menu a discesa.
1. Scegli la scheda **JSON**.
1. Copia e incolla la policy seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EventBridgeSchedule",
"Effect": "Allow",
"Action": [
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:EnableRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "IAMPassrole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "IAMListRoles",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "S3ArtifactsAccess",
"Effect": "Allow",
"Action": [
"s3:PutEncryptionConfiguration",
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:DeleteObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemaker-automated-execution-*"
]
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:DescribePipeline",
"sagemaker:CreateTrainingJob",
"sagemaker:DeletePipeline",
"sagemaker:CreatePipeline"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "AllowSearch",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*"
},
{
"Sid": "SagemakerTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags",
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
**AWS KMS politica di autorizzazione (opzionale)**
Per impostazione predefinita, i bucket Amazon S3 di input e output sono crittografati utilizzando la crittografia lato server; tuttavia, puoi specificare una chiave KMS personalizzata per crittografare i dati nel bucket Amazon S3 di output e nel volume di archiviazione collegato al processo relativo al notebook.
Se desideri utilizzare una chiave KMS personalizzata, ripeti le istruzioni precedenti collegando la policy seguente e fornisci l’ARN della chiave KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
## Autorizzazioni del ruolo di esecuzione del processo
**Relazioni di attendibilità**
Per modificare le relazioni di attendibilità del ruolo di esecuzione del processo, completa la seguente procedura:
1. Apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Seleziona **Ruoli** nel pannello a sinistra.
1. Trova il ruolo di esecuzione del processo per il processo relativo al notebook e scegli il nome del ruolo.
1. Seleziona la scheda **Relazioni di attendibilità**
1. Seleziona **Modifica policy di attendibilità**.
1. Copia e incolla la policy seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Autorizzazioni aggiuntive**
Una volta inviato, il processo relativo al notebook necessita delle autorizzazioni per accedere alle risorse. Le seguenti istruzioni mostrano come aggiungere un set minimo di autorizzazioni. Se necessario, aggiungi altre autorizzazioni in base alle esigenze del tuo processo relativo al notebook. Per aggiungere autorizzazioni al ruolo di esecuzione del processo, completa la seguente procedura:
1. Apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Seleziona **Ruoli** nel pannello a sinistra.
1. Trova il ruolo di esecuzione del processo per il processo relativo al notebook e scegli il nome del ruolo.
1. Scegli **Aggiungi autorizzazioni**, quindi seleziona **Crea policy inline** dal menu a discesa.
1. Scegli la scheda **JSON**.
1. Copia e incolla la policy seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassroleForJobCreation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "S3ForStoringArtifacts",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:StartPipelineExecution",
"sagemaker:CreateTrainingJob"
],
"Resource": "*"
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability"
],
"Resource": "*"
}
]
}
```
------
1. Aggiungi le autorizzazioni ad altre risorse a cui accede il processo relativo al notebook.
1. Scegliere **Esamina policy**.
1. Immetti un nome da assegnare alla policy.
1. Scegli **Crea policy**.