本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Amazon 的托管政策 SageMaker HyperPod
<a name="security-iam-awsmanpol-hyperpod"></a>

以下 AWS 托管策略添加了使用 Amazon 所需的权限 SageMaker HyperPod。这些策略可在您的 AWS 账户中使用，由从 SageMaker AI 控制台创建的执行角色或 HyperPod 服务相关角色使用。

**Topics**
+ [

# AWS 托管策略： AmazonSageMakerHyperPodTrainingOperatorAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [

# AWS 托管策略： AmazonSageMakerHyperPodObservabilityAdminAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [

# AWS 托管策略： AmazonSageMakerHyperPodServiceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [

# AWS 托管策略： AmazonSageMakerClusterInstanceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [

## 亚马逊 SageMaker AI 更新了 SageMaker HyperPod 托管策略
](#security-iam-awsmanpol-hyperpod-updates)

# AWS 托管策略： AmazonSageMakerHyperPodTrainingOperatorAccess
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess"></a>

此策略提供设置 SageMaker HyperPod 培训操作员所需的管理权限。它允许访问 SageMaker HyperPod 和 Amazon EKS 附加组件。该政策包括描述您账户中 SageMaker HyperPod 资源的权限。

**权限详细信息**

该策略包含以下权限：
+ `sagemaker:DescribeClusterNode`-允许用户返回有关 HyperPod 集群的信息。

要查看此策略的权限，请参阅《 AWS 托管策略参考》[AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)中的。

# AWS 托管策略： AmazonSageMakerHyperPodObservabilityAdminAccess
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess"></a>

该策略提供设置 Amazon 可 SageMaker HyperPod观察性所需的管理权限。它允许访问 Amazon Managed Service for Prometheus、Amazon Managed Grafana 和 Amazon Elastic Kubernetes Service 加载项。该政策还包括通过您账户中的所有亚马逊托管 Grafana 工作空间广泛访问 Grafana APIs HTTP ServiceAccountTokens 。

**权限详细信息**  
以下列表概述了该策略中包含的权限。
+ `prometheus` – 创建和管理 Amazon Managed Service for Prometheus 工作区和规则组
+ `grafana` – 创建和管理 Amazon Managed Grafana 工作区和服务账户
+ `eks` – 创建和管理 `amazon-sagemaker-hyperpod-observability` Amazon EKS 加载项
+ `iam` – 将特定的 IAM 服务角色传递给 Amazon Managed Grafana 和 Amazon EKS
+ `sagemaker`— 列出并描述 SageMaker HyperPod 集群
+ `sso` – 针对 Amazon Managed Grafana 设置创建和管理 IAM Identity Center 应用程序实例
+ `tag` – 标记 Amazon Managed Service for Prometheus、Amazon Managed Grafana 和 Amazon EKS 加载项资源

要查看策略 JSON，请参阅[AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)。

# AWS 托管策略： AmazonSageMakerHyperPodServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy"></a>

SageMaker HyperPod 创建并使用名为的服务相关角色`AWSServiceRoleForSageMakerHyperPod`，并`AmazonSageMakerHyperPodServiceRolePolicy`附加到该角色。该政策授予亚马逊使用相关 AWS 服务（例如亚马逊 EKS 和亚马逊）的 SageMaker HyperPod 权限 CloudWatch。

服务相关角色使设置变得 SageMaker HyperPod 更加容易，因为您不必手动添加必要的权限。 SageMaker HyperPod 定义其服务相关角色的权限，除非另有定义，否则 SageMaker HyperPod 只能担任其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后，您才能删除服务关联角色。这样可以保护您的 SageMaker HyperPod 资源，因为您不会无意中删除访问资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅与 [IAM 配合使用的AWS 服务，](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接，查看该服务的服务关联角色文档。

