Блог

Главная - Вопросы по программированию - IAM контролирует тип экземпляра Sagemaker Studio

IAM контролирует тип экземпляра Sagemaker Studio

#amazon-web-services #amazon-iam #amazon-sagemaker

#amazon-веб-сервисы #amazon-iam #amazon-sagemaker

Вопрос:

Интересно, удалось ли кому-нибудь ограничить тип экземпляров, которые пользователь может выбрать из Sagemaker Studio-Jupyter. Не хотел применять ограничение на роль домена и пытался создать пользовательские роли, которые можно было бы прикрепить к профилям пользователей. Пробовал с помощью «createApp» и запретил более крупные экземпляры, но обнаружил, что это становится препятствием (Sagemaker.createApp не разрешен), когда новый профиль пользователя пытается запустить studio в первый раз. Есть ли возможность разрешить им создавать приложение по умолчанию, но ограничить выбор экземпляров, которые он / она может выбрать для изображения с помощью IAM?

Пример используемой политики :

     {
        "Sid": "VisualEditor1",
        "Effect": "Deny",
        "Action": "sagemaker:CreateApp",
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringLike": {
                "sagemaker:InstanceTypes": [
                    "ml.c5.3xlarge",
                    "ml.c5.4large",
                    "ml.c5.9xlarge",                                                                      
                    "ml.m5.4xlarge",                        
                    "ml.m5.12xlarge",
                    "ml.m5.16xlarge",
                    "ml.m5.24xlarge",
                    "ml.c5.4xlarge",
                    "ml.c5.9xlarge",
                    "ml.c5.12xlarge",
                    "ml.c5.18xlarge",
                    "ml.c5.24xlarge",
                    "ml.g4dn.*",
                    "ml.p3.*"
                    
                ]
            }
        }
    }

Это отлично работает для профиля пользователя, который зарегистрировал / запустил приложение «по умолчанию», но ограничивает нового пользователя с той же ролью / политикой от запуска выпуска «Open Studio».

Увидел это, что было очень похоже на вопрос — https://github.com/aws/amazon-sagemaker-examples/issues/1499

Какие-нибудь мысли, указания?

Спасибо, Мано

Ответ №1:

Используемая вами политика IAM запрещает CreateApp пользователям использовать экземпляры определенного типа (большие экземпляры).

У вас должен быть другой идентификатор IAM, прикрепленный к пользователям / ролям, для предоставления CreateApp для всех других типов экземпляров, включая system и default .

Примечание: если у вас есть другой оператор IAM, который предоставляет разрешение для всех типов экземпляров, убедитесь, что политика имеет разрешение на использование system default типов экземпляров и .

См. Политику IAM, обсуждаемую в вопросе Github

Чтобы устранить эту проблему, проверьте CreatApp запрос API от AWS CloudTrail, чтобы увидеть errormessage и понять проблему.

Комментарии:

1. Спасибо — я смог уточнить политику и обновить ее (также выделил то же самое в GitHub), пропустил обновление здесь — ответ Github от команды AWS появился для нас немного поздно. Хитрость заключалась в удалении запрета для AppType JupyterHub и ограничении типов ядер, которые начали появляться в документации AWS почти год спустя (намного позже выпуска studio).