Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Verwaltete Richtlinien für Amazon SageMaker
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter AWS Verwaltete Richtlinien im IAM-Benutzerhandbuch.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art der Aktualisierung betrifft alle Identitäten (Benutzer, Gruppen und Rollen), denen die Richtlinie zugeordnet ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.
Wichtig
Wir empfehlen, dass Sie die am stärksten eingeschränkte Richtlinie verwenden, die es Ihnen ermöglicht, Ihren Anwendungsfall auszuführen.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, gelten nur für Amazon SageMaker:
-
AmazonSageMakerFullAccess— Gewährt vollen Zugriff auf Amazon SageMaker - und SageMaker Geodatenressourcen sowie die unterstützten Operationen. Dies bietet keinen uneingeschränkten Zugriff auf Amazon S3, sondern unterstützt Buckets und Objekte mit bestimmtensagemakerTags. Diese Richtlinie ermöglicht die Weitergabe aller IAM-Rollen an Amazon SageMaker, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit dem Zusatz „AmazonSageMaker“ an die Dienste AWS Glue AWS Step Functions, und AWS RoboMaker . -
AmazonSageMakerReadOnly— Gewährt schreibgeschützten Zugriff auf SageMaker Amazon-Ressourcen.
Die folgenden AWS verwalteten Richtlinien können Benutzern in Ihrem Konto zugewiesen werden, werden jedoch nicht empfohlen:
-
AdministratorAccess– Erlaubt alle Aktionen für alle AWS Dienste und für alle Ressourcen im Konto. -
DataScientist– Gewährt ein breites Spektrum an Berechtigungen, welche die meisten Anwendungsfälle abdecken (in erster Linie für Analysen und Business Intelligence), die Datenexperten gefunden haben.
Sie können diese Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM Konsole anmelden und nach ihnen suchen.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für SageMaker Amazon-Aktionen und -Ressourcen nach Bedarf zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
Themen
- AWS verwaltete Richtlinie: AmazonSageMakerFullAccess
- AWS verwaltete Richtlinie: AmazonSageMakerReadOnly
- AWS verwaltete Richtlinien für Amazon SageMaker Canvas
- AWS verwaltete Richtlinien für Amazon SageMaker Cluster
- AWS verwaltete Richtlinien für Amazon SageMaker Feature Store
- AWS verwaltete Richtlinien für Amazon SageMaker Geospatial
- AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth
- AWS Verwaltete Richtlinien für SageMaker vorbildliche Regierungsführung
- AWS Verwaltete Richtlinien für Model Registry
- AWS Verwaltete Richtlinien für SageMaker Notebooks
- AWS Verwaltete Richtlinien für SageMaker Pipelines
- AWS Verwaltete Richtlinien für SageMaker Projekte und JumpStart
- SageMaker Aktualisierungen der AWS verwalteten Richtlinien
AWS verwaltete Richtlinie: AmazonSageMakerFullAccess
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Amazon SageMaker - und SageMaker Geospatial-Ressourcen und -Operationen ermöglichen. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste. Diese Richtlinie ermöglicht die Weitergabe aller IAM-Rollen an Amazon SageMaker, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit dem Zusatz „AmazonSageMaker“ an die Dienste AWS Glue AWS Step Functions, und AWS RoboMaker . Diese Richtlinie beinhaltet keine Berechtigungen zum Erstellen einer SageMaker Amazon-Domain. Informationen zu den Richtlinien, die für die Erstellung einer Domain erforderlich sind, finden Sie unter SageMaker Voraussetzungen für Amazon.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
application-autoscaling— Ermöglicht Prinzipalen die automatische Skalierung eines SageMaker Echtzeit-Inferenzendpunkts. -
athena— Ermöglicht es Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten abzufragen. Amazon Athena -
