3

我正在尝试让 AWS SageMaker 调用 AWS Comprehend。我在 SageMaker 中收到此消息:

ClientError:调用 StartTopicsDetectionJob 操作时发生错误 (AccessDeniedException):用户:arn:aws:sts::545176143103:assumed-role/access-aws-services-from-sagemaker/SageMaker 无权执行:iam:PassRole on资源:arn:aws:iam::545176143103:role/access-aws-services-from-sagemaker

在创建 Jupyter notebook 时,我使用了这个角色:

arn:aws:sagemaker:us-east-2:545176143103:notebook-instance/access-comprehend-from-sagemaker

...附有以下政策:

在此处输入图像描述

我在 SageMaker 中使用相同的 IAM 角色:

 data_access_role_arn = "arn:aws:iam::545176143103:role/access-aws-services-from-sagemaker"

看起来我正在为角色提供它所需的所有访问权限。我该如何纠正这个错误?

4

2 回答 2

5

根据您的错误,SageMaker 笔记本似乎存在权限问题,试图从没有明确权限的笔记本中更改 IAM 设置。

你有几个选项可以解决这个问题:

选项 1:授予 SageMaker 笔记本权限以在运行时在笔记本中定义 IAM 角色。

在控制台中,单击Hosted Notebooks左侧导航栏,然后在 下Permissions,单击附加的 IAM 角色。在这里,您可以添加策略,例如IAMFullAccessIAMReadOnlyAccess。当您尝试从笔记本中附加 IAM 角色时,这应该可以解决权限错误。

选项 2:明确定义您希望 SageMaker 在控制台中拥有的权限。

在控制台中,单击Hosted Notebooks左侧导航栏,然后在 下Permissions,单击附加的 IAM 角色。在这里,您可以直接添加资源权限的策略(例如 Comprehend)。如果不将显式 IAM 访问策略附加到此角色,您将无法在运行时更改权限。

选项 3:两者

如果您想预先定义对某些资源的访问权限,但还可能在实验期间添加其他资源权限,您​​可以执行第 1 步和第 2 步(在控制台中将 IAM + 其他资源权限添加到托管笔记本,并能够在实验期间内联更改您的 SageMaker IAM 角色)。

于 2019-04-25T00:16:35.660 回答
1

您需要添加 sts 完全访问权限才能让 Sagemaker 承担角色。 User: arn:aws:sts::545176143103:assumed-role

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
            "sts:DecodeAuthorizationMessage",
            "sts:GetAccessKeyInfo",
            "sts:GetCallerIdentity"
        ],
        "Resource": "*"
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "sts:*",
        "Resource": "*"
    }
]

}

于 2020-08-11T10:03:02.313 回答