기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# SageMaker 지리 공간 기능
관리형 서비스인 Amazon SageMaker 지리 공간 기능은 사용자를 대신하여 SageMaker AI에서 관리하는 AWS 하드웨어에서 작업을 수행합니다. AWS Identity and Access Management 를 사용하여 사용자, 그룹 및 역할에 SageMaker 지리 공간에 대한 액세스 권한을 부여합니다.
IAM 관리자는 또는 SDK 중 하나를 사용하여 사용자, 그룹 AWS Management Console AWS CLI또는 역할에 이러한 권한을 부여할 수 있습니다. AWS SDKs
**SageMaker 지리 공간을 사용하려면 다음과 같은 IAM 권한이 필요합니다.**
1. **SageMaker AI 실행 역할**
SageMaker 지리 공간별 API 작업을 사용하려면 SageMaker AI 실행 역할이 실행 역할의 신뢰 정책에 SageMaker 지리 공간 서비스 위탁자 `sagemaker-geospatial.amazonaws.com`을 포함해야 합니다. 이렇게 하면 SageMaker AI 실행 역할이 사용자를 AWS 계정 대신하여에서 작업을 수행할 수 있습니다.
1. **Amazon SageMaker Studio Classic 및 SageMaker 지리 공간에 액세스할 수 있는 사용자, 그룹 또는 역할**
SageMaker 지리 공간을 시작하려면 AWS 관리형 정책를 사용할 수 있습니다`AmazonSageMakerGeospatialFullAccess`. 이렇게 사용자, 그룹 또는 역할에게 SageMaker 지리 공간에 대한 전체 액세스 권한을 부여합니다. 정책을 확인하고 사용 가능한 작업, 리소스 및 조건에 대해 자세히 알아보려면 [AWS 관리형 정책: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess)섹션을 참조하세요.
Studio Classic을 시작하고 Amazon SageMaker AI 도메인을 만들려면 [Amazon SageMaker AI 도메인 개요](gs-studio-onboard.md) 섹션을 참조하세요.
다음 주제를 사용하여 새 SageMaker AI 실행 역할을 생성하고, 기존 SageMaker AI 실행 역할을 업데이트하고, SageMaker 지리 공간별 IAM 작업, 리소스 및 조건을 사용하여 권한을 관리하는 방법을 알아봅니다.
**Topics**
+ [새 SageMaker AI 실행 역할 생성](sagemaker-geospatial-roles-create-execution-role.md)
+ [기존 SageMaker AI 실행 역할에 SageMaker 지리 공간 서비스 위탁자 추가](sagemaker-geospatial-roles-pass-role.md)
+ [`StartEarthObservationJob` API 실행 역할 권한](sagemaker-roles-start-eoj-perms.md)
+ [`StartVectorEnrichmentJob` API 실행 역할 권한](sagemaker-roles-start-vej-perms.md)
+ [`ExportEarthObservationJob` API 실행 역할 권한](sagemaker-roles-export-eoj-perms.md)
+ [`ExportVectorEnrichmentJob` API: 실행 역할 권한](sagemaker-roles-export-vej-perms.md)
# 새 SageMaker AI 실행 역할 생성
SageMaker 지리 공간 기능을 사용하려면 사용자, 그룹 또는 역할 및 실행 역할을 설정해야 합니다. 사용자 역할은 사용자가 수행할 수 있는 작업과 수행할 수 없는 작업을 결정하는 권한 정책이 있는 AWS 자격 증명입니다 AWS. 실행 역할은 AWS 리소스에 액세스할 수 서비스 권한을 부여하는 IAM 역할입니다. 실행 역할은 권한 및 신뢰 정책으로 구성됩니다. 신뢰 정책은 역할을 맡을 수 있는 보안 주체를 지정합니다.
또한 SageMaker 지리 공간에는 다른 서비스 보안 주체(`sagemaker-geospatial.amazonaws.com`)가 필요합니다. 기존 SageMaker AI 고객인 경우 이 추가 서비스 위탁자를 신뢰 정책에 추가해야 합니다.
다음 절차를 사용하여 IAM 관리형 정책 `AmazonSageMakerGeospatialFullAccess`가 연결된 새 실행 역할을 생성합니다. 사용 사례에 더 세분화된 권한이 필요한 경우 이 설명서의 다른 섹션을 사용하여 비즈니스 요구 사항에 맞는 실행 역할을 생성하세요.
