Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon SageMaker Canvas
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Amazon SageMaker Canvas. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari SageMaker konsol.
Topik
- AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvas AI ServicesAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
- SageMaker Pembaruan Amazon ke kebijakan terkelola Amazon SageMaker Canvas
AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke Amazon SageMaker Canvas melalui AWS Management Console dan SDK. Kebijakan ini juga menyediakan akses pilih ke layanan terkait [misalnya, Amazon Simple Storage Service (Amazon S3), (IAM), Amazon Virtual Private Cloud (Amazon VPC) AWS Identity and Access Management , Amazon Elastic Container Registry (Amazon ECR), Amazon Elastic Container Registry (Amazon ECR), Amazon CloudWatch Logs, Amazon Redshift, Amazon Autopilot, Registry Model, dan Amazon AWS Secrets Manager Forecast]. SageMaker SageMaker
Kebijakan ini dimaksudkan untuk membantu pelanggan bereksperimen dan memulai dengan semua kemampuan SageMaker Canvas. Untuk kontrol yang lebih halus, kami menyarankan pelanggan membuat versi cakupan mereka sendiri saat mereka beralih ke beban kerja produksi. Untuk informasi selengkapnya, lihat Jenis kebijakan IAM: Bagaimana dan kapan menggunakannya.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
sagemaker— Memungkinkan prinsipal untuk membuat dan meng-host SageMaker model pada sumber daya yang ARN-nya berisi “Kanvas”, “kanvas”, atau “model-kompilasi-”. Selain itu, pengguna dapat mendaftarkan model SageMaker Canvas mereka ke SageMaker Model Registry di AWS akun yang sama. Juga memungkinkan kepala sekolah untuk membuat dan mengelola SageMaker pelatihan, transformasi, dan pekerjaan AutoML. -
application-autoscaling— Memungkinkan prinsipal untuk secara otomatis menskalakan titik akhir inferensi. SageMaker -
athena— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena, dan mengakses tabel dalam katalog. -
cloudwatch— Memungkinkan kepala sekolah untuk membuat dan mengelola alarm Amazon. CloudWatch -
ec2— Memungkinkan prinsipal untuk membuat titik akhir Amazon VPC. -
ecr— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang gambar kontainer. -
emr-serverless— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas. -
forecast— Memungkinkan kepala sekolah untuk menggunakan Amazon Forecast. -
glue— Memungkinkan prinsipal untuk mengambil tabel, database, dan partisi dalam katalog. AWS Glue -
iam— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon, Amazon SageMaker Forecast, dan Amazon EMR Tanpa Server. Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan. -
kms— Memungkinkan kepala sekolah untuk membaca AWS KMS kunci yang ditandai dengan.Source:SageMakerCanvas -
logs— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir. -
quicksight— Memungkinkan kepala sekolah untuk membuat daftar ruang nama di akun Amazon. QuickSight -
rds— Memungkinkan kepala sekolah mengembalikan informasi tentang instans Amazon RDS yang disediakan. -
redshift— Memungkinkan prinsipal untuk mendapatkan kredensi untuk dbuser “sagemaker_access*” di klaster Amazon Redshift mana pun jika pengguna itu ada. -
redshift-data— Memungkinkan prinsipal menjalankan kueri di Amazon Redshift menggunakan Amazon Redshift Data API. Ini hanya menyediakan akses ke Redshift Data API itu sendiri dan tidak secara langsung menyediakan akses ke cluster Amazon Redshift Anda. Untuk informasi selengkapnya, lihat Menggunakan Amazon Redshift Data API. -
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”. Juga memungkinkan prinsipal untuk mengambil objek dari ember Amazon S3 yang ARN-nya dimulai dengan "-” di wilayah tertentu. jumpstart-cache-prod -
secretsmanager— Memungkinkan kepala sekolah untuk menyimpan kredensyal pelanggan untuk terhubung ke database Snowflake menggunakan Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke fungsionalitas persiapan data Amazon SageMaker Canvas. Kebijakan ini juga memberikan izin hak istimewa paling sedikit untuk layanan yang terintegrasi dengan fungsionalitas persiapan data [misalnya, Amazon Simple Storage Service (Amazon S3) Service, (IAM), Amazon EMR, Amazon, Amazon Redshift, AWS Identity and Access Management () dan]. EventBridge AWS Key Management Service AWS KMS AWS Secrets Manager
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
sagemaker— Memungkinkan kepala sekolah untuk mengakses pekerjaan pemrosesan, pekerjaan pelatihan, saluran inferensi, pekerjaan AutoML, dan grup fitur. -
athena— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena. -
elasticmapreduce— Memungkinkan kepala sekolah untuk membaca dan membuat daftar cluster EMR Amazon. -
events— Memungkinkan kepala sekolah untuk membuat, membaca, memperbarui, dan menambahkan target ke EventBridge aturan Amazon untuk pekerjaan terjadwal. -
