View a markdown version of this page

Training 및 Processing 작업에서 Studio JupyterLab 노트북을 Amazon S3 Access Grants에 연결 - Amazon SageMaker AI
고려 사항Training 및 Processing 작업에서 Amazon S3 Access Grants 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Training 및 Processing 작업에서 Studio JupyterLab 노트북을 Amazon S3 Access Grants에 연결

다음 정보를 사용하여 Amazon S3 Access Grants에 Amazon SageMaker Training 및 Processing 작업의 데이터에 액세스할 수 있는 권한을 부여합니다.

신뢰할 수 있는 ID 전파가 활성화된 사용자가 Amazon S3 데이터에 액세스해야 하는 SageMaker Training 또는 Processing 작업을 시작하는 경우:

  • SageMaker AI는 Amazon S3 Access Grants를 직접적으로 호출하여 사용자의 ID를 기반으로 임시 자격 증명을 가져옵니다.

  • 성공하면 이러한 임시 자격 증명이 Amazon S3 데이터에 액세스합니다.

  • 실패하면 SageMaker AI는 IAM 역할 자격 증명 사용으로 대체합니다.

참고

모든 권한이 Amazon S3 Access Grants를 통해 부여되도록 하려면 실행 역할과 관련된 Amazon S3 액세스 권한을 제거하고 해당 Amazon S3 Access Grant에 연결해야 합니다.

고려 사항

Amazon S3 Access Grants는 Amazon S3 입력에 대한 SageMaker Training 및 Processing 모두에 파이프 모드로 사용할 수 없습니다.

신뢰할 수 있는 ID 전파가 활성화된 경우 다음 기능을 사용하여 SageMaker Training 작업을 시작할 수 없습니다.

  • 원격 디버깅

  • 디버거

  • 프로파일러

신뢰할 수 있는 ID 전파가 활성화된 경우 다음 기능을 사용하여 Processing 작업을 시작할 수 없습니다.

  • DatasetDefinition

Training 및 Processing 작업에서 Amazon S3 Access Grants 설정

Amazon S3 Access Grants를 설정한 후 도메인 또는 사용자 실행 역할다음 권한을 추가합니다.

  • us-east-1은 AWS 리전입니다.

  • 111122223333는 AWS 계정 ID입니다.

  • S3-ACCESS-GRANT-ROLE은 Amazon S3 액세스 권한 부여 역할입니다.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}