typescript - 部署跨账户 Sagemaker 端点时出错-6ren

typescript - 部署跨账户 Sagemaker 端点时出错

转载作者：行者123 更新时间：2023-12-03 07:22:33

25

4

我正在使用 cdk 在跨账户上下文中部署 Sagemaker 端点。

创建 Sagemaker 端点时出现以下错误:无法从 URL“s3://.../model.tar.gz”下载容器“container_1”的模型数据。请确保该 URL 处存在一个对象，并且传递给 CreateModel 的角色具有下载该对象的权限。

这里有一些有用的细节。

我有两个帐户:

账户 A:包括保存模型工件的加密 s3 存储桶、具有最新批准版本的 Sagemaker 模型包组以及在账户 A 本身和账户 B 中部署端点的 CodePipeline。
账户 B:包括账户 A 中 CodePipeline 部署的端点。

在帐户A中:

为存储桶和用于加密该存储桶的 kms key 设置跨账户权限

// Create bucket and kms key to be used by Sagemaker Pipeline

        //KMS
        const sagemakerKmsKey = new Key(
            this,
            "SagemakerBucketKMSKey",
            {
                description: "key used for encryption of data in Amazon S3",
                enableKeyRotation: true,
                policy: new PolicyDocument(
                    {
                        statements:[
                            new PolicyStatement(
                                {
                                    actions:["kms:*"],
                                    effect: Effect.ALLOW,
                                    resources:["*"],
                                    principals: [new AccountRootPrincipal()]
                                }
                            ),
                            new PolicyStatement(
                                {
                                    actions:[
                                        "kms:*"
                                    ],
                                    effect: Effect.ALLOW,
                                    resources:["*"],
                                    principals: [
                                        new ArnPrincipal(`arn:${Aws.PARTITION}:iam::${AccountA}:root`),
                                        new ArnPrincipal(`arn:${Aws.PARTITION}:iam::${AccountB}:root`),
                                    ]
                                }
                            )
                        ]
                    }
                )
            }
        )

        // S3 Bucket
        const sagemakerArtifactBucket = new Bucket(
            this,
            "SagemakerArtifactBucket",
            {
                bucketName:`mlops-${projectName}-${Aws.REGION}`,
                encryptionKey:sagemakerKmsKey,
                versioned:false,
                removalPolicy: RemovalPolicy.DESTROY
            }
        )
        
        sagemakerArtifactBucket.addToResourcePolicy(
            new PolicyStatement(
                {
                    actions: [
                        "s3:*",
                    ],
                    resources: [
                        sagemakerArtifactBucket.bucketArn,
                        `${sagemakerArtifactBucket.bucketArn}/*`
                    ],
                    principals: [
                        new ArnPrincipal(`arn:${Aws.PARTITION}:iam::${AccountA}:root`),
                        new ArnPrincipal(`arn:${Aws.PARTITION}:iam::${AccountB}:root`),
                    ]
                }
            )
        )

CodeDeploy 操作用于在 AccountA 和 AccountB 中部署 Sagemaker 端点。

// Define Code Build Deploy Staging Action
        const deployStagingAction = new CloudFormationCreateUpdateStackAction(
            {
                actionName: "DeployStagingAction",
                runOrder: 1,
                adminPermissions: false,
                stackName: `${projectName}EndpointStaging`,
                templatePath: cdKSynthArtifact.atPath("staging.template.json"),
                replaceOnFailure: true,
                role: Role.fromRoleArn(
                    this,
                    "StagingActionRole",
                    `arn:${Aws.PARTITION}:iam::${AccountB}:role/cdk-hnb659fds-deploy-role-${AccountB}-${Aws.REGION}`,
                ),
                deploymentRole: Role.fromRoleArn(
                    this,
                    "StagingDeploymentRole",
                    `arn:${Aws.PARTITION}:iam::${AccountB}:role/cdk-hnb659fds-cfn-exec-role-${AccountB}-${Aws.REGION}`
                ),
                cfnCapabilities: [
                    CfnCapabilities.AUTO_EXPAND,
                    CfnCapabilities.NAMED_IAM
                ]
            }
        )

具体来说，创建 Sagemaker 模型和 Sagemaker 端点的角色应该是 cdk-hnb659fds-cfn-exec-role，如 CloudTrail 上所示，但出于测试目的，我已向它们授予管理员权限(错误仍然存在)出现)。

AccountA中的部署执行正确，说明Bucket位置正确。

注意:一切都已正确部署到 Sagemaker 端点。

最佳答案

我设法找到了问题。

问题是，即使存储桶是使用自定义 KMSKey 创建的，存储到存储桶中的工件也是由 Estimator 生成的。。如果您不指定 output_kms_key 参数，它将使用托管 kms key ，该 key 与用于 s3 存储桶的 key 不同。

尽管该问题与跨帐户权限无关，但我会将其保留在这里，以防有人遇到类似问题。

关于typescript - 部署跨账户 Sagemaker 端点时出错，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/73027227/

