Wie behebe ich Berechtigungsprobleme, wenn ich eine SageMaker-Feature-Gruppe erstelle?

Lesedauer: 3 Minute

Ich möchte eine Amazon SageMaker-Feature-Gruppe erstellen und erhalte die Fehlermeldung „AccessDenied“.

Kurzbeschreibung

„AccessDenied“-Fehler von SageMaker deuten darauf hin, dass die AWS Identity and Access Management (IAM)-Rolle nicht über ausreichende Berechtigungen verfügt, um den Vorgang Feature-Gruppe erstellen durchzuführen.

Du erhältst die Fehlermeldung „AccessDenied“, wenn die Ausführungsrollenberechtigungen die folgenden fehlenden oder falsch konfigurierten Informationen enthalten:

AmazonSageMakerFeatureStoreAccess-Richtlinie und Amazon Simple Storage Service (Amazon S3)-Bucket-Benennungsanforderungen
Berechtigungen für AWS Lake Formation
AWS Key Management Service (AWS KMS)-Richtlinie
Amazon S3-Bucket-Richtlinie

Lösung

**Anmerkung:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendest.

Um beim Erstellen einer Feature-Gruppe eine detaillierte Fehlermeldung zu erhalten, führe den folgenden Befehl von deinem Terminal aus und überprüfe dann den FailureReason:

$ aws sagemaker describe-feature-group --feature-group-name nameofthefeaturegroup

Fehlende AmazonSageMakerFeatureStoreAccess-Richtlinie und Amazon S3-Bucket-Benennungsanforderungen

Wenn in deiner Ausführungsrolle die AmazonSageMakerFeatureRestore-Richtlinie fehlt, überprüfe zunächst die Richtlinien, die der Ausführungsrolle zugeordnet sind. Hänge dann die AmazonSageMakerFeatureStoreAccess-Richtlinie an:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    }
  ]
}

Wenn die Erstellung der Feature-Gruppe fehlschlägt, nachdem du die AmazonSageMakerFeatureStoreAccess-Richtlinie hinzugefügt hast, überprüfe, ob der Bucket das Wort „sagemaker“ im Namen enthält. Diese Namenskonvention ist für eine von Amazon verwaltete Richtlinie erforderlich, die in einem S3-Bucket gespeichert ist.

Fehlende Lake Formation-Berechtigungen

Die Erstellung der Feature-Gruppe schlägt fehl, weil die Berechtigungen für AWS Lake Formation nicht ausreichen. Wenn du eine Feature-Gruppe erstellst, wird automatisch eine AWS Glue-Datenbank erstellt. Alle Feature-Gruppen, die du mit SageMaker erstellt hast, werden als Tabellen in dieser AWS Glue-Datenbank erstellt.

Vergewissere dich, dass die Ausführungsrolle berechtigt ist, eine AWS Glue-Datenbank zu erstellen. Wenn die Ausführungsrolle keine Berechtigung hat, gehe wie folgt vor:

Öffne die LakeFormation-Konsole.
Wähle in der linken Seitenleiste Berechtigungen und dann Datenberechtigungen aus.
Wähle Gewähren aus.
Wähle die IAM-Ausführungsrolle aus der Dropdownliste Prinzipale aus und gewähre dann die erforderlichen Berechtigungen.

Hinweis: Für AWS Lake Formation muss jeder Prinzipal (Benutzer oder Rolle) autorisiert sein, Aktionen an von Lake Formation verwalteten Ressourcen durchzuführen.

Weitere Informationen zum Erteilen von Datenbankberechtigungen findest du unter Erteilen von Berechtigungen für eine mit deinem Konto geteilte Datenbank oder Tabelle.

Fehlende AWS KMS-Richtlinie

Der CreateFeatureGroup-API-Aufruf schlägt fehl, weil die AWS-KMS-Richtlinien fehlen. Um nach diesem Problem zu suchen, überprüfe die IAM-Richtlinien der Ausführungsrolle und stelle dann sicher, dass ihr die folgenden Richtlinien zugeordnet sind:

kms:GenerateDataKeykms:Decrypt
kms: Encrypt

Wenn die vorherigen Richtlinien nach der Ausführung des AWS-CLI-Befehls nicht sichtbar sind, hänge die Richtlinien an und versuche es erneut.

S3-Bucket-Richtlinie

Die „AccessDenied“-Fehler treten auf, weil eine Amazon S3-Bucket-Richtlinie den Zugriff auf den Bucket verhindert. Überprüfe die S3-Bucket-Richtlinie und überprüfe dann, ob die Ausführungsrolle, mit der die Feature-Gruppe erstellt wurde, Zugriff auf den Bucket hat.

Relevanter Inhalt

Wie behebe ich Probleme, wenn ich in SageMaker Studio auf ein Amazon-SageMaker-Projekt zugreife?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich Probleme, die auftreten, wenn ich einen asynchronen Endpunkt von SageMaker AI aufrufe oder erstelle?
AWS OFFICIALAktualisiert vor 2 Monaten
Wie behebe ich Berechtigungsprobleme in Amazon ECS?
AWS OFFICIALAktualisiert vor einem Monat
Wie behebe ich Amazon S3 AccessDenied-Fehler in Amazon SageMaker-Schulungsaufträgen?
AWS OFFICIALAktualisiert vor 2 Jahren