AWSPolitiques gérées pour les SageMaker pipelines - Amazon SageMaker
AmazonSageMakerPipelinesIntegrationsSageMaker Mises à jour de la politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSPolitiques gérées pour les SageMaker pipelines

Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker pipelines. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés depuis la SageMaker console.

AWSpolitique gérée : AmazonSageMakerPipelinesIntegrations

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser les étapes de rappel et les étapes Lambda dans les SageMaker pipelines. La politique est ajoutée à AmazonSageMaker-ExecutionRole celle créée lors de l'intégration à Amazon SageMaker Studio Classic. La politique peut être attachée à n'importe quel rôle utilisé pour la création ou l'exécution d'un pipeline.

Cette politique accorde les autorisations AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon et IAM nécessaires pour créer des pipelines qui invoquent des fonctions Lambda ou incluent des étapes de rappel, qui peuvent être utilisées pour des étapes d'approbation manuelle ou pour exécuter des charges de travail personnalisées.

Les autorisations Amazon SQS vous permettent de créer la file d'attente Amazon SQS nécessaire à la réception des messages de rappel et d'envoyer des messages à cette file d'attente.

Les autorisations Lambda vous permettent de créer, de lire, de mettre à jour et de supprimer les fonctions Lambda utilisées dans les étapes du pipeline, ainsi que d'appeler ces fonctions Lambda.

Cette politique accorde les autorisations Amazon EMR nécessaires à l'exécution d'une étape Amazon EMR de pipelines.

Détails des autorisations

Cette politique inclut les autorisations suivantes.

  • elasticmapreduce – Lire, ajouter et annuler des étapes dans un cluster Amazon EMR en cours d'exécution. Lisez, créez et résiliez un nouveau cluster Amazon EMR.

  • events— Lisez, créez, mettez à jour et ajoutez des cibles à une EventBridge règle nommée SageMakerPipelineExecutionEMRStepStatusUpdateRule etSageMakerPipelineExecutionEMRClusterStatusUpdateRule.

  • iam : transférez un rôle IAM au service AWS Lambda, à Amazon EMR et à Amazon EC2.

  • lambda – Créer, lire, mettre à jour, supprimer et appeler des fonctions Lambda. Ces autorisations sont limitées aux fonctions dont le nom inclut « sagemaker ».

  • sqs – Créer une file d'attente Amazon SQS ; envoyer un message Amazon SQS. Ces autorisations sont limitées aux files d'attente dont le nom inclut « sagemaker ».

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction",
                "lambda:InvokeFunction",
                "lambda:UpdateFunctionCode"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*sageMaker*",
                "arn:aws:lambda:*:*:function:*SageMaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:SendMessage"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:*sagemaker*",
                "arn:aws:sqs:*:*:*sageMaker*",
                "arn:aws:sqs:*:*:*SageMaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "lambda.amazonaws.com",
                        "elasticmapreduce.amazonaws.com",
                        "ec2.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
                "arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:AddJobFlowSteps",
                "elasticmapreduce:CancelSteps",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:RunJobFlow",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:TerminateJobFlows",
                "elasticmapreduce:ListSteps"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:*:*:cluster/*"
            ]
        }
    ]
}

Amazon SageMaker met à jour ses politiques gérées par SageMaker Pipelines

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker depuis que ce service a commencé à suivre ces modifications.

Politique Version Modification Date

AmazonSageMakerPipelinesIntegrations : mise à jour d'une stratégie existante

3

Autorisations ajoutées pour elasticmapreduce:RunJobFlows, elasticmapreduce:TerminateJobFlows, elasticmapreduce:ListSteps et elasticmapreduce:DescribeCluster.

17 février 2023

AmazonSageMakerPipelinesIntegrations : mise à jour d'une stratégie existante

2

Autorisations ajoutées pour lambda:GetFunction, events:DescribeRule, events:PutRule, events:PutTargets, elasticmapreduce:AddJobFlowSteps, elasticmapreduce:CancelSteps et elasticmapreduce:DescribeStep.

 20 avril 2022

AmazonSageMakerPipelinesIntegrations - Nouvelle politique

1

Politique initiale

 30 juillet 2021