glue— Memungkinkan kepala sekolah untuk mendapatkan dan mencari tabel dari database dalam katalog. AWS Glue -
iam— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon dan. SageMaker EventBridge -
kms— Memungkinkan prinsipal untuk mengambil AWS KMS alias yang disimpan dalam pekerjaan dan titik akhir, dan mengakses kunci KMS terkait. -
logs— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir. -
redshift— Memungkinkan kepala sekolah untuk mendapatkan kredensyal untuk mengakses database Amazon Redshift. -
redshift-data— Memungkinkan prinsipal untuk menjalankan, membatalkan, mendeskripsikan, membuat daftar, dan mendapatkan hasil kueri Amazon Redshift. Juga memungkinkan kepala sekolah untuk membuat daftar skema dan tabel Amazon Redshift. -
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”; atau ditandai dengan "“, case-insensitive. SageMaker -
secretsmanager— Memungkinkan kepala sekolah untuk menyimpan dan mengambil kredensyal basis data pelanggan menggunakan Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
Kebijakan ini memberikan izin yang diperlukan Amazon SageMaker Canvas untuk membuat dan mengelola titik akhir Amazon SageMaker.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
sagemaker— Memungkinkan prinsipal untuk membuat dan mengelola titik SageMaker akhir dengan nama sumber daya ARN yang dimulai dengan “Kanvas” atau “kanvas”. -
cloudwatch— Memungkinkan kepala sekolah untuk mengambil data metrik Amazon. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvas AI ServicesAccess
Kebijakan ini memberikan izin kepada Amazon SageMaker Canvas untuk menggunakan Amazon Ttract, Amazon Rekognition, Amazon Comprehend, dan Amazon Bedrock.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
textract— Memungkinkan kepala sekolah menggunakan Amazon Ttract untuk mendeteksi dokumen, pengeluaran, dan identitas dalam sebuah gambar. -
rekognition— Memungkinkan kepala sekolah menggunakan Amazon Rekognition untuk mendeteksi label dan teks dalam gambar. -
comprehend— Memungkinkan kepala sekolah menggunakan Amazon Comprehend untuk mendeteksi sentimen dan bahasa dominan, dan entitas informasi yang dapat diidentifikasi dan diidentifikasi secara pribadi (PII) dalam dokumen teks. -
bedrock— Memungkinkan kepala sekolah menggunakan Amazon Bedrock untuk membuat daftar dan memanggil model pondasi. -
iam— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Bedrock.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3 di direktori “Sagemaker-*/Canvas”.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Forecast.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya dimulai dengan “sagemaker-”.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
SageMaker Pembaruan Amazon ke kebijakan terkelola Amazon SageMaker Canvas
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker Canvas sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Perubahan | Tanggal |
|---|---|---|---|
|
AmazonSageMakerCanvasFullAccess - Pembaruan ke kebijakan yang tersedia |
10 |
Tambahkan Tambahkan Tambahkan Tambahkan Tambahkan |
9 Juli 2024 |
|
AmazonSageMakerCanvasBedrockAccess- Kebijakan baru |
1 |
Kebijakan awal |
Februari 2, 2024 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
9 |
Tambahkan |
Januari 24, 2024 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
8 |
Tambahkan |
8 Desember 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia |
2 |
Pembaruan kecil untuk menegakkan maksud kebijakan sebelumnya, versi 1; tidak ada izin yang ditambahkan atau dihapus. |
Desember 7, 2023 |
|
AmazonSageMakerCanvasAI ServicesAccess - Pembaruan ke kebijakan yang tersedia |
3 |
Tambahkan |
November 29, 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Kebijakan baru |
1 |
Kebijakan awal |
26 Oktober 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess- Kebijakan baru |
1 |
Kebijakan awal |
Oktober 6, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
7 |
Tambahkan |
September 29, 2023 |
|
AmazonSageMakerCanvasAI ServicesAccess - Perbarui ke kebijakan yang ada |
2 |
Tambahkan |
September 29, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
6 |
Tambahkan |
29 Agustus 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
5 |
Tambahkan |
Juli 24, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
4 |
Tambahkan |
4 Mei 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
3 |
Tambahkan |
24 Maret 2023 |
|
AmazonSageMakerCanvasAI ServicesAccess - Kebijakan baru |
1 |
Kebijakan awal |
Maret 23, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
2 |
Tambahkan |
6 Desember 2022 |
AmazonSageMakerCanvasFullAccess - Kebijakan baru |
1 |
Kebijakan awal |
8 September 2022 |
|
AmazonSageMakerCanvasForecastAccess- Kebijakan baru |
1 |
Kebijakan awal |
Agustus 24, 2022 |
