View a markdown version of this page

IAM SageMaker per i piani di formazione - Amazon SageMaker AI
Policy gestiteAutorizzazioni individuali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAM SageMaker per i piani di formazione

SageMaker i piani di formazione richiedono autorizzazioni specifiche per due ruoli distinti:

  1. Ruolo di creatore del piano: gli utenti a cui è assegnato il ruolo di Creatore del piano necessitano delle autorizzazioni per cercare le offerte dei piani di addestramento, creare nuovi piani di addestramento ed elencare e descrivere i piani di addestramento.

  2. Pianifica il ruolo utente: gli utenti con il ruolo Plan User richiedono le autorizzazioni per utilizzare i piani di formazione nei lavori di SageMaker formazione o durante la creazione e l'aggiornamento dei SageMaker HyperPod cluster.

Prima di utilizzare i piani SageMaker di formazione, aggiorna le autorizzazioni in base al metodo di accesso:

  • Per Console di gestione AWS gli utenti SageMaker dei nostri SDK: aggiorna le autorizzazioni del ruolo IAM configurato per l'utente della console o l'utente dell'API.

  • Per AWS CLI gli utenti: assicurati che il tuo AWS CLI profilo sia configurato correttamente con le credenziali e le autorizzazioni appropriate.

  • Per gli utenti dell'applicazione Studio JupyterLab, ad esempio, impostate le autorizzazioni sul ruolo di esecuzione associato allo spazio utilizzato dall'applicazione.

Puoi impostare queste autorizzazioni utilizzando una policy gestita o autorizzazioni individuali più granulari.

Per informazioni su come aggiornare la policy di autorizzazione per un ruolo, consulta Aggiornamento delle autorizzazioni per un ruolo. Per informazioni su come trovare e aggiornare un ruolo di esecuzione, consulta Acquisizione del ruolo di esecuzione.

Nota

Gli amministratori devono valutare attentamente quali utenti devono poter creare i piani di addestramento e assegnare le autorizzazioni di conseguenza.

Policy gestite

Nota

  • La policy gestita da AmazonSageMakerFullAccess è concepita come una policy di facile utilizzo progettata principalmente per la sperimentazione. Sebbene fornisca un ampio accesso alle funzionalità di SageMaker intelligenza artificiale, incluso l'uso di piani di formazione, è importante notare:

    • Questa policy non è consigliata per gli ambienti di produzione a causa delle sue autorizzazioni globali.

    • Non include le autorizzazioni per la creazione di piani di addestramento, perché CreateTrainingPlan è considerata un’azione amministrativa che richiede un pagamento anticipato.

    • Per i casi d’uso di produzione, consigliamo vivamente di creare policy personalizzate che rispettino il principio del privilegio minimo, concedendo solo le autorizzazioni specifiche richieste per ogni ruolo.

Autorizzazioni individuali

L'elenco seguente descrive in dettaglio le autorizzazioni granulari che devono essere impostate nelle dichiarazioni politiche IAM relative a un ruolo, in base alle azioni specifiche che un utente deve eseguire con i piani di SageMaker formazione:

Elenco delle autorizzazioni per i piani di addestramento

  • SearchTrainingPlanOfferings: questa autorizzazione consente agli utenti di cercare le offerte dei piani di addestramento disponibili.

    {
  "Sid": "SearchTrainingPlanOfferingsPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:SearchTrainingPlanOfferings"
  ],
  "Resource": "*"
}

  • CreateTrainingPlan: questa autorizzazione consente agli utenti di creare nuovi piani di addestramento.

    Nota

    Devi includere inoltre le autorizzazioni per CreateReservedCapacity e AddTags, nonché specificare entrambi i tipi di risorse training-plan e reserved-capacity.

    {
  "Sid": "CreateTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:CreateTrainingPlan",
    "sagemaker:CreateReservedCapacity",
    "sagemaker:AddTags"
  ],
  "Resource": [
    "arn:aws:sagemaker:*:*:training-plan/*",
    "arn:aws:sagemaker:*:*:reserved-capacity/*"
  ]
}

  • DescribeTrainingPlan: questa autorizzazione consente agli utenti di visualizzare i dettagli dei piani di addestramento esistenti.

    {
  "Sid": "DescribeTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:DescribeTrainingPlan"
  ],
  "Resource": [
    "arn:aws:sagemaker:::training-plan/*"
  ]
}

  • ListTrainingPlans: Questa autorizzazione consente agli utenti di elencare tutti i piani di formazione nel proprio AWS account.

    {
  "Sid": "ListTrainingPlansPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:ListTrainingPlans"
  ],
  "Resource": "*"
}

Autorizzazioni individuali per tipo di utente

Questa sezione fornisce un’analisi dettagliata delle autorizzazioni individuali richieste per ogni ruolo, come indicato nella sezione IAM SageMaker per i piani di formazione.

Per i creatori del piano, sono necessarie le autorizzazioni seguenti:

  • sagemaker:SearchTrainingPlanOfferings

  • sagemaker:CreateTrainingPlan

  • sagemaker:CreateReservedCapacity

  • sagemaker:AddTags

  • sagemaker:DescribeTrainingPlan

  • sagemaker:ListTrainingPlans

Gli utenti del piano richiedono queste autorizzazioni:

  • sagemaker:CreateTrainingJob(per SageMaker Training Job)

  • sagemaker:CreateClustere sagemaker:UpdateCluster (per SageMaker HyperPod)

  • Accesso alle reserved-capacity risorse training-plan e alle risorse; quando configuri le politiche IAM per i piani di SageMaker formazione, includi le autorizzazioni sia per le risorse che per training-plan le reserved-capacity risorse. Queste risorse sono necessarie sia per i lavori di SageMaker formazione che per i cluster. SageMaker HyperPod Ciò consente ai ruoli IAM di interagire con le risorse dei piani di SageMaker formazione e gestire la capacità riservata.

    • Per i lavori di SageMaker formazione, assicurati che la tua policy includa gli ARN "arn:aws:sagemaker:::training-plan/" e le "arn:aws:sagemaker:::reserved-capacity/" risorse ARN.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateTrainingJob"
      ],
      "Resource": [
        "arn:aws:sagemaker:us-east-2:111122223333:training-job/",
        "arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
        "arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
      ]
    }
  ]
}

Analogamente, per SageMaker HyperPod le configurazioni, includi questi stessi ARN oltre alle risorse specifiche del cluster.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateCluster",
        "sagemaker:UpdateCluster"
      ],
      "Resource": [
        "arn:aws:sagemaker:us-east-2:111122223333:cluster/",
        "arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
        "arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
      ]
    }
  ]
}