기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# SageMaker 훈련 계획용 IAM
<a name="training-plan-iam-permissions"></a>

SageMaker 훈련 계획에는 다음과 같은 두 가지 역할에 대한 특정 권한이 필요합니다.

1. **계획 생성자 역할**: *계획 생성자* 역할을 할당받은 사용자는 훈련 계획 오퍼링을 검색하고, 새 훈련 계획을 생성하고, 훈련 계획을 나열하고 설명할 수 있는 권한이 필요합니다.

1. **계획 사용자 역할**: *계획 사용자 역할*을 맡은 사용자는 SageMaker 훈련 작업에서 또는 SageMaker HyperPod 클러스터를 생성하고 업데이트할 때 훈련 계획을 사용할 수 있는 권한이 필요합니다.

SageMaker 훈련 계획을 사용하기 전에 액세스 방법에 따라 권한을 업데이트합니다.
+  AWS Management Console 또는 SageMaker SDKs 사용자의 경우: 콘솔 사용자 또는 API 사용자에 대해 구성된 IAM 역할의 권한을 업데이트합니다.
+  AWS CLI 사용자: AWS CLI 프로필이 적절한 자격 증명 및 권한으로 올바르게 구성되어 있는지 확인합니다.
+ JupyterLab과 같은 Studio 애플리케이션 사용자의 경우 애플리케이션에서 사용하는 스페이스와 연결된 실행 역할에 대한 권한을 설정합니다.

관리형 정책 또는 보다 세분화된 개별 권한을 사용하여 이러한 권한을 설정할 수 있습니다.

역할의 권한 정책을 업데이트하는 방법에 대한 자세한 내용은 [역할 권한 업데이트](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)를 참조하세요. 실행 역할을 찾고 업데이트하는 방법에 대한 자세한 내용은 [실행 역할을 가져옵니다.](sagemaker-roles.md#sagemaker-roles-get-execution-role) 섹션을 참조하세요.

**참고**  
관리자는 훈련 계획을 생성하는 권한이 필요한 사용자가 누구인지 신중하게 고려하고 그에 따라 권한을 할당해야 합니다.

## 관리형 정책
<a name="training-plan-managed-policies"></a>
+ 계획 생성자의 경우: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerTrainingPlanCreateAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerTrainingPlanCreateAccess.html)는 훈련 계획을 생성하고 관리할 수 있는 액세스 권한을 제공합니다.
+ 계획 사용자의 경우: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerFullAccess.html)에는 훈련 계획을 사용할 수 있는 권한이 포함되어 있습니다.

**참고**  
`AmazonSageMakerFullAccess` 관리형 정책은 주로 실험 목적으로 사용이 쉬운 정책으로 설계되었습니다. 훈련 계획 사용을 포함하여 SageMaker AI 기능에 대한 광범위한 액세스를 제공하지만 다음 사항에 유의해야 합니다.  
이 정책은 광범위한 권한으로 인해 프로덕션 환경에는 권장되지 않습니다.
`CreateTrainingPlan`은 선결제가 필요한 관리 작업으로 간주되므로 훈련 계획을 생성할 수 있는 권한은 포함되지 않습니다.
프로덕션 사용 사례의 경우 각 역할에 필요한 특정 권한만 부여하여 최소 권한 원칙을 준수하는 사용자 지정 정책을 생성하는 것이 좋습니다.

## 개별 권한
<a name="training-plan-individual-permissions"></a>

다음 목록은 사용자가 SageMaker 훈련 계획으로 수행해야 하는 특정 작업을 기반으로 역할의 IAM 정책 문에서 설정해야 하는 세분화된 권한을 자세히 설명합니다.

