기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Amazon SageMaker HyperPod에 대한 관리형 정책
다음 AWS 관리형 정책은 Amazon SageMaker HyperPod를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔 또는 HyperPod 서비스 연결 역할에서 생성된 실행 역할에 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS 관리형 정책: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS 관리형 정책: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS 관리형 정책: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [SageMaker HyperPod 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-hyperpod-updates)
# AWS 관리형 정책: AmazonSageMakerHyperPodTrainingOperatorAccess
이 정책은 SageMaker HyperPod 훈련 운영자를 설정하는 데 필요한 관리 권한을 제공합니다. 이를 통해 SageMaker HyperPod 및 Amazon EKS 추가 기능에 액세스할 수 있습니다. 이 정책에는 계정의 SageMaker HyperPod 리소스를 설명할 수 있는 권한이 포함되어 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `sagemaker:DescribeClusterNode` - 사용자가 HyperPod 클러스터에 대한 정보를 반환할 수 있도록 허용합니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)를 참조하세요.
# AWS 관리형 정책: AmazonSageMakerHyperPodObservabilityAdminAccess
이 정책은 Amazon SageMaker HyperPod 관찰성을 설정하는 데 필요한 관리 권한을 제공합니다. 이를 통해 Amazon Managed Service for Prometheus, Amazon Managed Grafana 및 Amazon Elastic Kubernetes Service 추가 기능에 액세스할 수 있습니다. 이 정책에는 계정의 모든 Amazon Managed Grafana 작업 영역에서 ServiceAccountTokens을 통한 Grafana HTTP API에 대한 광범위한 액세스도 포함됩니다.
**권한 세부 정보**
다음 목록은 이 정책에 포함된 권한의 개요를 제공합니다.
+ `prometheus` - Amazon Managed Service for Prometheus 작업 영역 및 규칙 그룹을 생성하고 관리합니다.
+ `grafana` - Amazon Managed Grafana 작업 영역 및 서비스 계정을 생성하고 관리합니다.
+ `eks` - `amazon-sagemaker-hyperpod-observability` Amazon EKS 추가 기능을 생성하고 관리합니다.
+ `iam` - 특정 IAM 서비스 역할을 Amazon Managed Grafana 및 Amazon EKS에 전달합니다.
+ `sagemaker` - SageMaker HyperPod 클러스터를 나열하고 설명합니다.
+ `sso` - Amazon Managed Grafana 설정을 위한 IAM Identity Center 애플리케이션 인스턴스를 생성하고 관리합니다.
+ `tag` - Amazon Managed Service for Prometheus, Amazon Managed Grafana 및 Amazon EKS 추가 기능 리소스에 태그를 지정합니다.
정책 JSON을 보려면 [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)를 참조하세요.
# AWS 관리형 정책: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod는 역할에 `AmazonSageMakerHyperPodServiceRolePolicy`가 연결된 `AWSServiceRoleForSageMakerHyperPod`라는 서비스 연결 역할을 만들고 사용합니다. 이 정책은 Amazon SageMaker HyperPod에 Amazon EKS 및 Amazon CloudWatch와 같은 관련 AWS 서비스에 대한 권한을 부여합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 SageMaker HyperPod를 더 쉽게 설정할 수 있습니다. SageMaker HyperPod가 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, SageMaker HyperPod만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 SageMaker HyperPod 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
`AmazonSageMakerHyperPodServiceRolePolicy`는 SageMaker HyperPod가 지정된 리소스에서 사용자를 대신해 다음 작업을 완료하도록 허용합니다.
** 권한 세부 정보**
이 서비스 연결 역할 정책에는 다음 권한이 포함됩니다.
+ `eks` – 위탁자가 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터 정보를 읽도록 허용합니다.
+ `logs` - 위탁자가 Amazon CloudWatch 로그 스트림을 `/aws/sagemaker/Clusters`에 게시하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
사용자, 그룹 또는 역할이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 사용 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## SageMaker HyperPod에 대한 서비스 연결 역할 만들기
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. SageMaker AI 콘솔 AWS CLI, 또는 AWS SDKs를 사용하여 SageMaker HyperPod 클러스터를 생성하면 SageMaker HyperPod가 서비스 연결 역할을 생성합니다.
이 서비스 연결 역할을 삭제했지만 다시 만들어야 하는 경우 동일한 프로세스(새로운 SageMaker HyperPod 클러스터 만들기)를 사용하여 계정에서 역할을 다시 만들 수 있습니다.
## SageMaker HyperPod에 대한 서비스 연결 역할 편집
SageMaker HyperPod는 `AWSServiceRoleForSageMakerHyperPod` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## SageMaker HyperPod에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**서비스 연결 역할을 사용하여 SageMaker HyperPod 클러스터 리소스를 삭제하는 방법**
다음 옵션 중 하나를 사용하여 SageMaker HyperPod 클러스터 리소스를 삭제합니다.
+ SageMaker AI 콘솔을 사용하여 [SageMaker HyperPod 클러스터 삭제](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster)
+ [를 사용하여 SageMaker HyperPod 클러스터 삭제](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) AWS CLI
**참고**
리소스를 삭제하려 할 때 SageMaker HyperPod 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 `AWSServiceRoleForSageMakerHyperPod` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## SageMaker HyperPod 서비스 연결 역할이 지원되는 리전
SageMaker HyperPod는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [Prerequisites for SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html)를 참조하세요.
# AWS 관리형 정책: AmazonSageMakerClusterInstanceRolePolicy
이 정책은 Amazon SageMaker HyperPod를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `cloudwatch` - 위탁자가 Amazon CloudWatch 지표를 게시하도록 허용합니다.
+ `logs` - 위탁자가 Amazon CloudWatch 로그 스트림을 게시하도록 허용합니다.
+ `s3` – 위탁자가 계정의 Amazon S3 버킷에서 수명 주기 스크립트 파일을 나열하고 검색하도록 허용합니다. 이러한 버킷은 이름이 'sagemaker-'로 시작하는 버킷으로 제한됩니다.
+ `ssmmessages` - 위탁자가 AWS Systems Manager에 대한 연결을 열도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## SageMaker HyperPod 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 SageMaker HyperPod의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) - 새 정책 | 1 | 초기 정책 | 2025년 8월 22일 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - 업데이트된 정책 | 2 | 역할 범위 축소를 수정하여 `service-role` 접두사를 포함하도록 정책을 업데이트했습니다. 엔드투엔드 관리 작업에 필요한 `eks:DeletePodIdentityAssociation` 및 `eks:UpdatePodIdentityAssociation`에 대한 권한도 추가했습니다. | 2025년 8월 19일 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - 새 정책 | 1 | 초기 정책 | 2025년 7월 10일 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) - 새 정책 | 1 | 초기 정책 | 2024년 9월 9일 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) - 새 정책 | 1 | 초기 정책 | 2023년 11월 29일 |