기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 설치 가이드
다음은 JupyterLab 환경에서 노트북 작업을 사용하기 위해 설치해야 하는 사항에 대한 정보를 제공합니다.
**Amazon SageMaker 스튜디오 및 Amazon SageMaker 스튜디오 랩의 경우**
노트북이 Amazon SageMaker 스튜디오 또는 Amazon SageMaker 스튜디오 랩에 있는 경우 추가 설치를 수행할 필요가 없습니다.SageMaker 노트북 작업은 플랫폼에 내장되어 있습니다. 스튜디오에 필요한 권한을 설정하려면 [Studio에 대한 정책 및 권한을 설정](scheduled-notebook-policies-studio.md)섹션을 참조하세요.
**로컬 Jupyter notebook의 경우**
로컬 JupyterLab 환경에서 SageMaker 노트북 작업을 사용하려면 추가 설치를 수행해야 합니다.
SageMaker Moniter의 노트북 작업을 설치하려면 다음 단계를 완료합니다.
1. Python 3를 설치합니다. 자세한 내용은 [Python 3 및 Python 패키지 설치](https://www.codecademy.com/article/install-python3)를 참조하세요.
1. JupyterLab 버전 4 이상을 설치합니다. 자세한 내용은 [JupyterLab SDK 설명서](https://jupyterlab.readthedocs.io/en/stable/getting_started/installation.html)를 참조하세요.
1. 를 설치합니다 AWS CLI. 자세한 내용은 [최신 버전의 AWS CLI설치 또는 업데이트](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
1. 두 가지 권한 세트를 설치합니다. IAM 사용자는 SageMaker AI에 작업을 제출할 수 있는 권한이 필요하며, 일단 제출되면 노트북 작업 자체가 작업에 따라 리소스에 액세스할 수 있는 권한이 필요한 IAM 역할을 맡습니다.
1. 아직 IAM 사용자를 생성하지 않은 경우 [AWS 계정에서 IAM 사용자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html)을 참조하세요.
1. 노트북 작업 역할을 아직 생성하지 않은 경우 [IAM 사용자에게 권한을 위임하기 위한 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)을 참조하세요.
1. 사용자 및 역할에 연결하는 데 필요한 권한 및 신뢰 정책을 연결합니다. 단계별 지침 및 권한 세부 정보는 [로컬 Jupyter 환경용 정책 및 권한 설치](scheduled-notebook-policies-other.md)섹션을 참조하세요.
1. 새로 생성된 IAM 사용자의 AWS 자격 증명을 생성하여 JupyterLab 환경의 자격 증명 파일(\$1/.aws/credentials)에 저장합니다. CLI 명령 `aws configure`를 사용하여 제거할 수 있습니다. 지침은 [구성 및 자격 증명 파일 설정](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)의 *명령을 사용하여 구성 설정 설정 및 보기* 섹션을 참조하세요.
1. (선택 사항) 기본적으로 스케줄러 확장 프로그램은 Python 2.0과 함께 사전 구축된 SageMaker AI Docker 이미지를 사용합니다. 노트북에서 사용되는 기본이 아닌 커널은 모두 컨테이너에 설치해야 합니다. 컨테이너 또는 도커 이미지에서 노트북을 실행하려면 Amazon Elastic Container Registry(Amazon ECR) 이미지를 생성해야 합니다. 도커 이미지를 Amazon ECR로 푸시하는 방법에 대한 자세한 내용은 [도커 이미지 푸시](https://docs.aws.amazon.com/AmazonECR/latest/userguide/docker-push-ecr-image.html)를 참조하세요.
1. SageMaker 노트북 작업을 위한 JupyterLab 확장 프로그램을 추가합니다. `pip install amazon_sagemaker_jupyter_scheduler` 명령을 사용하여 JupyterLab 환경에 추가할 수 있습니다. `sudo systemctl restart jupyter-server` 명령을 사용하여 Jupyter 서버를 다시 시작해야 할 수 있습니다.
1. `jupyter lab` 명령으로 JupyterLab을 시작합니다.
1. Jupyter notebook 작업 표시줄에 노트북 작업 위젯(![\[Blue icon of a calendar with a checkmark, representing a scheduled task or event.\]](http://docs.aws.amazon.com/ko_kr/sagemaker/latest/dg/images/icons/notebook-schedule.png))이 나타나는지 확인합니다.
# Studio에 대한 정책 및 권한을 설정
첫 노트북 실행을 예약하기 전에 적절한 정책과 권한을 설치해야 합니다. 다음은 다음 권한을 설정하는 지침을 제공합니다.