### 훈련 계획 권한 목록
<a name="training-plan-individual-permissions-list"></a>
+ `SearchTrainingPlanOfferings`: 이 권한을 통해 사용자는 사용 가능한 훈련 계획 오퍼링을 검색할 수 있습니다.

  ```
  {
    "Sid": "SearchTrainingPlanOfferingsPermissions",
    "Effect": "Allow",
    "Action": [
      "sagemaker:SearchTrainingPlanOfferings"
    ],
    "Resource": "*"
  }
  ```
+ `CreateTrainingPlan`: 이 권한을 통해 사용자는 새 훈련 계획을 생성할 수 있습니다.
**참고**  
또한 `CreateReservedCapacity` 및 `AddTags`에 대한 권한을 포함하고 `training-plan` 및 `reserved-capacity` 리소스 유형을 둘 다 지정해야 합니다.

  ```
  {
    "Sid": "CreateTrainingPlanPermissions",
    "Effect": "Allow",
    "Action": [
      "sagemaker:CreateTrainingPlan",
      "sagemaker:CreateReservedCapacity",
      "sagemaker:AddTags"
    ],
    "Resource": [
      "arn:aws:sagemaker:*:*:training-plan/*",
      "arn:aws:sagemaker:*:*:reserved-capacity/*"
    ]
  }
  ```
+ `DescribeTrainingPlan`: 이 권한을 통해 사용자는 기존 훈련 계획의 세부 정보를 볼 수 있습니다.

  ```
  {
    "Sid": "DescribeTrainingPlanPermissions",
    "Effect": "Allow",
    "Action": [
      "sagemaker:DescribeTrainingPlan"
    ],
    "Resource": [
      "arn:aws:sagemaker:::training-plan/*"
    ]
  }
  ```
+ `ListTrainingPlans`:이 권한을 통해 사용자는 AWS 계정의 모든 훈련 계획을 나열할 수 있습니다.

  ```
  {
    "Sid": "ListTrainingPlansPermissions",
    "Effect": "Allow",
    "Action": [
      "sagemaker:ListTrainingPlans"
    ],
    "Resource": "*"
  }
  ```

### 사용자 유형당 개별 권한
<a name="training-plan-permissions-per-user-type"></a>

이 섹션에서는 [SageMaker 훈련 계획용 IAM](#training-plan-iam-permissions) 섹션에서 언급한 대로 각 역할에 필요한 개별 권한을 자세히 설명합니다.

계획 생성자의 경우 다음 권한이 필요합니다.
+ `sagemaker:SearchTrainingPlanOfferings`
+ `sagemaker:CreateTrainingPlan`
+ `sagemaker:CreateReservedCapacity`
+ `sagemaker:AddTags`
+ `sagemaker:DescribeTrainingPlan`
+ `sagemaker:ListTrainingPlans`

계획 사용자에게는 다음 권한이 필요합니다.
+ `sagemaker:CreateTrainingJob`(SageMaker Training 훈련 작업의 경우)
+ `sagemaker:CreateCluster` 및 `sagemaker:UpdateCluster`(SageMaker HyperPod의 경우)
+ `training-plan` 및 `reserved-capacity` 리소스에 대한 액세스. SageMaker 훈련 계획에 대한 IAM 정책을 구성할 때 `training-plan` 및 `reserved-capacity` 리소스 모두에 대한 권한을 포함합니다. 이러한 리소스는 SageMaker 훈련 작업과 SageMaker HyperPod 클러스터 모두에 필요합니다. 이렇게 하면 IAM 역할이 SageMaker 훈련 계획 리소스와 상호 작용하고 예약 용량을 관리할 수 있습니다.
  + SageMaker 훈련 작업의 경우 정책에 `"arn:aws:sagemaker:::training-plan/"` 및 `"arn:aws:sagemaker:::reserved-capacity/"` 리소스 ARN이 포함되어 있는지 확인합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateTrainingJob"
      ],
      "Resource": [
        "arn:aws:sagemaker:us-east-2:111122223333:training-job/",
        "arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
        "arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
      ]
    }
  ]
}
```

------

마찬가지로 SageMaker HyperPod 구성의 경우 클러스터별 리소스 외에도 위와 동일한 ARN을 포함합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateCluster",
        "sagemaker:UpdateCluster"
      ],
      "Resource": [
        "arn:aws:sagemaker:us-east-2:111122223333:cluster/",
        "arn:aws:sagemaker:us-east-2:111122223333:training-plan/",
        "arn:aws:sagemaker:us-east-2:111122223333:reserved-capacity/*"
      ]
    }
  ]
}
```

------