SageMaker 훈련 계획용 IAM

SageMaker 훈련 계획에는 다음과 같은 두 가지 역할에 대한 특정 권한이 필요합니다.

계획 생성자 역할: 계획 생성자 역할을 할당받은 사용자는 훈련 계획 오퍼링을 검색하고, 새 훈련 계획을 생성하고, 훈련 계획을 나열하고 설명할 수 있는 권한이 필요합니다.
계획 사용자 역할: 계획 사용자 역할을 맡은 사용자는 SageMaker 훈련 작업에서 또는 SageMaker HyperPod 클러스터를 생성하고 업데이트할 때 훈련 계획을 사용할 수 있는 권한이 필요합니다.

SageMaker 훈련 계획을 사용하기 전에 액세스 방법에 따라 권한을 업데이트합니다.

AWS Management Console 또는 SageMaker SDKs 사용자의 경우: 콘솔 사용자 또는 API 사용자에 대해 구성된 IAM 역할의 권한을 업데이트합니다.
AWS CLI 사용자: AWS CLI 프로필이 적절한 자격 증명 및 권한으로 올바르게 구성되어 있는지 확인합니다.
JupyterLab과 같은 Studio 애플리케이션 사용자의 경우 애플리케이션에서 사용하는 스페이스와 연결된 실행 역할에 대한 권한을 설정합니다.

관리형 정책 또는 보다 세분화된 개별 권한을 사용하여 이러한 권한을 설정할 수 있습니다.

역할의 권한 정책을 업데이트하는 방법에 대한 자세한 내용은 역할 권한 업데이트를 참조하세요. 실행 역할을 찾고 업데이트하는 방법에 대한 자세한 내용은 실행 역할을 가져옵니다. 섹션을 참조하세요.

참고

관리자는 훈련 계획을 생성하는 권한이 필요한 사용자가 누구인지 신중하게 고려하고 그에 따라 권한을 할당해야 합니다.

관리형 정책

계획 생성자의 경우: AmazonSageMakerTrainingPlanCreateAccess는 훈련 계획을 생성하고 관리할 수 있는 액세스 권한을 제공합니다.
계획 사용자의 경우: AmazonSageMakerFullAccess에는 훈련 계획을 사용할 수 있는 권한이 포함되어 있습니다.

참고

AmazonSageMakerFullAccess 관리형 정책은 주로 실험 목적으로 사용이 쉬운 정책으로 설계되었습니다. 훈련 계획 사용을 포함하여 SageMaker AI 기능에 대한 광범위한 액세스를 제공하지만 다음 사항에 유의해야 합니다.
- 이 정책은 광범위한 권한으로 인해 프로덕션 환경에는 권장되지 않습니다.
- CreateTrainingPlan은 선결제가 필요한 관리 작업으로 간주되므로 훈련 계획을 생성할 수 있는 권한은 포함되지 않습니다.
- 프로덕션 사용 사례의 경우 각 역할에 필요한 특정 권한만 부여하여 최소 권한 원칙을 준수하는 사용자 지정 정책을 생성하는 것이 좋습니다.

개별 권한

다음 목록은 사용자가 SageMaker 훈련 계획으로 수행해야 하는 특정 작업을 기반으로 역할의 IAM 정책 문에서 설정해야 하는 세분화된 권한을 자세히 설명합니다.

훈련 계획 권한 목록

SearchTrainingPlanOfferings: 이 권한을 통해 사용자는 사용 가능한 훈련 계획 오퍼링을 검색할 수 있습니다.


{
  "Sid": "SearchTrainingPlanOfferingsPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:SearchTrainingPlanOfferings"
  ],
  "Resource": "*"
}

CreateTrainingPlan: 이 권한을 통해 사용자는 새 훈련 계획을 생성할 수 있습니다.

참고

또한 CreateReservedCapacity 및 AddTags에 대한 권한을 포함하고 training-plan 및 reserved-capacity 리소스 유형을 둘 다 지정해야 합니다.


{
  "Sid": "CreateTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:CreateTrainingPlan",
    "sagemaker:CreateReservedCapacity",
    "sagemaker:AddTags"
  ],
  "Resource": [
    "arn:aws:sagemaker:*:*:training-plan/*",
    "arn:aws:sagemaker:*:*:reserved-capacity/*"
  ]
}

DescribeTrainingPlan: 이 권한을 통해 사용자는 기존 훈련 계획의 세부 정보를 볼 수 있습니다.


{
  "Sid": "DescribeTrainingPlanPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:DescribeTrainingPlan"
  ],
  "Resource": [
    "arn:aws:sagemaker:::training-plan/*"
  ]
}

ListTrainingPlans:이 권한을 통해 사용자는 AWS 계정의 모든 훈련 계획을 나열할 수 있습니다.


{
  "Sid": "ListTrainingPlansPermissions",
  "Effect": "Allow",
  "Action": [
    "sagemaker:ListTrainingPlans"
  ],
  "Resource": "*"
}

사용자 유형당 개별 권한

이 섹션에서는 SageMaker 훈련 계획용 IAM 섹션에서 언급한 대로 각 역할에 필요한 개별 권한을 자세히 설명합니다.

계획 생성자의 경우 다음 권한이 필요합니다.

sagemaker:SearchTrainingPlanOfferings
sagemaker:CreateTrainingPlan
sagemaker:CreateReservedCapacity
sagemaker:AddTags
sagemaker:DescribeTrainingPlan
sagemaker:ListTrainingPlans

계획 사용자에게는 다음 권한이 필요합니다.

sagemaker:CreateTrainingJob(SageMaker Training 훈련 작업의 경우)
sagemaker:CreateCluster 및 sagemaker:UpdateCluster(SageMaker HyperPod의 경우)
training-plan 및 reserved-capacity 리소스에 대한 액세스. SageMaker 훈련 계획에 대한 IAM 정책을 구성할 때 training-plan 및 reserved-capacity 리소스 모두에 대한 권한을 포함합니다. 이러한 리소스는 SageMaker 훈련 작업과 SageMaker HyperPod 클러스터 모두에 필요합니다. 이렇게 하면 IAM 역할이 SageMaker 훈련 계획 리소스와 상호 작용하고 예약 용량을 관리할 수 있습니다.
- SageMaker 훈련 작업의 경우 정책에 "arn:aws:sagemaker:::training-plan/" 및 "arn:aws:sagemaker:::reserved-capacity/" 리소스 ARN이 포함되어 있는지 확인합니다.

마찬가지로 SageMaker HyperPod 구성의 경우 클러스터별 리소스 외에도 위와 동일한 ARN을 포함합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

SageMaker 훈련 계획을 사용하여 용량 예약

훈련 계획 생성