aws-marketplace— Ermöglicht Prinzipalen, AWS AI Marketplace-Abonnements einzusehen. Sie benötigen dies, wenn Sie auf abonnierte SageMaker Software zugreifen möchten. AWS Marketplace -
cloudformation— Ermöglicht Prinzipalen das Abrufen von AWS CloudFormation Vorlagen für die Verwendung von SageMaker JumpStart Lösungen und Pipelines. SageMaker JumpStarterstellt Ressourcen, die für die Ausführung von Lösungen für end-to-end maschinelles Lernen erforderlich sind, die mit anderen AWS Diensten SageMaker verknüpft sind. SageMaker Pipelines erstellt neue Projekte, die von Service Catalog unterstützt werden. -
cloudwatch— Ermöglicht es Prinzipalen, CloudWatch Kennzahlen zu veröffentlichen, mit Alarmen zu interagieren und Protokolle in die Logs in Ihrem CloudWatch Konto hochzuladen. -
codebuild— Ermöglicht Prinzipalen das Speichern von AWS CodeBuild Artefakten für SageMaker Pipeline und Projekte. -
codecommit— Wird für die AWS CodeCommit Integration mit SageMaker Notebook-Instanzen benötigt. -
cognito-idp— Wird für Amazon SageMaker Ground Truth benötigt, um private Arbeitskräfte und Arbeitsteams zu definieren. -
ec2— Wird für die SageMaker Verwaltung von Amazon EC2 EC2-Ressourcen und Netzwerkschnittstellen benötigt, wenn Sie eine Amazon VPC für Ihre SageMaker Jobs, Modelle, Endpunkte und Notebook-Instances angeben. -
ecr— Erforderlich, um Docker-Artefakte für Amazon SageMaker Studio Classic (benutzerdefinierte Images), Training, Verarbeitung, Batch-Inferenz und Inferenzendpunkte abzurufen und zu speichern. Dies ist auch erforderlich, um Ihren eigenen Container in zu verwenden. SageMaker Zusätzliche Berechtigungen für SageMaker JumpStart Lösungen sind erforderlich, um benutzerdefinierte Images im Namen von Benutzern zu erstellen und zu entfernen. -
elastic-inference— Ermöglicht Principals, eine Verbindung zu Amazon Elastic Inference herzustellen, um SageMaker Notebook-Instances und Endpoints zu verwenden. -
elasticfilesystem– Ermöglicht Prinzipalen den Zugriff auf Amazon Elastic File System. Dies ist erforderlich SageMaker , um Datenquellen in Amazon Elastic File System zum Trainieren von Modellen für maschinelles Lernen zu verwenden. -
fsx– Ermöglicht Prinzipalen Zugriff auf Amazon FSx. Dies ist erforderlich SageMaker , um Datenquellen in Amazon FSx für das Training von Modellen für maschinelles Lernen zu verwenden. -
glue— Wird für die Vorverarbeitung der Inferenz-Pipeline innerhalb SageMaker von Notebook-Instances benötigt. -
groundtruthlabeling– Wird für Ground-Truth-Etikettierungsarbeiten benötigt. Auf dengroundtruthlabelingEndpunkt wird über die Ground-Truth-Konsole zugegriffen. -
iam— Wird benötigt, um der SageMaker Konsole Zugriff auf verfügbare IAM-Rollen zu gewähren und dienstbezogene Rollen zu erstellen. -
kms— Wird benötigt, um der SageMaker Konsole Zugriff auf verfügbare AWS KMS Schlüssel zu gewähren und diese für alle angegebenen AWS KMS Aliase in Jobs und Endpunkten abzurufen. -
lambda– Ermöglicht Prinzipalen das Aufrufen und Abrufen einer Liste von AWS Lambda Funktionen. -
logs— Wird benötigt, um SageMaker Jobs und Endpunkten die Veröffentlichung von Log-Streams zu ermöglichen. -
redshift– Ermöglicht Prinzipalen den Zugriff auf Amazon Redshift-Clusteranmeldedaten. -
redshift-data– Ermöglicht Prinzipalen, Daten aus Amazon Redshift zu verwenden, um Anweisungen auszuführen, zu beschreiben und abzubrechen, Anweisungsergebnisse abzurufen und Schemas und Tabellen aufzulisten. -
robomaker— Ermöglicht Prinzipalen vollen Zugriff auf das Erstellen, Abrufen von Beschreibungen und Löschen von AWS RoboMaker Simulationsanwendungen und Jobs. Dies ist auch erforderlich, um Reinforcement-Learning-Beispiele auf Notebook-Instances auszuführen. -
s3, s3express— Ermöglicht Principals vollen Zugriff auf Amazon S3- und Amazon S3 Express-Ressourcen SageMaker, die Amazon S3 oder Amazon S3 Express betreffen, aber nicht alle. -
