本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon SageMaker HyperPod 的 受管政策
<a name="security-iam-awsmanpol-hyperpod"></a>

下列 AWS 受管政策新增使用 Amazon SageMaker HyperPod 所需的許可。這些政策可在您的帳戶中使用 AWS ，並由從 SageMaker AI 主控台或 HyperPod 服務連結角色建立的執行角色使用。

**Topics**
+ [

# AWS 受管政策：AmazonSageMakerHyperPodTrainingOperatorAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [

# AWS 受管政策：AmazonSageMakerHyperPodObservabilityAdminAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [

# AWS 受管政策：AmazonSageMakerHyperPodServiceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [

# AWS 受管政策：AmazonSageMakerClusterInstanceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [

## Amazon SageMaker AI 更新 SageMaker HyperPod 受管政策
](#security-iam-awsmanpol-hyperpod-updates)

# AWS 受管政策：AmazonSageMakerHyperPodTrainingOperatorAccess
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess"></a>

此政策提供設定 SageMaker HyperPod 訓練運算子所需的管理許可。它可讓您存取 SageMaker HyperPod 和 Amazon EKS 附加元件。此政策包含描述您帳戶中 SageMaker HyperPod 資源的許可。

**許可詳細資訊**

此政策包含以下許可：
+ `sagemaker:DescribeClusterNode` - 允許使用者傳回 HyperPod 叢集的相關資訊。

若要檢視此政策的許可，請參閱《 AWS 受管政策參考》中的 [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)。

# AWS 受管政策：AmazonSageMakerHyperPodObservabilityAdminAccess
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess"></a>

此政策提供設定 Amazon SageMaker HyperPod 可觀測性所需的管理權限。它可讓您存取 Amazon Managed Service for Prometheus、Amazon Managed Grafana 和 Amazon Elastic Kubernetes Service 附加元件。此政策也包含透過 ServiceAccountTokens 在您帳戶中的所有 Amazon Managed Grafana 工作區中廣泛存取 Grafana HTTP API。

**許可詳細資訊**  
下列清單提供此政策中所包含許可的概觀。
+ `prometheus` - 建立和管理 Amazon Managed Service for Prometheus 工作區和規則群組
+ `grafana` - 建立和管理 Amazon Managed Grafana 工作區和服務帳戶
+ `eks` - 建立和管理 `amazon-sagemaker-hyperpod-observability` Amazon EKS 附加元件
+ `iam` - 將特定 IAM 服務角色傳遞至 Amazon Managed Grafana 和 Amazon EKS
+ `sagemaker` - 列出和描述 SageMaker HyperPod 叢集
+ `sso` - 建立和管理用於 Amazon Managed Grafana 設定的 IAM Identity Center 應用程式執行個體
+ `tag` - 標記 Amazon Managed Service for Prometheus、Amazon Managed Grafana 和 Amazon EKS 附加元件資源

若要檢視政策 JSON，請參閱 [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)。

# AWS 受管政策：AmazonSageMakerHyperPodServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy"></a>

SageMaker HyperPod 會建立並使用名為 `AWSServiceRoleForSageMakerHyperPod` 的服務連結角色，搭配連接至該角色的 `AmazonSageMakerHyperPodServiceRolePolicy`。此政策會將 Amazon SageMaker HyperPod 許可授予相關 AWS 服務，例如 Amazon EKS 和 Amazon CloudWatch。

服務連結角色可讓設定 SageMaker HyperPod 更為簡單，因為您不必手動新增必要的許可。SageMaker HyperPod 定義其服務連結角色的許可，除非另有定義，否則僅有 SageMaker HyperPod 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除服務連結角色的相關資源，才能將其刪除。這會保護您的 SageMaker HyperPod 資源，避免您不小心移除資源的存取許可。

如需有關支援服務連結角色的其他 服務的資訊，請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

`AmazonSageMakerHyperPodServiceRolePolicy` 允許 SageMaker HyperPod 代表您對指定的資源完成下列動作。

