Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso risolvere i problemi relativi alle autorizzazioni quando creo un gruppo di funzionalità di SageMaker?

3 minuti di lettura
0

Desidero creare un gruppo di funzionalità di Amazon SageMaker e ricevo un errore "AccessDenied".

Breve descrizione

Gli errori "AccessDenied" di SageMaker indicano che il ruolo AWS Identity and Access Management (IAM) non dispone di autorizzazioni sufficienti per eseguire l'operazione Create Feature Group (Crea gruppo di funzionalità).

Viene visualizzato un errore "AccessDenied" quando le autorizzazioni del ruolo di esecuzione contengono le seguenti informazioni mancanti o non configurate correttamente:

  • Policy AmazonSageMakerFeatureStoreAccess e requisiti di denominazione dei bucket Amazon Simple Storage Service (Amazon S3)
  • Autorizzazioni di AWS Lake Formation
  • Policy del Servizio AWS di gestione delle chiavi (AWS KMS)
  • Policy del bucket Amazon S3

Risoluzione

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Per visualizzare un messaggio di errore dettagliato quando crei un gruppo di funzionalità, esegui il seguente comando dal tuo terminale, quindi controlla il motivo dell'errore FailureReason:

$ aws sagemaker describe-feature-group --feature-group-name nameofthefeaturegroup

Policy AmazonSageMakerfeatureStoreAccess e requisiti di denominazione dei bucket Amazon S3 mancanti

Se nel tuo ruolo di esecuzione manca la policy AmazonSageMakerFeatureStore, rivedi innanzitutto le policy allegate al ruolo di esecuzione. Quindi allega la policy AmazonSageMakerFeatureStoreAccess:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    }
  ]
}

Se la creazione del gruppo di funzionalità non riesce dopo aver aggiunto la policy AmazonSageMakerFeatureStoreAccess, controlla che il bucket contenga il termine "sagemaker" nel nome. Questa convenzione di denominazione è necessaria per una policy gestita da Amazon archiviata in un bucket S3.

Autorizzazioni di Lake Formation mancanti

La creazione del gruppo di funzionalità non riesce a causa di autorizzazioni di AWS Lake Formation insufficienti. Quando crei un gruppo di funzionalità, viene creato automaticamente un database AWS Glue. Tutti i gruppo di funzionalità creati utilizzando SageMaker vengono creati come tabelle all'interno del database AWS Glue.

Verifica che il ruolo di esecuzione disponga dell'autorizzazione per creare un database AWS Glue. Se il ruolo di esecuzione non dispone dell'autorizzazione, completa i seguenti passaggi:

  1. Apri la console LakeFormation.
  2. Nella barra laterale sinistra, scegli Autorizzazioni, quindi scegli Autorizzazioni ai dati.
  3. Scegli Concedi.
  4. Scegli il ruolo di esecuzione IAM dall'elenco a discesa dei principali, quindi concedi le autorizzazioni richieste.

Nota: AWS Lake Formation richiede che ogni principale (utente o ruolo) sia autorizzato a eseguire azioni sulle risorse gestite di Lake Formation.

Per ulteriori informazioni sulla concessione delle autorizzazioni del database, vedi Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account.

Policy AWS KMS mancante

La chiamata all'API CreateFeatureGroup ha esito negativo per la mancanza di policy AWS KMS. Per verificare questo problema, esamina le policy IAM del ruolo di esecuzione e conferma che siano allegate le seguenti policy:

kms:GenerateDataKeykms:Decrypt
kms: Encrypt

Se le policy precedenti non sono visibili dopo aver eseguito il comando AWS CLI, allega le policy e riprova.

Policy del bucket S3

Gli errori "AccessDenied" si verificano a causa di una policy del bucket Amazon S3 che impedisce l'accesso al bucket. Rivedi la policy del bucket S3, quindi controlla se il ruolo di esecuzione utilizzato per creare il gruppo di funzionalità ha accesso al bucket.

Informazioni correlate

Concessione delle autorizzazioni per i collegamenti alle risorse

Argomenti
Apprendimento automatico e intelligenza artificialeArchiviazioneAnalisi
Tag
Amazon SageMakerAWS Lake Formation
Lingua
Italiano
AWS UFFICIALEAggiornata 10 mesi fa

Contenuto pertinente