sagemaker— Ermöglicht Prinzipalen, Tags in SageMaker Benutzerprofilen aufzulisten und Tags zu SageMaker Apps und Spaces hinzuzufügen. Erlaubt nur den Zugriff auf SageMaker Flow-Definitionen von Sagemaker: WorkteamType „private-crowd“ oder „vendor-crowd“. -
sagemakerundsagemaker-geospatial— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf Domänen und Benutzerprofile. SageMaker -
secretsmanager– Ermöglicht Prinzipalen Vollzugriff auf AWS Secrets Manager. Die Prinzipale können die Anmeldeinformationen für Datenbanken und Services sicher verschlüsseln, speichern und abrufen. Dies ist auch für SageMaker Notebook-Instanzen mit SageMaker Code-Repositorys erforderlich, die verwenden. GitHub -
servicecatalog– Ermöglicht Prinzipalen die Verwendung von Service Catalog. Die Principals können bereitgestellte Produkte wie Server, Datenbanken, Websites oder Anwendungen, die mithilfe von Ressourcen bereitgestellt werden, erstellen, eine Liste davon abrufen, aktualisieren oder beenden. AWS Dies ist für SageMaker JumpStart Projekte erforderlich, um Servicekatalogprodukte zu finden und zu lesen und AWS Ressourcen in Benutzern zu starten. -
sns– Ermöglicht es Prinzipalen, eine Liste mit Amazon SNS-Themen anzuzeigen. Dies ist für Endgeräte mit aktivierter asynchroner Inferenz erforderlich, um Benutzer darüber zu informieren, dass ihre Inferenz abgeschlossen ist. -
states— Wird benötigt, damit SageMaker JumpStart und Pipelines einen Servicekatalog verwenden können, um Ressourcen für Step-Funktionen zu erstellen. -
tag— Wird für das Rendern von SageMaker Pipelines in Studio Classic benötigt. Studio Classic benötigt Ressourcen, die mit einem bestimmtensagemaker:project-idTag-Schlüssel gekennzeichnet sind. Dazu ist dietag:GetResourcesGenehmigung erforderlich.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS verwaltete Richtlinie: AmazonSageMakerReadOnly
Diese Richtlinie gewährt Amazon SageMaker über das SDK AWS Management Console und den Lesezugriff.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
application-autoscaling— Ermöglicht Benutzern das Durchsuchen von Beschreibungen skalierbarer SageMaker Echtzeit-Inferenzendpunkte. -
aws-marketplace— Ermöglicht Benutzern das Anzeigen von AWS AI Marketplace-Abonnements. -
cloudwatch— Ermöglicht Benutzern den Empfang von CloudWatch Alarmen. -
cognito-idp— Wird für Amazon SageMaker Ground Truth benötigt, um Beschreibungen und Listen von privaten Mitarbeitern und Arbeitsteams zu durchsuchen. -
ecr– Erforderlich zum Abrufen und Speichern von Docker-Artefakten für Training und Inferenzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien, die SageMaker seit Beginn der Nachverfolgung dieser Änderungen durch diesen Service vorgenommen wurden.
| Richtlinie | Version | Änderung | Datum |
|---|---|---|---|
AmazonSageMakerFullZugriff – Aktualisierung auf eine bestehende Richtlinie |
26 |
|
29. März 2024 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
25 |
Fügen Sie |
30. November 2023 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
24 |
Fügen Sie |
30. November 2022 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
23 |
Fügen Sie |
29. Juni 2022 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
22 |
Fügen Sie |
01.Mai 2022 |
AmazonSageMakerReadNur – Aktualisierung auf eine bestehende Richtlinie |
11 |
Fügen Sie |
1. Dezember 2021 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
21 |
Fügen Sie |
8. September 2021 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
20 |
Ressourcen und |
15. Juli 2021 |
AmazonSageMakerReadOnly - Aktualisierung einer bestehenden Richtlinie |
10 |
Neue API für SageMaker Feature Store |
10. Juni 2021 |
|
SageMaker hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. |
1. Juni 2021 |
