AWSPolíticas administradas de para SageMaker proyectos y JumpStart - Amazon SageMaker

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSPolíticas administradas de para SageMaker proyectos y JumpStart

EstosAWSpolíticas gestionadas añaden permisos para utilizar Amazon integrado SageMaker Plantillas de proyecto y JumpStart soluciones. Las políticas de están disponibles en suAWSy se utilizan en funciones de ejecución creadas a partir del SageMaker consola de .

Proyectos de SageMaker y JumpStart usarAWSService Catalog para aprovisionarAWSrecursos en las cuentas de los clientes. Algunos recursos creados deben asumir un rol de ejecución. Por ejemplo, siAWSService Catalog crea un CodePipeline canalización en nombre de un cliente para un SageMaker proyecto de CI/CD de aprendizaje automático y, a continuación, esa canalización requiere un rol de IAM.

LaFunción de lanzamiento de productos de Amazon Sage Maker Service Catalogtiene los permisos necesarios para lanzar el SageMaker cartera de productos deAWSService Catalog. LaFunción de usuario de Amazon Sage Maker Service Catalog Productostiene los permisos necesarios para utilizar el SageMaker cartera de productos deAWSService Catalog. LaAmazonSageMakerServiceCatalogProductsLaunchRoleLa función pasa unAmazonSageMakerServiceCatalogProductsUseRolerol para el aprovisionadoAWSRecursos de productos de Service Catalog.

AWSpolítica administrada: AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy Policy

Esta política de roles de servicio la utiliza elAWS Service Catalogservicio para aprovisionar productos de Amazon SageMaker cartera de. La política de concede permisos a un conjunto deAWSservicios, incluidosAWS CodePipeline,AWS CodeBuild,AWS CodeCommit,AWSGlue, Amazon CloudFront y otros.

LaAmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicyestá destinada a ser utilizada por elAmazonSageMakerServiceCatalogProductsLaunchRolefunción creada a partir del SageMaker consola de . La política añade permisos al aprovisionamientoAWSrecursos para SageMaker proyectos y JumpStart conAWS Service Cataloga la cuenta de un cliente.

Detalles sobre los permisos

Esta política incluye los siguientes permisos.

  • apigateway— Permite que el rol llame a los endpoints de API Gateway etiquetados consagemaker:launch-source.

  • cloudformation— PermiteAWS Service Catalogpara crear, actualizar y eliminar CloudFormation pilas.

  • codebuild— Permite el papel asumido porAWS Service Catalogy ha pasado a CloudFormation para crear, actualizar y eliminar CodeBuild Proyectos.

  • codecommit— Permite el papel asumido porAWS Service Catalogy ha pasado a CloudFormation para crear, actualizar y eliminar CodeCommit repositorios.

  • codepipeline— Permite el papel asumido porAWS Service Catalogy ha pasado a CloudFormation para crear, actualizar y eliminar CodePipelines.

  • codestar-connections— Permite que el rol pase AWS CodeStar conexiones.

  • cognito-idp: permite al rol crear, crear y eliminar grupos y grupos de usuarios. También permite etiquetar recursos.

  • ecr— Permite el papel asumido porAWS Service Catalogy ha pasado a CloudFormation para crear y eliminar repositorios de Amazon ECR. También permite etiquetar recursos.

  • events— Permite el papel asumido porAWS Service Catalogy ha pasado a CloudFormation para crear y eliminar EventBridge reglas. Se utiliza para unir los diversos componentes de la tubería CICD.

  • firehose: permite que el rol interactúe con los flujos de Kinesis Data Firehose.

  • glue— Permite que el rol interactúe conAWS Glue.

  • iam— Permite que el rol pase roles prependidos conAmazonSageMakerServiceCatalog. Esto es necesario cuando Projects aprovisione unAWS Service Catalogproducto, ya que hay que pasar una función aAWS Service Catalog.

  • lambda— Permite que el rol interactúe conAWS Lambda.

  • logs: permite que el rol cree, elimine y acceda a flujos de registro.

  • s3— Permite el papel asumido porAWS Service Catalogy ha pasado a CloudFormation para acceder a los depósitos de Amazon S3 donde se almacena el código de plantilla de Project.

  • sagemaker— Permite que el rol interactúe con varios SageMaker Servicios de . Esto se realiza tanto en CloudFormation durante el aprovisionamiento de plantillas, así como en CodeBuild durante la ejecución de la canalización de CICD.