+ 작업 실행 역할 신뢰 관계
+ 작업 실행 역할에 추가된 IAM 권한
+ (선택 사항) 사용자 지정 KMS 키를 사용하기 위한 AWS KMS 권한 정책
**중요**
AWS 계정이 서비스 제어 정책(SCP)이 있는 조직에 속한 경우 유효 권한은 SCPs가 허용하는 것과 IAM 역할 및 사용자 정책이 허용하는 것 사이의 논리적 교집합입니다. 예를 들어, 조직의 SCP에서는 사용자가 `us-east-1`및 `us-west-1`내의 리소스에만 액세스할 수 있도록 지정하고, 정책에서는 `us-west-1`및 `us-west-2`내의 리소스에만 액세스할 수 있도록 허용하는 경우, 궁극적으로는 `us-west-1`내의 리소스에만 액세스할 수 있습니다. 역할 및 사용자 정책에 허용되는 모든 권한을 행사하려면 조직의 SCP가 자체 IAM 사용자 및 역할 정책과 동일한 권한 세트를 부여해야 합니다. 허용된 요청을 결정하는 방법에 대한 자세한 내용은 [계정 내 요청 허용 여부 결정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow)을 참조하세요.
**신뢰 관계**
신뢰 관계를 수정하려면 다음 단계를 완료합니다.
1. [IAM 콘솔](https://console.aws.amazon.com/iam/)을 엽니다.
1. 왼쪽 패널에서 **역할**을 선택합니다.
1. 노트북 작업에 대한 작업 실행 역할을 찾고 역할 이름을 선택합니다.
1. **신뢰 관계** 탭을 선택합니다.
1. **신뢰 정책 편집**을 선택합니다.
1. 다음 정책을 복사하여 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **정책 업데이트(Update policy)**를 선택합니다.
## 추가 IAM 권한
다음과 같은 상황에서는 추가 IAM 권한을 포함해야 할 수 있습니다.
+ 스튜디오 실행 및 노트북 작업 역할이 서로 다른 경우
+ S3 VPC 엔드포인트를 통해 Amazon S3 리소스에 액세스해야 하는 경우
+ 사용자 지정 KMS 키를 사용하여 입력 및 출력 Amazon S3 버킷을 암호화하려는 경우
다음 설명에서는 각 사례에 필요한 정책을 제공합니다.
### 스튜디오 실행 및 노트북 작업 역할이 서로 다른 경우 필요한 권한
다음 JSON 스니펫은 스튜디오 실행 역할을 노트북 작업 역할로 사용하지 않는 경우 스튜디오 실행 및 노트북 작업 역할에 추가해야 하는 예시 정책입니다. 권한을 추가로 제한해야 하는 경우 이 정책을 검토하고 수정하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}
```
------
### S3 VPC 엔드포인트를 통해 Amazon S3 리소스에 액세스해야 하는 경우 필요한 권한
SageMaker 스튜디오를 프라이빗 VPC 모드에서 실행하고 S3 VPC 엔드포인트를 통해 S3에 액세스하는 경우 VPC 엔드포인트 정책에 권한을 추가하여 VPC 엔드포인트를 통해 액세스할 수 있는 S3 리소스를 제어할 수 있습니다. VPC 엔드포인트 정책에 다음 권한을 추가합니다. 권한을 추가로 제한해야 하는 경우 정책을 수정할 수 있습니다.예를 들어 `Principal`필드에 더 좁은 사양을 제공할 수 있습니다.
```
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}
```
S3 VPC 엔드포인트 정책을 설정하는 방법에 대한 자세한 내용은 [VPC 엔드포인트 정책 편집](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)을 참조하세요.
### 사용자 지정 KMS 키를 사용하는 데 필요한 권한(선택 사항)
기본적으로 입력 및 출력 Amazon S3 버킷은 서버 측 암호화를 사용하여 암호화되지만, 출력 Amazon S3 버킷과 노트북 작업에 연결된 스토리지 볼륨의 데이터를 암호화하는 사용자 지정 KMS 키를 지정할 수 있습니다.
사용자 지정 KMS 키를 사용하려면 다음 정책을 연결하고 자체 KMS 키 ARN을 제공하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
# 로컬 Jupyter 환경용 정책 및 권한 설치
로컬 Jupyter 환경에서 노트북 작업을 예약하기 위해 권한 및 정책이 필요합니다. IAM 사용자는 SageMaker AI에 작업을 제출할 수 있는 권한이 필요하며, 노트북 작업 자체가 수임하는 IAM 역할에는 작업에 따라 리소스에 액세스할 수 있는 권한이 필요합니다. 다음은 필요한 권한 및 정책을 설정하는 방법에 대한 지침을 제공합니다.
