As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para a Amazon SageMaker HyperPod
As políticas AWS gerenciadas a seguir adicionam as permissões necessárias para usar a Amazon SageMaker HyperPod. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA ou na função HyperPod vinculada ao serviço.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS política gerenciada: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS política gerenciada: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS política gerenciada: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Atualizações da Amazon SageMaker AI para políticas SageMaker HyperPod gerenciadas](#security-iam-awsmanpol-hyperpod-updates)
# AWS política gerenciada: AmazonSageMakerHyperPodTrainingOperatorAccess
Essa política fornece as permissões administrativas necessárias para configurar o operador SageMaker HyperPod de treinamento. Ele permite o acesso SageMaker HyperPod e os complementos do Amazon EKS. A política inclui permissões para descrever os SageMaker HyperPod recursos em sua conta.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `sagemaker:DescribeClusterNode`- Permite que os usuários retornem informações sobre um HyperPod cluster.
Para ver as permissões dessa política, consulte [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)na Referência de política AWS gerenciada.
# AWS política gerenciada: AmazonSageMakerHyperPodObservabilityAdminAccess
Essa política fornece os privilégios administrativos necessários para configurar a SageMaker HyperPod observabilidade da Amazon. Permite acesso aos complementos do Amazon Managed Service for Prometheus, do Amazon Managed Grafana e do Amazon Elastic Kubernetes Service. A política também inclui amplo acesso ao HTTP da Grafana ServiceAccountTokens em todos os espaços APIs de trabalho da Amazon Managed Grafana em sua conta.
**Detalhes de permissões**
A lista a seguir apresenta uma visão geral das permissões incluídas nesta política.
+ `prometheus`: criar e gerenciar o Amazon Managed Service for Prometheus, espaços de trabalho e grupos de regras do Prometheus.
+ `grafana`: criar e gerenciar espaços de trabalho e contas de serviço do Amazon Managed Grafana.
+ `eks`: criar e gerenciar o complemento `amazon-sagemaker-hyperpod-observability` do Amazon EKS.
+ `iam`: transmitir perfis de serviço específicos do IAM para o Amazon Managed Grafana e o Amazon EKS.
+ `sagemaker`— Lista e descreve SageMaker HyperPod clusters
+ `sso`: criar e gerenciar instâncias de aplicação do Centro de Identidade do IAM para configuração do Amazon Managed Grafana.
+ `tag`: atribuir tags a recursos complementares do Amazon Managed Service for Prometheus, Amazon Managed Grafana e do Amazon EKS.
Para ver a política JSON, consulte [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS política gerenciada: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod cria e usa a função vinculada ao serviço nomeada `AWSServiceRoleForSageMakerHyperPod` com a função `AmazonSageMakerHyperPodServiceRolePolicy` anexada. Essa política concede SageMaker HyperPod permissões à Amazon para AWS serviços relacionados, como Amazon EKS e Amazon CloudWatch.
A função vinculada ao serviço facilita a configuração SageMaker HyperPod porque você não precisa adicionar manualmente as permissões necessárias. SageMaker HyperPod define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só SageMaker HyperPod pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus SageMaker HyperPod recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
O `AmazonSageMakerHyperPodServiceRolePolicy` permite SageMaker HyperPod concluir as seguintes ações nos recursos especificados em seu nome.
**Detalhes das permissões**
Esse perfil vinculado a serviço inclui as permissões a seguir.
+ `eks`: permite que as entidades principais leiam informações de cluster do Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permite que os diretores publiquem fluxos de CloudWatch log da Amazon no. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para SageMaker HyperPod
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um SageMaker HyperPod cluster usando o console de SageMaker IA, o AWS CLI, ou o AWS SDKs, SageMaker HyperPod cria a função vinculada ao serviço para você.
Se você excluir essa função vinculada ao serviço, mas precisar criá-la novamente, poderá usar o mesmo processo (criar um novo SageMaker HyperPod cluster) para recriar a função em sua conta.
## Editando uma função vinculada ao serviço para SageMaker HyperPod
SageMaker HyperPod não permite que você edite a função `AWSServiceRoleForSageMakerHyperPod` vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para SageMaker HyperPod
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**Para excluir recursos de SageMaker HyperPod cluster usando a função vinculada ao serviço**
Use uma das opções a seguir para excluir recursos SageMaker HyperPod do cluster.
+ [Excluir um SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) usando o console de SageMaker IA
+ [Exclua um SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) usando o AWS CLI
**nota**
Se o SageMaker HyperPod serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForSageMakerHyperPod` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a SageMaker HyperPod serviços
SageMaker HyperPod suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Pré-requisitos para](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS política gerenciada: AmazonSageMakerClusterInstanceRolePolicy
Essa política concede as permissões normalmente necessárias para usar a Amazon SageMaker HyperPod.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas da Amazon.
+ `logs`— Permite que os diretores publiquem fluxos de CloudWatch registros.
+ `s3`: permite que as entidades principais listem e recuperem arquivos de script de ciclo de vida a partir de um bucket do Amazon S3 em sua conta. Os buckets estão limitados àqueles cujo nome começa com “sagemaker-”.
+ `ssmmessages`: permite que as entidades principais abram uma conexão com o AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para políticas SageMaker HyperPod gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas SageMaker HyperPod desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) - Nova política | 1 | Política inicial | 22 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política atualizada | 2 | A política foi atualizada para corrigir a redução do escopo de perfil e incluir o prefixo `service-role`. Também foram adicionadas permissões para `eks:DeletePodIdentityAssociation` e `eks:UpdatePodIdentityAssociation` que são necessárias para ações end-to-end administrativas. | 19 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - Nova política | 1 | Política inicial | 10 de julho de 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) - Nova política | 1 | Política inicial | 9 de setembro de 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) - Nova política | 1 | Política inicial | 29 de novembro de 2023 |