**중요**
다음 절차에서 사용되는 IAM 관리형 정책 `AmazonSageMakerGeospatialFullAccess`는 이름에 `SageMaker`, `Sagemaker`, `sagemaker`또는 `aws-glue`가 포함된 버킷 또는 객체에 대해 특정 Amazon S3 작업을 수행할 수 있는 실행 역할 권한만 부여합니다. 실행 역할 정책을 업데이트하여 다른 Amazon S3 버킷 및 객체에 대한 액세스 권한을 부여하는 방법을 알아보려면 [SageMaker AI 실행 역할에 Amazon S3 권한 추가](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3)섹션을 참조하세요.
**새 역할을 생성하려면**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **SageMaker**를 선택합니다.
1. **다음: 권한**을 선택합니다.
1. IAM 관리형 정책 `AmazonSageMakerGeospatialFullAccess`는 이 역할에 자동으로 연결됩니다. 이 정책에 포함된 권한을 보려면 정책 이름 옆에 있는 옆으로 화살표를 선택합니다. **다음: 태그**를 선택합니다.
1. (선택 사항) 태그를 추가하고 **다음: 검토**를 선택합니다.
1. **역할 이름** 아래의 텍스트 필드에 역할 이름을 지정하고 **역할 생성**을 선택합니다.
1. IAM 콘솔의 **역할** 섹션에서 7단계에서 방금 생성한 역할을 찾습니다. 필요한 경우 텍스트 상자에서 7단계에서 생성한 역할 이름을 사용하여 역할을 검색하세요.
1. 역할 요약 페이지에서 ARN의 값을 메모해 둡니다.
# 기존 SageMaker AI 실행 역할에 SageMaker 지리 공간 서비스 위탁자 추가
SageMaker 지리 공간별 API 작업을 사용하려면 SageMaker AI 실행 역할이 실행 역할의 신뢰 정책에 SageMaker 지리 공간 서비스 위탁자 `sagemaker-geospatial.amazonaws.com`을 포함해야 합니다. 이렇게 하면 SageMaker AI 실행 역할이 사용자를 AWS 계정 대신하여에서 작업을 수행할 수 있습니다.
서비스 간 역할 전달과 같은 작업은 SageMaker AI에서 흔히 발생합니다. 자세한 내용은,
SageMaker 지리 공간 서비스 위탁자를 기존 SageMaker AI 실행 역할에 추가하려면 다음 신뢰 정책에 표시된 대로 SageMaker 지리 공간 서비스 위탁자를 포함하도록 기존 정책을 업데이트하세요. 신뢰 정책에 서비스 위탁자를 연결함으로써 이제 SageMaker AI 실행 역할이 사용자 대신 SageMaker 지리 공간별 API를 실행할 수 있습니다.
SageMaker 지리 공간별 IAM 작업, 리소스 및 조건에 대해 자세히 알아보려면 *IAM 사용 설명서*의 [Actions, Resources, and Condition Keys for SageMaker AI](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# `StartEarthObservationJob` API 실행 역할 권한
`StartEarthObservationJob` API 요청에서 전달할 수 있는 실행 역할에 대해 다음 최소 권한 정책을 역할에 연결할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
AWS KMS 관리형 키(SSE-KMS)를 사용한 서버 측 암호화를 사용하여 입력 Amazon S3 버킷을 암호화하는 경우 자세한 내용은 [ Amazon S3 버킷 키 사용을 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `StartVectorEnrichmentJob` API 실행 역할 권한
`StartVectorEnrichmentJob` API 요청에서 전달할 수 있는 실행 역할에 대해 다음 최소 권한 정책을 역할에 연결할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
AWS KMS 관리형 키(SSE-KMS)를 사용한 서버 측 암호화를 사용하여 입력 Amazon S3 버킷을 암호화하는 경우 자세한 내용은 [ Amazon S3 버킷 키 사용을 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `ExportEarthObservationJob` API 실행 역할 권한
`ExportEarthObservationJob` API 요청에서 전달할 수 있는 실행 역할에 대해 다음 최소 권한 정책을 역할에 연결할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
AWS KMS 관리형 키(SSE-KMS)를 사용한 서버 측 암호화를 사용하여 입력 Amazon S3 버킷을 암호화하는 경우 자세한 내용은 [ Amazon S3 버킷 키 사용을 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `ExportVectorEnrichmentJob` API: 실행 역할 권한
`ExportVectorEnrichmentJob` API 요청에서 전달할 수 있는 실행 역할에 대해 다음 최소 권한 정책을 역할에 연결할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
입력 Amazon S3 버킷이 AWS KMS 관리형 키(SSE-KMS)를 사용한 서버 측 암호화를 사용하여 암호화된 경우 [ Amazon S3 버킷 키 사용을 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).