  • states— Permite al rol crear, eliminar y actualizar Step Functions que se incluyensagemaker.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "apigateway:GET", "apigateway:POST", "apigateway:PUT", "apigateway:PATCH", "apigateway:DELETE" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/sagemaker:launch-source": "*" } } }, { "Effect": "Allow", "Action": [ "apigateway:POST" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "sagemaker:launch-source" ] } } }, { "Effect": "Allow", "Action": [ "apigateway:PATCH" ], "Resource": [ "arn:aws:apigateway:*::/account" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*", "Condition": { "ArnLikeIfExists": { "cloudformation:RoleArn": [ "arn:aws:sts::*:assumed-role/AmazonSageMakerServiceCatalog*" ] } } }, { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Effect": "Allow", "Action": [ "cloudformation:GetTemplateSummary", "cloudformation:ValidateTemplate" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "codebuild:CreateProject", "codebuild:DeleteProject", "codebuild:UpdateProject" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "codecommit:CreateCommit", "codecommit:CreateRepository", "codecommit:DeleteRepository", "codecommit:GetRepository", "codecommit:TagResource" ], "Resource": [ "arn:aws:codecommit:*:*:sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "codecommit:ListRepositories" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "codepipeline:CreatePipeline", "codepipeline:DeletePipeline", "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:StartPipelineExecution", "codepipeline:TagResource", "codepipeline:UpdatePipeline" ], "Resource": [ "arn:aws:codepipeline:*:*:sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "cognito-idp:CreateUserPool", "cognito-idp:TagResource" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "sagemaker:launch-source" ] } } }, { "Effect": "Allow", "Action": [ "cognito-idp:CreateGroup", "cognito-idp:CreateUserPoolDomain", "cognito-idp:CreateUserPoolClient", "cognito-idp:DeleteGroup", "cognito-idp:DeleteUserPool", "cognito-idp:DeleteUserPoolClient", "cognito-idp:DeleteUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/sagemaker:launch-source": "*" } } }, { "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:DeleteRepository", "ecr:TagResource" ], "Resource": [ "arn:aws:ecr:*:*:repository/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DeleteRule", "events:DisableRule", "events:EnableRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "firehose:CreateDeliveryStream", "firehose:DeleteDeliveryStream", "firehose:DescribeDeliveryStream", "firehose:StartDeliveryStreamEncryption", "firehose:StopDeliveryStreamEncryption", "firehose:UpdateDestination" ], "Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*" }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker-*", "arn:aws:glue:*:*:table/sagemaker-*", "arn:aws:glue:*:*:userDefinedFunction/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateClassifier", "glue:DeleteClassifier", "glue:DeleteCrawler", "glue:DeleteJob", "glue:DeleteTrigger", "glue:DeleteWorkflow", "glue:StopCrawler" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateWorkflow" ], "Resource": [ "arn:aws:glue:*:*:workflow/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateJob" ], "Resource": [ "arn:aws:glue:*:*:job/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateCrawler", "glue:GetCrawler" ], "Resource": [ "arn:aws:glue:*:*:crawler/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateTrigger", "glue:GetTrigger" ], "Resource": [ "arn:aws:glue:*:*:trigger/sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalog*" ] }, { "Effect": "Allow", "Action": [ "lambda:AddPermission", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction", "lambda:GetFunctionConfiguration", "lambda:InvokeFunction", "lambda:RemovePermission" ], "Resource": [ "arn:aws:lambda:*:*:function:sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogGroup", "logs:DeleteLogStream", "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/apigateway/AccessLogs/*", "arn:aws:logs:*:*:log-group::log-stream:*" ] }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::sagemaker-*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:DeleteBucketPolicy", "s3:GetBucketPolicy", "s3:PutBucketAcl", "s3:PutBucketNotification", "s3:PutBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutBucketLogging", "s3:PutEncryptionConfiguration", "s3:PutBucketTagging", "s3:PutObjectTagging", "s3:PutBucketCORS" ], "Resource": "arn:aws:s3:::sagemaker-*" }, { "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateWorkteam", "sagemaker:DeleteEndpoint", "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:DeleteWorkteam", "sagemaker:DescribeModel", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeEndpoint", "sagemaker:DescribeWorkteam", "sagemaker:CreateCodeRepository", "sagemaker:DescribeCodeRepository", "sagemaker:UpdateCodeRepository", "sagemaker:DeleteCodeRepository" ], "Resource": [ "arn:aws:sagemaker:*:*:*" ] }, { "Effect": "Allow", "Action": [ "sagemaker:CreateImage", "sagemaker:DeleteImage", "sagemaker:DescribeImage", "sagemaker:UpdateImage", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:image/*" ] }, { "Effect": "Allow", "Action": [ "states:CreateStateMachine", "states:DeleteStateMachine", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:stateMachine:sagemaker-*" ] }, { "Effect": "Allow", "Action": "codestar-connections:PassConnection", "Resource": "arn:aws:codestar-connections:*:*:connection/*", "Condition": { "StringEquals": { "codestar-connections:PassedToService": "codepipeline.amazonaws.com" } } } ] }

Amazon SageMaker actualizaciones deAWSService CatalogAWSpolíticas administradas

Muestra los detalles de las actualizaciones deAWSpolíticas administradas de para Amazon SageMaker desde que este servicio comenzó a realizar un seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en SageMaker Página Historial de revisión.

Política Versión Cambio Fecha

AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy Policy

5

Agregar permiso nuevo paraecr-idp:TagResource.

21 de marzo de 2022
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy Policy 4

Agregar nuevos permisos paracognito-idp:TagResourceys3:PutBucketCORS.

16 de febrero de 2022
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy Policy 3

Agregar nuevos permisos parasagemaker.

Crear, leer, actualizar y eliminar SageMaker Imágenes.

15 de septiembre de 2021
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy Policy 2

Agregar nuevos permisos parasagemakerycodestar-connections.

Cree, lea, actualice y elimine repositorios de código.

Pass AWS CodeStar conexiones aAWS CodePipeline.

1 de julio de 2021
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy Policy 1

política inicial

27 de noviembre de 2020