为 Amazon SageMaker Studio 账户添加权限

在本教程中，您将学习如何为 Amazon SageMaker Studio 账户配置访问 SageMaker API 和功能所需的权限。

在这一步中，您将：

• 将 AmazonSageMakerFullAccess 和 AWSCloudFormationFullAccess 这两个 AWS IAM 策略关联到您的 Amazon SageMaker Studio 账户，授予账户访问 SageMaker API 和功能的权限。

开始本指南之前，您需要先满足以下条件：

• 拥有 AWS 账户：如果您还没有 AWS 账户，请按照设置环境入门指南操作以获得快速概览。
• Amazon SageMaker Studio 域和用户：如果您还没有 SageMaker Studio 域，请创建一个 SageMaker Studio 域。具体信息，请参阅 Amazon SageMaker 开发人员指南中的登录 Amazon SageMaker 域。

在 SageMaker Studio 域页面中，点击域名称，然后在 Users（用户）下，选择您的 SageMaker Studio 用户名。

在 User Details（用户详情）页面的 Details（详细信息）窗格中的 Execution role（执行角色）下，查看并复制 arn:aws:iam::<您的账号 ID>:role/ 之后的文本。

注意： 

步骤 1：您也可以在 Domains（域）页签中访问 User Details（用户详情）。

还可以执行以下操作：选择 SageMaker Domains（域）-> Users（用户），然后复制这个执行角色。

步骤 2：如果在 IAM Roles（IAM 角色）中找不到该角色，则必须使用步骤 1 中查看到的名称创建角色。

在 SageMaker Studio 域页面的 Users（用户）下，选择您的 SageMaker Studio 用户名。

在此步骤中，为您的 SageMaker Studio 账户添加两个 AWS IAM 策略，允许该账户访问 SageMaker API 和功能。

在 SageMaker 控制台的搜索栏中输入 IAM，然后点击 IAM，打开 AWS IAM 控制台。

在 Identity and Access Management (IAM) 导航窗格中，选择 Access management（访问管理） > Roles（角色）。在 Roles（角色）窗格下的搜索栏中，粘贴在步骤 1 中从 Execution role（执行角色）下复制的文本。在搜索结果的 Role name（角色名称）列，点击对应的角色名称。

在 Summary（摘要）页面的 Permissions（权限）选项卡下的 Permissions policies（权限策略）区域中，点击 Add permissions（添加权限），然后选择 Attach policies（绑定策略）。

在 Attach policy（绑定策略）页面的 Other permissions policies（其他权限策略）下，输入 AmazonSageMakerFullAccess，然后按 Enter。想要允许 SageMaker Studio 账户访问 SageMaker API 和功能，必须为账户添加此策略。在 Policy name（策略名称）下，选择 AmazonSageMakerFullAccess，然后点击 Attach policies（绑定策略）。新添加的策略将显示在角色 Summary（摘要）页面上的Permissions policies（权限策略）列表中。

重复步骤 2，添加 AWSCloudFormationFullAccess 策略。

在这一步中，您将编辑信任策略以允许访问 AWS Lambda。

在 AWS IAM 控制台的角色摘要页面上,选择”信任关系“选项卡,然后选择”编辑信任策略“。

复制并粘贴以下代码到 "编辑信任策略" 编辑器中，如屏幕截图所示位置。确保 JSON 代码的缩进与屏幕截图中完全一致。不要删除编辑器中已有的代码，而是在屏幕截图所示位置插入以下代码。选择 "更新策略"。