두 세트의 권한을 설치해야 합니다. 다음 다이어그램은 로컬 Jupyter 환경에서 노트북 작업을 예약하는 권한 구조를 보여줍니다. IAM 사용자가 SageMaker AI에 작업을 제출하려면 IAM 권한을 설정해야 합니다. 사용자가 노트북 작업을 제출하면 작업 자체가 작업에 따라 리소스에 액세스할 수 있는 권한을 가진 IAM 역할을 맡습니다.
![\[\]](http://docs.aws.amazon.com/ko_kr/sagemaker/latest/dg/images/notebook-jobs-permissions.png)
다음 섹션은 IAM 사용자와 작업 실행 역할 모두에 필요한 정책과 권한을 설치하는 데 도움이 됩니다.
## IAM 사용자 권한
**SageMaker AI에 작업을 제출할 수 있는 권한**
작업을 제출할 수 있는 권한을 추가하려면 다음 단계를 완료합니다.
1. [IAM 콘솔](https://console.aws.amazon.com/iam/)을 엽니다.
1. 왼쪽 패널에서 **사용자**를 선택합니다.
1. 노트북 작업에 사용할 IAM 사용자를 찾아 사용자 이름을 선택합니다.
1. **권한 추가**를 선택하고 드롭다운 메뉴에서 **인라인 정책 생성**을 선택합니다.
1. **JSON** 탭을 선택합니다.
1. 다음 정책을 복사하여 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EventBridgeSchedule",
"Effect": "Allow",
"Action": [
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:EnableRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "IAMPassrole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "IAMListRoles",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "S3ArtifactsAccess",
"Effect": "Allow",
"Action": [
"s3:PutEncryptionConfiguration",
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:DeleteObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemaker-automated-execution-*"
]
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:DescribePipeline",
"sagemaker:CreateTrainingJob",
"sagemaker:DeletePipeline",
"sagemaker:CreatePipeline"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
}
}
},
{
"Sid": "AllowSearch",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*"
},
{
"Sid": "SagemakerTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags",
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
**AWS KMS 권한 정책(선택 사항)**
기본적으로 입력 및 출력 Amazon S3 버킷은 서버 측 암호화를 사용하여 암호화되지만, 출력 Amazon S3 버킷과 노트북 작업에 연결된 스토리지 볼륨의 데이터를 암호화하는 사용자 지정 KMS 키를 지정할 수 있습니다.
사용자 지정 KMS 키를 사용하려면 이전 정책을 반복하여 다음 정책을 연결하고 자체 KMS 키 ARN을 제공하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------
## 작업 실행 역할 권한
**신뢰 관계**
작업 실행 역할 신뢰 관계를 수정하려면 다음 단계를 완료합니다.
1. [IAM 콘솔](https://console.aws.amazon.com/iam/)을 엽니다.
1. 왼쪽 패널에서 **역할**을 선택합니다.
1. 노트북 작업에 대한 작업 실행 역할을 찾고 역할 이름을 선택합니다.
1. **신뢰 관계** 탭을 선택합니다.
1. **신뢰 정책 편집**을 선택합니다.
1. 다음 정책을 복사하여 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**추가 권한**
노트북 작업을 제출한 후에는 리소스에 액세스할 수 있는 권한이 필요합니다. 다음 지침은 최소 권한 세트를 추가하는 방법을 보여줍니다. 필요한 경우 노트북 작업 요구 사항에 따라 권한을 더 추가하세요. 작업 실행 역할에 권한을 추가하려면 다음 단계를 완료하세요.
1. [IAM 콘솔](https://console.aws.amazon.com/iam/)을 엽니다.
1. 왼쪽 패널에서 **역할**을 선택합니다.
1. 노트북 작업에 대한 작업 실행 역할을 찾고 역할 이름을 선택합니다.
1. **권한 추가**를 선택하고 드롭다운 메뉴에서 **인라인 정책 생성**을 선택합니다.
1. **JSON** 탭을 선택합니다.
1. 다음 정책을 복사하여 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassroleForJobCreation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "S3ForStoringArtifacts",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Sid": "SagemakerJobs",
"Effect": "Allow",
"Action": [
"sagemaker:StartPipelineExecution",
"sagemaker:CreateTrainingJob"
],
"Resource": "*"
},
{
"Sid": "ECRImage",
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability"
],
"Resource": "*"
}
]
}
```
------
1. 노트북 작업에서 액세스하는 다른 리소스에 권한을 추가합니다.
1. **정책 검토**를 선택합니다.
1. 정책의 이름을 입력합니다.
1. **정책 생성**을 선택합니다.