Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# IAM per i piani SageMaker di formazione
SageMaker i piani di formazione richiedono autorizzazioni specifiche per due ruoli distinti:
1. **Ruolo di creatore del piano**: gli utenti a cui è assegnato il ruolo di *Creatore del piano* necessitano delle autorizzazioni per cercare le offerte dei piani di addestramento, creare nuovi piani di addestramento ed elencare e descrivere i piani di addestramento.
1. **Pianifica il ruolo utente**: gli utenti con il ruolo *Plan User* richiedono le autorizzazioni per utilizzare i piani di formazione nei lavori di SageMaker formazione o durante la creazione e l'aggiornamento dei SageMaker HyperPod cluster.
Prima di utilizzare i piani SageMaker di formazione, aggiorna le autorizzazioni in base al metodo di accesso:
+ Per i Console di gestione AWS nostri SageMaker SDKs utenti: aggiorna le autorizzazioni del ruolo IAM configurato per l'utente della console o l'utente dell'API.
+ Per AWS CLI gli utenti: assicurati che il tuo AWS CLI profilo sia configurato correttamente con le credenziali e le autorizzazioni appropriate.
+ Per gli utenti dell'applicazione Studio JupyterLab, ad esempio, impostate le autorizzazioni sul ruolo di esecuzione associato allo spazio utilizzato dall'applicazione.
Puoi impostare queste autorizzazioni utilizzando una policy gestita o autorizzazioni individuali più granulari.
Per informazioni su come aggiornare la policy di autorizzazione per un ruolo, consulta [Aggiornamento delle autorizzazioni per un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html). Per informazioni su come trovare e aggiornare un ruolo di esecuzione, consulta [Acquisizione del ruolo di esecuzione](sagemaker-roles.md#sagemaker-roles-get-execution-role).
**Nota**
Gli amministratori devono valutare attentamente quali utenti devono poter creare i piani di addestramento e assegnare le autorizzazioni di conseguenza.
## Policy gestite
+ Per i creatori di piani: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerTrainingPlanCreateAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerTrainingPlanCreateAccess.html) fornisce l’accesso per creare e gestire i piani di addestramento.
+ Per gli utenti del piano: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerFullAccess.html) include le autorizzazioni per utilizzare i piani di addestramento.
**Nota**
La politica `AmazonSageMakerFullAccess` gestita è concepita come ease-of-use politica principalmente a scopo di sperimentazione. Sebbene fornisca un ampio accesso alle funzionalità di SageMaker intelligenza artificiale, incluso l'uso di piani di formazione, è importante notare:
Questa policy non è consigliata per gli ambienti di produzione a causa delle sue autorizzazioni globali.
Non include le autorizzazioni per la creazione di piani di addestramento, perché `CreateTrainingPlan` è considerata un’azione amministrativa che richiede un pagamento anticipato.
Per i casi d’uso di produzione, consigliamo vivamente di creare policy personalizzate che rispettino il principio del privilegio minimo, concedendo solo le autorizzazioni specifiche richieste per ogni ruolo.
## Autorizzazioni individuali
L'elenco seguente descrive in dettaglio le autorizzazioni granulari che devono essere impostate nelle dichiarazioni politiche IAM relative a un ruolo, in base alle azioni specifiche che un utente deve eseguire con i piani di SageMaker formazione:
### Elenco delle autorizzazioni per i piani di addestramento
+ `SearchTrainingPlanOfferings`: questa autorizzazione consente agli utenti di cercare le offerte dei piani di addestramento disponibili.
```
{
"Sid": "SearchTrainingPlanOfferingsPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings"
],
"Resource": "*"
}
```
+ `CreateTrainingPlan`: questa autorizzazione consente agli utenti di creare nuovi piani di addestramento.
**Nota**
Devi includere inoltre le autorizzazioni per `CreateReservedCapacity` e `AddTags`, nonché specificare entrambi i tipi di risorse `training-plan` e `reserved-capacity`.
```
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
```
+ `DescribeTrainingPlan`: questa autorizzazione consente agli utenti di visualizzare i dettagli dei piani di addestramento esistenti.
```
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:::training-plan/*"
]
}
```
+ `ListTrainingPlans`: Questa autorizzazione consente agli utenti di elencare tutti i piani di formazione nel proprio AWS account.
```
{
"Sid": "ListTrainingPlansPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
}
```
### Autorizzazioni individuali per tipo di utente
Questa sezione fornisce un’analisi dettagliata delle autorizzazioni individuali richieste per ogni ruolo, come indicato nella sezione [IAM per i piani SageMaker di formazione](#training-plan-iam-permissions).
Per i creatori del piano, sono necessarie le autorizzazioni seguenti:
+ `sagemaker:SearchTrainingPlanOfferings`
+ `sagemaker:CreateTrainingPlan`
+ `sagemaker:CreateReservedCapacity`
+ `sagemaker:AddTags`
+ `sagemaker:DescribeTrainingPlan`
+ `sagemaker:ListTrainingPlans`
Gli utenti del piano richiedono queste autorizzazioni:
+ `sagemaker:CreateTrainingJob`(per SageMaker Training Job)
+ `sagemaker:CreateCluster`e `sagemaker:UpdateCluster` (per SageMaker HyperPod)
+ Accesso alle `reserved-capacity` risorse `training-plan` e alle risorse; quando configuri le politiche IAM per i piani di SageMaker formazione, includi le autorizzazioni sia per le risorse che per `training-plan` le `reserved-capacity` risorse. Queste risorse sono necessarie sia per i lavori di SageMaker formazione che per i cluster. SageMaker HyperPod Ciò consente ai ruoli IAM di interagire con le risorse dei piani di SageMaker formazione e gestire la capacità riservata.
+ Per i lavori di SageMaker formazione, assicurati che la tua politica includa le `"arn:aws:sagemaker:::reserved-capacity/"` risorse `"arn:aws:sagemaker:::training-plan/"` e ARNs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob"
],
"Resource": [
"arn:aws:sagemaker:us-east-2:111122223333:training-job/",
"arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
"arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
]
}
]
}
```
------
Analogamente, per SageMaker HyperPod le configurazioni, includetele ARNs in aggiunta alle risorse specifiche del cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster"
],
"Resource": [
"arn:aws:sagemaker:us-east-2:111122223333:cluster/",
"arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
"arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
]
}
]
}
```
------