SageMaker 특성 그룹을 생성하는 동안 권한 문제를 해결하려면 어떻게 해야 하나요?

3분 분량
0

Amazon SageMaker 특성 그룹을 생성하려고 하는데 'AccessDenied' 오류가 발생합니다.

간략한 설명

SageMaker 'AccessDenied' 오류는 AWS Identity and Access Management(IAM) 역할에 Create Feature Group(특성 그룹 생성) 작업을 수행할 수 있는 충분한 권한이 없음을 나타냅니다. 다음과 같이 실행 역할 권한이 없거나 잘못 구성된 경우 'AccessDenied' 오류가 발생할 수 있습니다.

  • AmazonSageMakerFeatureStoreAccess 정책 누락 및 Amazon Simple Storage Service(S3) 버킷 명명 요구 사항
  • LakeFormation 권한 누락
  • AWS Key Management Service(AWS KMS) 정책 누락
  • Amazon S3 버킷 정책

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

특성 그룹을 생성하는 동안 자세한 오류 메시지를 보려면 터미널에서 다음 명령을 실행하고 FailureReason을 확인하세요.

$ aws sagemaker describe-feature-group --feature-group-name nameofthefeaturegroup

AmazonSageMakerfeatureStoreAccess 정책 누락 및 Amazon S3 버킷 명명 요구 사항

사용 중인 실행 역할에 Amazon 관리형 AmazonSageMakerFeatureStore 정책이 누락되었을 수 있습니다. 실행 역할에 연결된 정책을 검토합니다. 그런 다음 AmazonSageMakerFeatureStoreAccess 정책이 누락된 경우 해당 정책을 연결합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    }
  ]
}

AmazonSageMakerFeatureStoreAccess 정책을 추가한 후에도 특성 그룹 생성이 실패할 수 있습니다. 이 정책은 S3 버킷에 저장되는 Amazon 관리형 정책이므로 버킷 이름에 'sagemaker'라는 단어가 있어야 합니다.

Lake Formation 권한 누락

AWS Lake Formation 권한이 부족하여 특성 그룹 생성에 실패할 수 있습니다. 특성 그룹이 생성될 때 AWS Glue 데이터베이스가 자동으로 생성됩니다. SageMaker를 사용하여 생성된 모든 특성 그룹은 이 AWS Glue 데이터베이스 내에 테이블로 생성됩니다.

사용된 실행 역할에 AWS Glue 데이터베이스를 생성할 수 있는 권한이 부여되었는지 확인합니다. 실행 역할에 권한이 없는 경우 다음을 수행하세요.

참고: AWS Lake Formation을 사용하려면 각 보안 주체(사용자 또는 역할)에 Lake Formation 관리형 리소스에 대한 작업을 수행할 권한이 있어야 합니다.

  1. LakeFormation 콘솔을 엽니다.
  2. 왼쪽 사이드바에서 Permissions(권한)를 선택하고 Data Permissions(데이터 권한)를 선택합니다.
  3. Grant(부여)를 선택합니다.
  4. principals(보안 주체) 드롭다운 메뉴에서 IAM execution role(IAM 실행 역할)을 선택한 다음 필요한 권한을 부여합니다.

데이터베이스 권한 부여에 대한 자세한 내용은 Granting permissions on a database or table shared with your account(계정과 공유된 데이터베이스 또는 테이블에 대한 권한 부여)를 참조하세요.

AWS KMS 정책 누락

AWS KMS 정책 누락으로 인해 CreateFeatureGroup API 호출이 실패할 수 있습니다. 점검하려면 실행 역할의 IAM 정책을 검토한 후 다음 정책이 연결되어 있는지 확인하세요.

kms:GenerateDataKey
kms:Decrypt
kms: Encrypt

CLI 명령을 실행한 후 이전 정책이 표시되지 않으면 정책을 연결한 다음 다시 시도하세요.

S3 버킷 정책

'AccessDenied' 오류는 버킷에 대한 액세스를 막는 Amazon S3 버킷 정책으로 인해 발생할 수도 있습니다. S3 버킷 정책을 검토한 다음 특성 그룹을 생성하는 데 사용된 실행 역할에 버킷에 대한 액세스 권한이 있는지 확인하세요.


관련 정보

계정과 공유된 데이터베이스 또는 테이블에 대한 권한 부여

리소스 링크 권한 부여

버킷 정책 사용

AWS 공식
AWS 공식업데이트됨 2년 전