AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

¿Cómo puedo solucionar los problemas de permisos al crear un grupo de características de SageMaker?

4 minutos de lectura

Quiero crear un grupo de características de Amazon SageMaker y aparece el error «AccessDenied».

Descripción corta

Los errores «AccessDenied» de SageMaker indican que el rol de AWS Identity and Access Management (IAM) no tiene los permisos suficientes para realizar la operación de creación de un grupo de características.

Aparece el error «AccessDenied» cuando en los permisos del rol de ejecución la siguiente información falta o está mal configurada:

Requisitos de nomenclatura de políticas AmazonSageMakerFeatureStoreAccess y buckets de Amazon Simple Storage Service (Amazon S3)
Permisos de AWS Lake Formation
Política de AWS Key Management Service (AWS KMS)
Política de bucket de Amazon S3

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Troubleshoot AWS CLI errors. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Para ver un mensaje de error detallado al crear un grupo de características, ejecute el siguiente comando desde su terminal y, a continuación, compruebe el FailureReason:

$ aws sagemaker describe-feature-group --feature-group-name nameofthefeaturegroup

Faltan los requisitos de nomenclatura de buckets de Amazon S3 y políticas AmazonSageMakerfeatureStoreAccess

Si al rol de ejecución le falta la política AmazonSageMakerFeatureStore, primero revise las políticas adjuntas al rol de ejecución. A continuación, adjunte la política AmazonSageMakerFeatureStoreAccess:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    }
  ]
}

Si la creación del grupo de características falla después de añadir la política AmazonSageMakerFeatureStoreAccess, compruebe que el bucket tenga la palabra «sagemaker» en el nombre. Esta convención de nomenclatura es obligatoria para una política administrada por Amazon que se almacena en un bucket de S3.

Faltan los permisos de Lake Formation

La creación del grupo de características falla debido a que los permisos de AWS Lake Formation son insuficientes. Al crear un grupo de características, se crea automáticamente una base de datos de AWS Glue. Todos los grupos de características que haya creado con SageMaker se crean como tablas en esta base de datos de AWS Glue.

Confirme que el rol de ejecución tiene permiso para crear una base de datos de AWS Glue. Si el rol de ejecución no tiene permiso, siga estos pasos:

Abra la consola de LakeFormation.
En la barra lateral izquierda, seleccione Permisos y, a continuación, elija Permisos de datos.
Elija Conceder.
Elija el rol de ejecución de IAM en la lista desplegable de entidades principales y, a continuación, conceda los permisos necesarios.

Nota: AWS Lake Formation requiere que cada entidad principal (usuario o rol) esté autorizada a realizar acciones en los recursos administrados de Lake Formation.

Para obtener más información sobre la concesión de permisos de bases de datos, consulte Concesión de permisos en una base de datos o una tabla compartida con su cuenta.

Falta la política de AWS KMS

La llamada a la API CreateFeatureGroup falla debido a la falta de políticas de AWS KMS. Para comprobar este problema, revise las políticas de IAM del rol de ejecución y, a continuación, confirme que tiene las siguientes políticas adjuntas:

kms:GenerateDataKeykms:Decrypt
kms: Encrypt

Si las políticas anteriores no están visibles después de ejecutar el comando de la AWS CLI, adjunte las políticas y vuelva a intentarlo.

Política de bucket de S3

Los errores «AccessDenied» se producen debido a una política de bucket de Amazon S3 que impide el acceso al bucket. Revise la política de buckets de S3 y, a continuación, compruebe si el rol de ejecución utilizado para crear el grupo de características tiene acceso al bucket.

Información relacionada

Concesión de permisos de enlace de recursos

Temas: Analytics Machine Learning & AI Storage
Etiquetas: AWS Lake Formation Amazon SageMaker
Idioma: Español

OFICIAL DE AWSActualizada hace 2 años

Sin comentarios

Contenido relevante

tengo un grupo asg con dos instancias c6i.xlarge y capacidad máxima 10 , me gustaría saber si estoy preparado para 20 k de usuarios concurrentes
GabGab
preguntada hace 3 días
Problema con la edicion de una instancia EC2 en la region Mexico Central
Alberto
preguntada hace 5 meses
Dispositivo MFA para usuario root ya no funciona y el usuario MFA no tiene los permisos suficientes para crear o deshabilitarlo.
Victor
preguntada hace 2 meses
Descargar Film App APK Validación de latencia y permisos de lectura pública en S3
hartist825
preguntada hace 5 meses
¿Porque el grupo destino en una instancia EC2 se desvincula?
LuisRodriguez
preguntada hace 9 meses
¿Cómo puedo solucionar los problemas que se producen al invocar o crear un punto de enlace asincrónico de SageMaker AI?
OFICIAL DE AWSActualizada hace un año
¿Cómo soluciono los problemas al acceder a un proyecto de Amazon SageMaker en SageMaker Studio?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo soluciono los problemas de conectividad con JupyterLab y el editor de código cuando uso SageMaker Studio en modo solo para VPC?
OFICIAL DE AWSActualizada hace un año
¿Cómo soluciono los problemas de tiempo de espera de las instancias de cuaderno de Amazon SageMaker AI al instalar bibliotecas adicionales?
OFICIAL DE AWSActualizada hace 10 meses