**許可詳細資訊**

此服務連結角色政策包含下列許可。
+ `eks` - 允許主體讀取 Amazon Elastic Kubernetes Service (EKS) 叢集資訊。
+ `logs` - 允許主體將 Amazon CloudWatch 日誌串流發布至 `/aws/sagemaker/Clusters`。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}
```

------

您必須設定許可，以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 為 SageMaker HyperPod 建立服務連結角色
<a name="create-slr"></a>

您不需要手動建立服務連結角色，當您使用 SageMaker AI 主控台、 AWS CLI或 AWS SDKs 建立 SageMaker HyperPod 叢集時，SageMaker HyperPod 會為您建立服務連結角色。

如果您刪除此服務連結角色，但需要再次建立它，您可以在帳戶中使用相同程序 (建立新的 SageMaker HyperPod 叢集) 重新建立角色。

## 編輯 SageMaker HyperPod 的服務連結角色
<a name="edit-slr"></a>

SageMaker HyperPod 不允許您編輯 `AWSServiceRoleForSageMakerHyperPod` 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 SageMaker HyperPod 的服務連結角色
<a name="delete-slr"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。然而，在手動刪除服務連結角色之前，您必須先清除資源。

**使用服務連結角色刪除 SageMaker HyperPod 叢集資源**

使用下列其中一個選項來刪除 SageMaker HyperPod 叢集資源。
+ 使用 SageMaker AI 主控台[刪除 SageMaker HyperPod 叢集](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster)
+ 使用 [刪除 SageMaker HyperPod 叢集](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) AWS CLI

**注意**  
如果 SageMaker HyperPod 服務在您嘗試刪除資源時正在使用該角色，刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSageMakerHyperPod`服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## SageMaker HyperPod 服務連結角色支援的區域
<a name="slr-regions"></a>

SageMaker HyperPod 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊，請參閱 [SageMaker HyperPod 的先決條件](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html)。

# AWS 受管政策：AmazonSageMakerClusterInstanceRolePolicy
<a name="security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy"></a>

此政策授予使用 Amazon SageMaker HyperPod 筆記本通常所需的許可。

**許可詳細資訊**

此 AWS 受管政策包含下列許可。
+ `cloudwatch` - 允許主體張貼 Amazon CloudWatch 指標。
+ `logs` - 允許主體發佈 CloudWatch 日誌串流。
+ `s3` - 允許主體在您的帳戶中從 Amazon S3 儲存貯體列出和擷取生命週期指令碼檔案。這些儲存貯體限制為名稱以 "sagemaker-" 開頭的物件。
+ `ssmmessages` - 允許主體開啟 AWS Systems Manager的連線。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Sid" : "CloudwatchLogStreamPublishPermissions",
      "Effect" : "Allow",
      "Action" : [
        "logs:PutLogEvents",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams"
      ],
      "Resource" : [
        "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
      ]
    },
    {
      "Sid" : "CloudwatchLogGroupCreationPermissions",
      "Effect" : "Allow",
      "Action" : [
        "logs:CreateLogGroup"
      ],
      "Resource" : [
        "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
      ]
    },
    {
      "Sid" : "CloudwatchPutMetricDataAccess",
      "Effect" : "Allow",
      "Action" : [
        "cloudwatch:PutMetricData"
      ],
      "Resource" : [
        "*"
      ],
      "Condition" : {
        "StringEquals" : {
          "cloudwatch:namespace" : "/aws/sagemaker/Clusters"
        }
      }
    },
    {
      "Sid" : "DataRetrievalFromS3BucketPermissions",
      "Effect" : "Allow",
      "Action" : [
        "s3:ListBucket",
        "s3:GetObject"
      ],
      "Resource" : [
        "arn:aws:s3:::sagemaker-*"
      ],
      "Condition" : {
        "StringEquals" : {
          "aws:ResourceAccount" : "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid" : "SSMConnectivityPermissions",
      "Effect" : "Allow",
      "Action" : [
        "ssmmessages:CreateControlChannel",
        "ssmmessages:CreateDataChannel",
        "ssmmessages:OpenControlChannel",
        "ssmmessages:OpenDataChannel"
      ],
      "Resource" : "*"
    }
  ]
}
```

------

## Amazon SageMaker AI 更新 SageMaker HyperPod 受管政策
<a name="security-iam-awsmanpol-hyperpod-updates"></a>

檢視自此服務開始追蹤這些變更以來SageMaker HyperPod AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 SageMaker AI [文件歷史記錄頁面](doc-history.md)上的 RSS 摘要。


| 政策 | 版本 | 變更 | Date | 
| --- | --- | --- | --- | 
|  [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) – 新政策  | 1 |  初始政策  | 2025 年 8 月 22 日 | 
|  [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - 更新的政策  | 2 |  已更新政策以修正角色範圍縮減以包含 `service-role` 字首。也已新增端對端管理動作所需 `eks:DeletePodIdentityAssociation` 和 `eks:UpdatePodIdentityAssociation` 的許可。  | 2025 年 8 月 19 日 | 
|  [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) – 新政策  | 1 |  初始政策  | 2025 年 7 月 10 日 | 
|  [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) – 新政策  | 1 |  初始政策  | 2024 年 9 月 9 日 | 
|  [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) – 新政策  | 1 |  初始政策  | 2023 年 11 月 29 日 |