Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Verwaltete Richtlinien für Amazon SageMaker
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, von AWS verwaltete Richtlinien zu verwenden, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere von AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken häufige Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu verwalteten AWS-Richtlinien finden Sie unter Verwaltete AWS-Richtlinien im IAM-Leitfaden.
AWS-Services pflegen und Aktualisieren von verwalteten AWS-Richtlinien. Die Berechtigungen in von AWS verwalteten Richtlinien können nicht geändert werden. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art der Aktualisierung betrifft alle Identitäten (Benutzer, Gruppen und Rollen), denen die Richtlinie zugeordnet ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Services entfernen keine Berechtigungen aus einer von AWS verwalteten Richtlinie, so dass Richtlinien-Aktualisierungen Ihre vorhandenen Berechtigungen nicht beeinträchtigen.
Darüber hinaus unterstützt AWS verwaltete Richtlinien für Auftragsfunktionen, die mehrere Services umfassen. Die ReadOnlyAccess
AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Services und -Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS-Richtlinien für Auftragsfunktionen im IAM-Leitfaden.
Wichtig
Wir empfehlen, dass Sie die am stärksten eingeschränkte Richtlinie verwenden, die es Ihnen ermöglicht, Ihren Anwendungsfall auszuführen.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto anfügen können, gelten speziell für Amazon SageMaker:
-
AmazonSageMakerFullAccess
– Gewährt vollen Zugriff auf Amazon- SageMaker und SageMaker Geodatenressourcen und die unterstützten Operationen. Dies bietet keinen uneingeschränkten Zugriff auf Amazon S3, sondern unterstützt Buckets und Objekte mit bestimmtensagemaker
Tags. Diese Richtlinie ermöglicht die Übergabe aller IAM-Rollen an Amazon SageMaker, erlaubt jedoch nur die Übergabe von IAM-Rollen mit „AmazonSageMaker“ an die Services AWS Glue, AWS Step Functionsund AWS RoboMaker . -
AmazonSageMakerReadOnly
– Gewährt schreibgeschützten Zugriff auf Amazon- SageMaker Ressourcen.
Die folgenden AWS verwalteten Richtlinien, können auch Benutzern in Ihrem Konto angefügt werden:
-
AdministratorAccess
– Erlaubt alle Aktionen für alle AWS Dienste und für alle Ressourcen im Konto. -
DataScientist
– Gewährt ein breites Spektrum an Berechtigungen, welche die meisten Anwendungsfälle abdecken (in erster Linie für Analysen und Business Intelligence), die Datenexperten gefunden haben.
Sie können diese Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM Konsole anmelden und nach ihnen suchen.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Amazon SageMaker-Aktionen und -Ressourcen nach Bedarf zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
Themen
- AWS Von verwaltete Richtlinie: AmazonSageMakerFullAccess
- AWS Von verwaltete Richtlinie: AmazonSageMakerReadOnly
- AWS Von verwaltete Richtlinien für Amazon SageMaker Canvas
- AWS Von verwaltete Richtlinien für Amazon SageMaker Cluster
- AWS Von verwaltete Richtlinien für Amazon SageMaker Feature Store
- AWS Von verwaltete Richtlinien für Amazon SageMaker Geospatial
- AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth
- AWS Verwaltete Richtlinien für SageMaker Model Governance
- AWS Verwaltete Richtlinien für Model Registry
- AWS Verwaltete Richtlinien für SageMaker Notebooks
- AWS Verwaltete Richtlinien für SageMaker Pipelines
- AWS Verwaltete Richtlinien für SageMaker Projekte und JumpStart
- SageMaker Aktualisierungen für -AWSverwaltete Richtlinien
AWS Von verwaltete Richtlinie: AmazonSageMakerFullAccess
Diese Richtlinie gewährt Administratorberechtigungen, die einem Prinzipal vollen Zugriff auf alle Amazon- SageMaker und SageMaker Geodatenressourcen und -operationen ermöglichen. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste. Diese Richtlinie ermöglicht die Übergabe aller IAM-Rollen an Amazon SageMaker, erlaubt jedoch nur die Übergabe von IAM-Rollen mit „AmazonSageMaker“ an die Services AWS Glue, AWS Step Functionsund AWS RoboMaker . Diese Richtlinie enthält keine Berechtigungen zum Erstellen einer Amazon- SageMaker Domäne. Informationen zu den Richtlinien, die für die Erstellung einer Domain erforderlich sind, finden Sie unter Erstellen Sie Administratorbenutzer und -Gruppe .