`AmazonSageMakerHyperPodServiceRolePolicy` SageMaker HyperPod 允许您代表您对指定资源完成以下操作。

**权限详细信息**

该服务关联角色策略包括以下权限。
+ `eks`：允许主体读取 Amazon Elastic Kubernetes（EKS）集群信息。
+ `logs`— 允许委托人将 Amazon CloudWatch 日志流发布到。`/aws/sagemaker/Clusters`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}
```

------

您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息，请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 为创建服务相关角色 SageMaker HyperPod
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您使用 SageMaker AI 控制台创建 SageMaker HyperPod集群时 AWS CLI，或将 AWS SDKs为您 SageMaker HyperPod 创建服务相关角色。

如果您删除了此服务相关角色但需要重新创建，则可以使用相同的流程（创建新 SageMaker HyperPod 集群）在您的账户中重新创建该角色。

## 编辑的服务相关角色 SageMaker HyperPod
<a name="edit-slr"></a>

SageMaker HyperPod 不允许您编辑`AWSServiceRoleForSageMakerHyperPod`服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除的服务相关角色 SageMaker HyperPod
<a name="delete-slr"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

**使用服务相关角色删除 SageMaker HyperPod 群集资源**

使用以下选项之一删除 SageMaker HyperPod 群集资源。
+ 使用 SageMaker AI 控制台@@ [删除 SageMaker HyperPod 集群](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster)
+ 使用@@ [删除 SageMaker HyperPod 集群](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) AWS CLI

**注意**  
如果您尝试删除资源时 SageMaker HyperPod 服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**使用 IAM 手动删除服务关联角色**

使用 IAM 控制台 AWS CLI、或 AWS API 删除`AWSServiceRoleForSageMakerHyperPod`服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## SageMaker HyperPod 服务相关角色支持的区域
<a name="slr-regions"></a>

SageMaker HyperPod 支持在提供服务的所有区域中使用服务相关角色。有关更多信息，请参阅[的先决条件 SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html)。

# AWS 托管策略： AmazonSageMakerClusterInstanceRolePolicy
<a name="security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy"></a>

该政策授予使用Amazon通常所需的权限 SageMaker HyperPod。

**权限详细信息**

此 AWS 托管策略包括以下权限。
+ `cloudwatch`— 允许委托人发布 Amazon CloudWatch 指标。
+ `logs`— 允许委托人发布 CloudWatch 日志流。
+ `s3`：允许主体从您账户中的 Amazon S3 存储桶中列出并检索生命周期脚本文件。这些存储桶仅限于名称以“sagemaker-”开头的存储桶。
+ `ssmmessages`：允许主体打开与 AWS Systems Manager的连接。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Sid" : "CloudwatchLogStreamPublishPermissions",
      "Effect" : "Allow",
      "Action" : [
        "logs:PutLogEvents",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams"
      ],
      "Resource" : [
        "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
      ]
    },
    {
      "Sid" : "CloudwatchLogGroupCreationPermissions",
      "Effect" : "Allow",
      "Action" : [
        "logs:CreateLogGroup"
      ],
      "Resource" : [
        "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
      ]
    },
    {
      "Sid" : "CloudwatchPutMetricDataAccess",
      "Effect" : "Allow",
      "Action" : [
        "cloudwatch:PutMetricData"
      ],
      "Resource" : [
        "*"
      ],
      "Condition" : {
        "StringEquals" : {
          "cloudwatch:namespace" : "/aws/sagemaker/Clusters"
        }
      }
    },
    {
      "Sid" : "DataRetrievalFromS3BucketPermissions",
      "Effect" : "Allow",
      "Action" : [
        "s3:ListBucket",
        "s3:GetObject"
      ],
      "Resource" : [
        "arn:aws:s3:::sagemaker-*"
      ],
      "Condition" : {
        "StringEquals" : {
          "aws:ResourceAccount" : "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid" : "SSMConnectivityPermissions",
      "Effect" : "Allow",
      "Action" : [
        "ssmmessages:CreateControlChannel",
        "ssmmessages:CreateDataChannel",
        "ssmmessages:OpenControlChannel",
        "ssmmessages:OpenDataChannel"
      ],
      "Resource" : "*"
    }
  ]
}
```

------

## 亚马逊 SageMaker AI 更新了 SageMaker HyperPod 托管策略
<a name="security-iam-awsmanpol-hyperpod-updates"></a>

查看 SageMaker HyperPod 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒，请订阅 SageMaker AI [文档历史记录页面上的 RSS 提要。](doc-history.md)


| Policy | 版本 | 更改 | 日期 | 
| --- | --- | --- | --- | 
|  [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)：新策略  | 1 |  初始策略  | 2025 年 8 月 22 日 | 
|  [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)：更新策略  | 2 |  更新了策略，将角色范围缩小至固定值以包含 `service-role` 前缀。还添加了 end-to-end管理操作所需的`eks:DeletePodIdentityAssociation`和`eks:UpdatePodIdentityAssociation`权限。  | 2025 年 8 月 19 日 | 
|  [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)：新策略  | 1 |  初始策略  | 2025 年 7 月 10 日 | 
|  [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)：新策略  | 1 |  初始策略  | 2024 年 9 月 9 日 | 
|  [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)：新策略  | 1 |  初始策略  | 2023 年 11 月 29 日 |