Come posso risolvere gli errori durante l'importazione dei dati nel mio Amazon SageMaker Studio utilizzando SageMaker Data Wrangler?

Ultimo aggiornamento: 25/10/2022

Ricevo errori quando tento di importare dati da Amazon Simple Storage Service (Amazon S3) o Amazon Athena utilizzando Amazon SageMaker Data Wrangler.

Risoluzione

Errore di autorizzazione del ciclo di vita

Quando provi a importare dati da Amazon Athena in Data Wrangler, potresti ricevere il seguente errore:

S3LifecyclePermissionError: You don't have permission to read expiration rules from the bucket that you specified.

Questo errore si verifica perché il ruolo di esecuzione di SageMaker associato al profilo utente non dispone delle autorizzazioni necessarie per accedere alle configurazioni del ciclo di vita di Amazon S3 per la gestione della conservazione e della scadenza dei dati.

Per risolvere questo errore, aggiungi la seguente policy di AWS Identity and Access Management (IAM) al ruolo di esecuzione di SageMaker (ad esempio: AmazonSageMaker-ExecutionRole-xxxxxxxxxxxxxxx):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "LifecycleConfig",
      "Effect": "Allow",
      "Action": [
        "s3:GetLifecycleConfiguration",
        "s3:PutLifecycleConfiguration"
      ],
      "Resource": "*"
    }
  ]
}

Per Resource (Risorsa), puoi includere solo i bucket specifici della regione a cui è necessario accedere. GetBucketLifecycleConfiguration restituisce le informazioni di configurazione del ciclo di vita impostate nel bucket, mentre PutBucketLifecycleConfiguration crea una nuova configurazione del ciclo di vita per il bucket.

Errore di accesso negato

È possibile che venga visualizzato il seguente errore quando esegui un processo di elaborazione con impostazioni di output non crittografate.

com.amazonaws.services.s3.model.AmazonS3Exception: Access Denied

Potresti ricevere questo errore per i seguenti motivi:

  • Il ruolo di esecuzione di SageMaker non dispone delle autorizzazioni necessarie per eseguire operazioni S3.
  • La policy del bucket S3 o la policy degli endpoint di Amazon Virtual Private Cloud (Amazon VPC) hanno negato esplicitamente le autorizzazioni per PutObject. Questo può accadere se applichi solo connessioni crittografate al bucket S3 fornendo una chiave specifica del Servizio di gestione delle chiavi AWS (AWS KMS).

Per risolvere l'errore, effettua le seguenti operazioni:

  • Verifica se il ruolo di esecuzione di SageMaker dispone di autorizzazioni minime per le operazioni del bucket S3:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket",
        "s3:CreateBucket",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::sagemaker-us-east-1-1111222233334444",
        "arn:aws:s3:::sagemaker-us-east-1-1111222233334444/*"
      ]
    }
  ]
}
  • Assicurati che la policy del bucket S3 o la policy degli endpoint VPC non neghino esplicitamente le autorizzazioni richieste per le operazioni S3.
  • Valuta la possibilità di passare la chiave AWS KMS al processo di elaborazione che consente di decrittografare gli oggetti nel bucket S3 da cui vengono importati i dati.
  • Valuta l'utilizzo di un bucket S3 diverso per importare i dati che sono crittografati a riposo utilizzando la crittografia lato server di Amazon S3.

Questo articolo è stato utile?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?