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
application-autoscaling
– Ermöglicht es Prinzipalen, einen SageMaker Echtzeit-Inferenzendpunkt automatisch zu skalieren. -
athena
— Ermöglicht Auftraggebern die Abfrage einer Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten von Amazon Athena. -
aws-marketplace
— Ermöglicht Prinzipalen, AWS AI Marketplace-Abonnements einzusehen. Sie benötigen dies, wenn Sie auf Software zugreifen SageMaker möchten, die in abonniert wurdeAWS Marketplace. -
cloudformation
– Ermöglicht es Prinzipalen, AWS CloudFormation Vorlagen für die Verwendung von SageMaker JumpStart Lösungen und Pipelines abzurufen. SageMaker JumpStart erstellt Ressourcen, die für die Ausführung von end-to-end Machine-Learning-Lösungen erforderlich sind, die SageMaker sich an andere -AWSServices binden. SageMaker Pipelines erstellt neue Projekte, die von Service Catalog unterstützt werden. -
cloudwatch
– Ermöglicht es Prinzipalen, CloudWatch Metriken zu posten, mit Alarmen zu interagieren und Protokolle in CloudWatch Protokolle in Ihrem Konto hochzuladen. -
codebuild
– Ermöglicht es Prinzipalen, AWS CodeBuild Artefakte für SageMaker Pipeline und Projekte zu speichern. -
codecommit
– Wird für die AWS CodeCommit Integration mit SageMaker Notebook-Instances benötigt. -
cognito-idp
– Wird benötigt, damit Amazon SageMaker Ground Truth private Arbeitskräfte und Arbeitsteams definieren kann. -
ec2
– Wird benötigt SageMaker , um Amazon EC2-Ressourcen und Netzwerkschnittstellen zu verwalten, wenn Sie eine Amazon VPC für Ihre SageMaker Aufträge, Modelle, Endpunkte und Notebook-Instances angeben. -
ecr
– Wird benötigt, um Docker-Artefakte für Amazon SageMaker Studio Classic (benutzerdefinierte Bilder), Training, Verarbeitung, Batch-Inferenz und Inferenzendpunkte abzurufen und zu speichern. Dies ist auch erforderlich, um Ihren eigenen Container in zu verwenden SageMaker. Zusätzliche Berechtigungen für - SageMaker JumpStart Lösungen sind erforderlich, um benutzerdefinierte Images im Namen von Benutzern zu erstellen und zu entfernen. -
elastic-inference
– Ermöglicht es Prinzipalen, eine Verbindung zu Amazon Elastic Inference herzustellen, um Notebook SageMaker -Instances und -Endpunkte zu verwenden. -
elasticfilesystem
— Ermöglicht Prinzipalen den Zugriff auf Amazon Elastic File System. Dies ist erforderlich SageMaker , damit Datenquellen in Amazon Elastic File System zum Trainieren von Machine-Learning-Modellen verwenden kann. -
fsx
— Ermöglicht Prinzipalen Zugriff auf Amazon FSx. Dies ist erforderlich SageMaker , damit Datenquellen in Amazon FSx zum Trainieren von Machine-Learning-Modellen verwenden kann. -
glue
– Wird für die Vorverarbeitung der Inferenz-Pipeline innerhalb von SageMaker Notebook-Instances benötigt. -
groundtruthlabeling
— Wird für Ground-Truth-Etikettierungsarbeiten benötigt. Auf dengroundtruthlabeling
Endpunkt wird über die Ground Truth Konsole zugegriffen. -
iam
– Wird benötigt, um der SageMaker Konsole Zugriff auf verfügbare IAM-Rollen zu gewähren und serviceverknüpfte Rollen zu erstellen. -
kms
– Erforderlich, um der SageMaker Konsole Zugriff auf verfügbare AWS KMS Schlüssel zu gewähren und sie für alle angegebenen AWS KMS Aliase in Aufträgen und Endpunkten abzurufen. -
lambda
— Ermöglicht Prinzipalen das Aufrufen und Abrufen einer Liste von AWS Lambda Funktionen. -
logs
– Wird benötigt, damit SageMaker Aufträge und Endpunkte Protokollstreams veröffentlichen können. -
redshift
— Ermöglicht Prinzipalen den Zugriff auf Amazon Redshift-Clusteranmeldedaten. -
redshift-data
— Ermöglicht Prinzipalen, Daten aus Amazon Redshift zu verwenden, um Anweisungen auszuführen, zu beschreiben und abzubrechen, Anweisungsergebnisse abzurufen und Schemas und Tabellen aufzulisten. -
robomaker
– Ermöglicht Prinzipalen vollen Zugriff zum Erstellen, Abrufen von Beschreibungen und Löschen von AWS RoboMaker Simulationsanwendungen und -aufträgen. Dies ist auch erforderlich, um Reinforcement-Learning-Beispiele auf Notebook-Instances auszuführen. -
s3, s3express