25

4

0

文章推荐： amazon-web-services - Fn::ImportValue 不喜欢 Fn::Sub 的简短表示法

文章推荐： aws-cloudformation - CDK 中留空时设置 CfnParameter 的默认值

javascript - npm test 出错，但 mocha test node.js 出错
我正在使用 node.js 和 mocha 单元测试，并且希望能够通过 npm 运行测试命令。当我在测试文件夹中运行 Mocha 测试时，测试运行成功。但是，当我运行 npm test 时，测试给出了
java - java方法replaceAll()出错
我的文本区域中有这些标签 ..... 我正在尝试使用 replaceAll() String 方法替换它们 text.replaceAll("", ""); text.replaceAll("", "
java - ZXing 出错
早上好，我是 ZXing 的新手，当我运行我的应用程序时出现以下错误: 异常Ljava/lang/NoClassDefFoundError；初始化 ICOM/google/zxing/client/a
C - free() 出错？
我正在制作一些哈希函数。它的源代码是... #include #include #include int m_hash(char *input, size_t in_length, char
swift - SKPhysicsContactDelegate 出错？
我正在尝试使用 Spritekit 在 Swift 中编写游戏。目的是带着他的角色迎面而来的矩形逃跑。现在我在 SKPhysicsContactDelegate (didBegin ()) 方法中犯了
java - actionPerformed 出错？
我正在尝试创建一个用于导入 CSV 文件的按钮，但出现此错误: actionPerformed(java.awt.event.ActionEvent) in cannot implement
java - NULLIF() 出错？
请看下面的代码 public List getNames() { List names = new ArrayList(); try { createConnection(); Sta
创建计划事件时 MySQL 出错
我正在尝试添加一个事件以在“dealsArchive”表中创建一个条目，然后从“deals”表中删除该条目。它需要在特定时间执行。这是我正在尝试使用的: DELIMITER $$ CREATE EV
尝试将存储过程结果插入表时 PHPmyadmin 出错
我试图将两个存储过程的表结果存储到 phpmyadmin 例程窗口中的单个表中，这给了我 mariadb 语法错误。单独调用存储过程给出了结果。存储过程代码 BEGIN CREATE TABLE t
android - videoview的onpreparedlistener()出错
我想在 videoview 中加载视频之前有一个进度条。但是我收到以下错误。我还添加了所有必要的导入。我在 ANDROID 中使用 AIDE 这是我的代码 public class MainActi
android - AsyncTask 出错
我已经使用了 AsyncTask，但我不明白为什么在我的设备 (OS 4.0) 上测试时仍然出现错误。我的 apk 构建于 2.3.3 中。我想我把代码弄错了，但我不知道我的错误在哪里。任何人都请帮助
MySQL注入(inject)出错
我在测试 friend 网站的安全性时，通过在 URL 末尾添加 ' 发现了 SQL 注入(inject)漏洞该网站是用zend框架构建的我遇到的问题是 MySQL -- 中的注释语法不起作用，因此页
java - getMap() 出错？
我正在尝试使用堆栈溢出答案之一的交互式信息窗口。链接如下: interactive infowindow 但是我在代码中使用 getMap() 时遇到错误。虽然我尝试使用 getMapAsync 但
java - addMouseListener 出错
当我编译以下代码时出现错误: The method addMouseListener(Player) is undefined for the type Player 代码: import java.
mysql - Async_Http_Response_Handler 出错
我是 Android 开发的初学者。我正在开发一个接收 MySql 数据然后将其保存在 SQLite 中的应用程序。我将 Json 用于同步状态，以便我可以将未同步数据的数量显示为要同步的待处理数据
Java - 转换文件名 - 出错？
(这里是Hello world级别的自动化测试人员) 我正在尝试下载一个文件并将其重命名以便于查找。我收到一个错误....这是代码 @Test public void allDownload(
c++ - while(cin) 出错
我只是在写另一个程序。并使用: while (cin) words.push_back(s); words是string的vector，s是string。我的 RAM 使用量在 4 或 5
javascript - AngularJS 出错
我是 AngularJS 的新手，我遇到了一个问题。我有一个带有提交按钮的页面，当我单击提交模式时必须打开并且来自 URL 的数据必须存在于模式中。现在，模式打开但它是空的并且没有从 URL 获取数据
c++ - 尝试将文件写入数组时运算符 << 出错
我正在尝试读取一个文件(它可以包含任意数量的随机数字，但不会超过 500 个)并将其放入一个数组中。稍后我将需要使用数组来做很多事情。但到目前为止，这一小段代码给了我 no match for o
c++ - benderrmq 出错
有些人在使用 make 命令进行编译时遇到了问题，所以我想我应该在这里尝试一下，我已经在以下操作系统的 ubuntu 32 位和挤压 64 位上尝试过我克隆了 git 项目 https://gith

首页

博学

6Ren·AI

商城

typescript - 部署跨账户 Sagemaker 端点时出错