aws sagemaker - 调用 get_role 的 IAM 权限

Question

问题

\n

哪个 AWS 文档解释了在 SageMaker Studio 中运行 SageMaker 所需的 IAM 权限？

\n

问题

\n

在附加了 IAM 策略AmazonSageMakerFullAccess的 SageMaker Studio 中。

\n

AWS 文档AmazonSageMakerFullAccess：

\n

\n

此策略授予管理权限，允许委托人完全访问所有 Amazon SageMaker 资源和操作。该政策还提供对相关服务的选择性访问。

\n

权限详情

\n

此策略包括以下权限。
\n...
\niam \xe2\x80\x93 需要授予 SageMaker 控制台对可用 IAM 角色的访问权限并创建服务相关角色。

\n

\n

但是，按照指示运行下面的代码SageMaker 角色失败。

\n

import sagemaker\n\nsess = sagemaker.Session()\nrole = sagemaker.get_execution_role()\n-----\nCouldn\'t call \'get_role\' to get Role ARN from role name <IAM Role Name> to get Role path.\n

\n

\n

使固定

\n

附加iam:GetRole解决问题的权限。然而，它记录在哪里？

\n

\n

有关的

\n

显然AWS在2020年就承认这是一个问题并且没有更新文档？

\n

\n
• AWS SageMaker Github 该项目需要的权限比 AmazonSageMakerFullAccess 提供的权限更多 #2027
\n

\n

\n

是的，我找到了一个解决方案，但您可能应该解决根本问题 - 无论是在文档中还是在您的策略本身中。

\n

\n

Answer 1

我希望您的问题得到解决 - 我刚刚测试了它，仅将 AmazonSageMakerFullAccess 附加到我的执行角色，并且我能够执行单元而不会出现任何权限错误。

编辑：GitHub 文档已更新，以指定您的角色中包含路径时所需的权限。如果您的角色中没有路径，则 AmazonSageMakerFullAccess 应该足够了（如我的情况）。

我在 AWS 工作，我的观点仅代表我自己。