– Ermöglicht Prinzipalen vollen Zugriff auf Amazon S3- und Amazon S3-Express-Ressourcen in Bezug auf SageMaker, aber nicht auf alle Amazon S3- oder Amazon S3-Express-Ressourcen. -
sagemaker
– Ermöglicht es Prinzipalen, Tags in SageMaker Benutzerprofilen aufzulisten und Tags zu SageMaker Apps hinzuzufügen. Ermöglicht nur den Zugriff auf SageMaker Flow-Definitionen von Sagemaker: WorkteamType „private-crowd“ oder „vendor-crowd“. -
sagemaker
undsagemaker-geospatial
– Ermöglicht Prinzipalen schreibgeschützten Zugriff auf SageMaker Domains und Benutzerprofile. -
secretsmanager
— Ermöglicht Prinzipalen Vollzugriff auf AWS Secrets Manager. Die Prinzipale können die Anmeldeinformationen für Datenbanken und Services sicher verschlüsseln, speichern und abrufen. Dies ist auch für SageMaker Notebook-Instances mit SageMaker Code-Repositorys erforderlich, die verwenden GitHub. -
servicecatalog
— Ermöglicht Prinzipalen die Verwendung von Service Catalog. Die Principals können bereitgestellte Produkte wie Server, Datenbanken, Websites oder Anwendungen, die mithilfe von AWS Ressourcen bereitgestellt werden, erstellen, eine Liste davon abrufen, aktualisieren oder beenden. Dies ist erforderlich, damit SageMaker JumpStart und Projekte Servicekatalogprodukte finden und lesen und AWS Ressourcen in Benutzern starten können. -
sns
— Ermöglicht es Prinzipalen, eine Liste mit Amazon SNS-Themen anzuzeigen. Dies ist für Endgeräte mit aktivierter asynchroner Inferenz erforderlich, um Benutzer darüber zu informieren, dass ihre Inferenz abgeschlossen ist. -
states
– Wird benötigt, damit - SageMaker JumpStart und -Pipelines einen Servicekatalog zum Erstellen von Schrittfunktionsressourcen verwenden können. -
tag
– Wird benötigt, damit SageMaker Pipelines in Studio Classic gerendert werden können. Studio Classic benötigt Ressourcen, die mit einem bestimmtensagemaker:project-id
Tag-Schlüssel gekennzeichnet sind. Dazu ist dietag:GetResources
Genehmigung erforderlich.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS Von verwaltete Richtlinie: AmazonSageMakerReadOnly
Diese Richtlinie gewährt schreibgeschützten Zugriff auf Amazon SageMaker über die AWS Management Console und das SDK.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
application-autoscaling
– Ermöglicht Benutzern das Durchsuchen von Beschreibungen skalierbarer Echtzeit SageMaker -Inferenzendpunkte. -
aws-marketplace
— Ermöglicht Benutzern das Anzeigen von AWS AI Marketplace-Abonnements. -
cloudwatch
– Ermöglicht Benutzern den Empfang von CloudWatch Alarmen. -
cognito-idp
– Wird benötigt, damit Amazon SageMaker Ground Truth Beschreibungen und Listen privater Arbeitskräfte und Arbeitsteams durchsuchen kann. -
ecr
— Erforderlich zum Abrufen und Speichern von Docker-Artefakten für Schulung und Inferenzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Aktualisierungen für -AWSverwaltete Richtlinien
Anzeigen von Details zu Aktualisierungen für -AWSverwaltete Richtlinien für , SageMaker seit dieser Service mit der Verfolgung dieser Änderungen begonnen hat.
Richtlinie | Version | Änderung | Datum |
---|---|---|---|
AmazonSageMakerFullAccess - Aktualisierung auf eine bestehende Richtlinie |
25 |
Fügen Sie die |
30. November 2023 |
AmazonSageMakerFullAccess – Aktualisierung auf eine vorhandene Richtlinie |
24 |
Fügen Sie |
30. November 2022 |
AmazonSageMakerFullAccess – Aktualisierung auf eine vorhandene Richtlinie |
23 |
Fügen Sie |
29. Juni 2022 |
AmazonSageMakerFullAccess – Aktualisierung auf eine vorhandene Richtlinie |
22 |
Fügen Sie |
01.Mai 2022 |
AmazonSageMakerReadOnly - Aktualisierung auf eine bestehende Richtlinie |
11 |
Fügen Sie |
1. Dezember 2021 |
AmazonSageMakerFullAccess – Aktualisierung auf eine vorhandene Richtlinie |
21 |
Fügen Sie |
8. September 2021 |
AmazonSageMakerFullAccess – Aktualisierung auf eine vorhandene Richtlinie |
20 |
Ressourcen und |
15. Juli 2021 |
AmazonSageMakerReadOnly – Aktualisierung auf eine vorhandene Richtlinie |
10 |
Neue API für SageMaker Feature Store |
10. Juni 2021 |
SageMaker hat mit der Verfolgung von Änderungen für seine AWS -verwalteten Richtlinien begonnen. |
1. Juni 2021 |