Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Comment puis-je résoudre les problèmes d'autorisations lorsque je crée un groupe de fonctionnalités SageMaker ?

Lecture de 4 minute(s)

Je souhaite créer un groupe de fonctionnalités Amazon SageMaker et le message d'erreur « AccessDenied » s'affiche.

Brève description

Les erreurs « AccessDenied » de SageMaker indiquent que le rôle AWS Identity and Access Management (IAM) ne dispose pas d’autorisations suffisantes pour effectuer l'opération Créer un groupe de fonctionnalités.

Le message d'erreur « AccessDenied » s'affiche lorsque les autorisations du rôle d'exécution comportent les informations suivantes manquantes ou mal configurées :

Politique AmazonSageMakerFeatureStoreAccess et exigences en matière de dénomination du compartiment Amazon Simple Storage Service (Amazon S3)
Autorisations d'AWS Lake Formation
Créer une politique AWS KMS (Key Management Service)
Politique de compartiment Amazon S3

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la page Résoudre les erreurs liées à AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface de ligne de commande AWS.

Pour afficher un message d'erreur détaillé lorsque vous créez un groupe de fonctionnalités, exécutez la commande suivante depuis votre point de terminaison, puis vérifiez le paramètre FailureReason :

$ aws sagemaker describe-feature-group --feature-group-name nameofthefeaturegroup

Politique AmazonSageMakerFeatureStoreAccess et exigences de dénomination du compartiment Amazon S3 manquantes

Si la politique AmazonSageMakerFeatureStore est manquante dans votre rôle d'exécution, examinez d'abord les politiques associées au rôle d'exécution. Puis, associez la politique AmazonSageMakerFeatureStoreAccess :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    }
  ]
}

Si la création du groupe de fonctionnalités échoue après avoir ajouté la politique AmazonSageMakerFeatureStoreAccess, vérifiez que le nom du compartiment contient le mot « sagemaker ». Cette convention de dénomination est requise pour une politique gérée par Amazon stockée dans un compartiment S3.

Autorisations de Lake Formation manquantes

La création du groupe de fonctionnalités échoue en raison d’autorisations AWS Lake Formation insuffisantes. Lorsque vous créez un groupe de fonctionnalités, une base de données AWS Glue est automatiquement créée. Tous les groupes de fonctionnalités que vous avez créés à l'aide de SageMaker sont créés sous forme de tables dans cette base de données AWS Glue.

Vérifiez que le rôle d'exécution est autorisé à créer une base de données AWS Glue. Si le rôle d'exécution ne dispose pas d’autorisations, procédez comme suit :

Ouvrez la console LakeFormation.
Dans la barre latérale gauche, sélectionnez Autorisations, puis Autorisations de données.
Sélectionnez Accorder.
Choisissez le rôle d’exécution IAM dans la liste déroulante Principaux, puis accordez les autorisations requises.

Remarque : AWS Lake Formation exige que chaque responsable (utilisateur ou rôle) soit autorisé à effectuer des actions sur les ressources gérées de Lake Formation.

Pour plus d'informations sur l'octroi d'autorisations de base de données, consultez la section Octroi d'autorisations sur une base de données ou une table partagée avec votre compte.

Politique AWS KMS manquante

L'appel d'API CreateFeatureGroup échoue en raison de politiques AWS KMS manquantes. Pour vérifier ce problème, examinez les politiques IAM du rôle d'exécution, puis vérifiez que les politiques suivantes sont associées à ce rôle :

kms:GenerateDataKeykms:Decrypt
kms: Encrypt

Si les politiques précédentes ne sont pas visibles après que vous ayez exécuté la commande AWS CLI, associez-les, puis réessayez.

Politique de compartiment S3

Les erreurs « AccessDenied » se produisent en raison d'une politique de compartiment Amazon S3 empêchant l'accès au compartiment. Examinez la politique de compartiment S3, puis vérifiez si le rôle d'exécution utilisé pour créer le groupe de fonctionnalités a accès au compartiment.

Informations connexes

Octroi d'autorisations relatives aux liens de ressource

Sujets

Machine Learning et AI Stockage Analytique

Balises

Amazon SageMaker AWS Lake Formation

Langue

Français

AWS OFFICIELA mis à jour il y a 9 mois

Aucun commentaire

Contenus pertinents

Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a 2 ans
Sagemaker/Support : Urgence et Prise en compte des tickets
Romuald
demandé il y a un an
Data labeling sagemaker ground truth
Jose G
demandé il y a 2 ans
AWS SageMaker endpoint
Baptiste
demandé il y a un an
Bug et messages d'erreur dans Sagemaker Canvas (suppressions impossibles)
Misterphil92150
demandé il y a 9 mois
Comment puis-je résoudre les problèmes qui surviennent lorsque j'invoque ou crée un point de terminaison asynchrone SageMaker AI ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment puis-je résoudre les problèmes liés aux métriques CloudWatch manquantes pour mon point de terminaison Sagemaker AI ?
AWS OFFICIELA mis à jour il y a 4 mois
Comment résoudre les problèmes liés aux tâches de bloc-notes planifiées dans SageMaker Studio ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre les problèmes qui surviennent lorsque j'utilise Systems Manager pour me connecter à mon point de terminaison Amazon SageMaker ?
AWS OFFICIELA mis à jour il y a 6 mois