Como soluciono os erros que recebo quando um trabalho de caderno programado tenta ser executado no SageMaker AI Studio?

4 minuto de leitura

Quero solucionar os erros que recebo quando trabalhos de cadernos programados tentam ser executados no Amazon SageMaker AI Studio.

Resolução

Solucionar erros AccessDenied

Quando um trabalho de caderno programado tenta ser executado, é possível receber um erro "AccessDenied" pelos seguintes motivos:

Você não tem as políticas necessárias do AWS Identity and Access Management (AWS IAM).
Você não tem as políticas de endpoint necessárias do Amazon Virtual Private Cloud (Amazon VPC).
Você tem exceções na tag de recurso.

Problemas de política do IAM

Certifique-se de que seu caderno tenha a seguinte política anexada ao perfil do IAM para permitir a relação de confiança base:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Além disso, verifique se seu perfil do IAM tem as seguintes permissões:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringLike": {
          "iam:PassedToService": [
            "sagemaker.amazonaws.com",
            "events.amazonaws.com"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "events:TagResource",
        "events:DeleteRule",
        "events:PutTargets",
        "events:DescribeRule",
        "events:PutRule",
        "events:RemoveTargets",
        "events:DisableRule",
        "events:EnableRule"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:PutBucketVersioning",
        "s3:PutEncryptionConfiguration"
      ],
      "Resource": "arn:aws:s3:::sagemaker-automated-execution-*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:ListTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:space/*",
        "arn:aws:sagemaker:*:*:training-job/*",
        "arn:aws:sagemaker:*:*:pipeline/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:training-job/*",
        "arn:aws:sagemaker:*:*:pipeline/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:GetDownloadUrlForLayer",
        "ecr:GetAuthorizationToken",
        "s3:ListBucket",
        "s3:GetBucketLocation",
        "s3:GetEncryptionConfiguration",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObject",
        "sagemaker:DescribeDomain",
        "sagemaker:DescribeUserProfile",
        "sagemaker:DescribeSpace",
        "sagemaker:DescribeStudioLifecycleConfig",
        "sagemaker:DescribeImageVersion",
        "sagemaker:DescribeAppImageConfig",
        "sagemaker:CreateTrainingJob",
        "sagemaker:DescribeTrainingJob",
        "sagemaker:StopTrainingJob",
        "sagemaker:Search",
        "sagemaker:CreatePipeline",
        "sagemaker:DescribePipeline",
        "sagemaker:DeletePipeline",
        "sagemaker:StartPipelineExecution"
      ],
      "Resource": "*"
    }
  ]
}

Para obter mais informações, consulte AWS managed policies for SageMaker AI Notebooks (Políticas gerenciadas AWS para cadernos SageMaker AI).

Problemas de endpoint da VPC

Se você iniciar o trabalho de caderno por meio de um endpoint da Amazon VPC, verifique a configuração e a política do endpoint. Certifique-se de concluir as etapas necessárias e seguir as práticas recomendadas para o endpoint do serviço da AWS relevante:

Em endpoints da VPC do Amazon S3, é possível receber uma mensagem de erro relacionada a um endpoint restrito a uma única conta da AWS. Por exemplo, a política a seguir restringe o acesso a uma conta com ID 111122223333:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSpecificAccountsPermission",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "s3:ResourceAccount": "111122223333"
        }
      }
    }
  ]
}

Para resolver esse problema, você também deve permitir o seguinte acesso ao bucket do S3 para as ações do usuário:

{
  "Action": [
    "s3:*"
  ],
  "Resource": [
    "arn:aws:s3:::sagemakerheadlessexecution-prod-*",
    "arn:aws:s3:::sagemakerheadlessexecution-prod-*/*"
  ],
  "Effect": "Allow",
  "Sid": "SCTASK14554266"
}

Exceções na tag de recursos

Certifique-se de que sua política do IAM tenha as seguintes permissões:

{
  "Effect": "Allow",
  "Action": [
    "events:TagResource",
    "events:DeleteRule",
    "events:PutTargets",
    "events:DescribeRule",
    "events:PutRule",
    "events:RemoveTargets",
    "events:DisableRule",
    "events:EnableRule"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:ResourceTag/sagemaker:is-scheduling-notebook-job": "true"
    }
  }
}

Solucione erros de interface do usuário

É possível encontrar uma mensagem de erro de interface do usuário ao tentar criar, descrever, atualizar, interromper ou excluir um trabalho de caderno. Também é possível receber essa mensagem de erro ao usar definições de trabalhos (trabalhos programados). Para solucionar problemas, consulte a mensagem de erro que aparece na interface do usuário. Essa mensagem pode conter instruções ou ações sugeridas para resolver o problema.

Se não for possível resolver o erro, realize as seguintes etapas:

Faça uma captura de tela do erro e salve-a como um arquivo de imagem.
Crie um arquivo HTTP Archive (HAR) que capture o tráfego da rede quando ocorrer um erro na interface do usuário.
Abra o terminal do servidor Jupyter do SageMaker AI Studio. Selecione Arquivo, Novo, Terminal.
Verifique os logs em /var/log/apps/app_container.log para ver se há exceções, erros ou avisos no momento do erro da interface do usuário.
Entre em contato com o AWS Support. Em sua solicitação, anexe a captura de tela do erro, o app_container.log e o arquivo HAR.

Tópicos: Machine Learning & AI Storage
Tags: Amazon SageMaker
Idioma: Português

AWS OFICIALAtualizada há 7 meses

Sem comentários

Conteúdo relevante

Mudança de Configurações no SQL Server do Software
Resposta aceita
Daniel Silva
feita há 7 meses
Cobrança no Amazon Q
Nicolas M
feita há 10 meses
Ajuda com otimização de custos na AWS para startup SaaS (EC2 e RDS)
Heber
feita há um ano
Como alocar custos de uso do InvokeAgent no Amazon Bedrock por agente ou aplicação?
Mauricio Schmitz
feita há um ano
Instancia não executa RDP após criar e excluir uma processo no Resource Scheduler Powered by AWS Solutions
Santos
feita há um ano
Como soluciono erros de programação de caderno no SageMaker AI Studio?
AWS OFICIALAtualizada há 7 meses
Como soluciono erros de capacidade insuficiente ao iniciar meus recursos do SageMaker AI?
AWS OFICIALAtualizada há 9 meses
Como soluciono problemas ao acessar um projeto do SageMaker AI no SageMaker AI Studio?
AWS OFICIALAtualizada há 6 meses
Como soluciono problemas que ocorrem com minhas tarefas agendadas de notebook com o Amazon SageMaker AI?
AWS OFICIALAtualizada há um ano
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 10 meses