本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将 Connect Studio JupyterLab 笔记本电脑与包含培训和处理任务的 Amazon S3 访问权限授予
使用以下信息授予 Amazon S3 访问权限,以访问亚马逊 SageMaker培训和处理任务中的数据。
当启用了可信身份传播的用户启动需要访问 Amazon S3 数据的 SageMaker 训练或处理任务时:
+ SageMaker AI 调用 Amazon S3 访问授权,以根据用户的身份获取临时证书
+ 如果此操作成功,这些临时凭证可用于访问 Amazon S3 数据
+ 如果不成功, SageMaker AI 会重新使用 IAM 角色证书
**注意**
要强制通过 Amazon S3 访问权限管控授予所有权限,您需要移除执行角色的相关 Amazon S3 访问权限,并将其附加到相应的 [Amazon S3 访问权限管控](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant)。
**Topics**
+ [注意事项](#s3-access-grants-jobs-considerations)
+ [使用训练和处理作业设置 Amazon S3 访问权限管控](#s3-access-grants-jobs-setup)
## 注意事项
Amazon S3 访问授权不能与 [Pipe 模式](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html)一起使用,用于对 Amazon S3 输入进行 SageMaker 训练和处理。
启用可信身份传播后,您无法启动具有以下功能的 T SageMaker raining Job
+ 远程调试
+ 调试器
+ Profiler
启用可信身份传播后,您无法启动具有以下功能的处理作业
+ DatasetDefinition
## 使用训练和处理作业设置 Amazon S3 访问权限管控
设置 Amazon S3 访问权限管控后,向域或用户[执行角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)[添加以下权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ `us-east-1` 是您的 AWS 区域
+ `111122223333` 是您的 AWS 账户 ID
+ `S3-ACCESS-GRANT-ROLE` 是您的 Amazon S3 访问权限管控角色
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------