Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Kebijakan Terkelola untuk Amazon SageMaker
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini memengaruhi semua identitas (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.
penting
Kami menyarankan Anda menggunakan kebijakan paling terbatas yang memungkinkan Anda untuk melakukan kasus penggunaan Anda.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon SageMaker:
-
AmazonSageMakerFullAccess— Memberikan akses penuh ke Amazon SageMaker dan sumber daya SageMaker geospasial dan operasi yang didukung. Ini tidak menyediakan akses Amazon S3 yang tidak terbatas, tetapi mendukung bucket dan objek dengan tag tertentu.sagemakerKebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker, tetapi hanya mengizinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan. -
AmazonSageMakerReadOnly— Memberikan akses hanya-baca ke sumber daya Amazon. SageMaker
Kebijakan AWS terkelola berikut dapat dilampirkan ke pengguna di akun Anda tetapi tidak disarankan:
-
AdministratorAccess— Memberikan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya di akun. -
DataScientistMemberikan berbagai izin untuk mencakup sebagian besar kasus penggunaan (terutama untuk analitik dan intelijen bisnis) yang dihadapi oleh ilmuwan data.
Anda dapat meninjau kebijakan izin ini dengan masuk ke konsol IAM dan mencarinya.
Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin untuk SageMaker tindakan dan sumber daya Amazon saat Anda membutuhkannya. Anda dapat melampirkan kebijakan khusus ini ke pengguna atau grup yang memerlukannya.
Topik
- AWS kebijakan terkelola: AmazonSageMakerFullAccess
- AWS kebijakan terkelola: AmazonSageMakerReadOnly
- AWS kebijakan terkelola untuk Amazon SageMaker Canvas
- AWS kebijakan terkelola untuk Amazon SageMaker Cluster
- AWS kebijakan terkelola untuk Amazon SageMaker Feature Store
- AWS kebijakan terkelola untuk SageMaker geospasial Amazon
- AWS Kebijakan Terkelola untuk Amazon SageMaker Ground Truth
- AWS Kebijakan Terkelola untuk Tata Kelola SageMaker Model
- AWS Kebijakan Terkelola untuk Registri Model
- AWS Kebijakan Terkelola untuk SageMaker Notebook
- AWS Kebijakan Terkelola untuk SageMaker Saluran Pipa
- AWS Kebijakan Terkelola untuk SageMaker proyek dan JumpStart
- SageMaker Pembaruan Kebijakan AWS Terkelola
AWS kebijakan terkelola: AmazonSageMakerFullAccess
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua Amazon SageMaker dan sumber daya dan operasi SageMaker geospasial. Kebijakan ini juga menyediakan akses terpilih ke layanan terkait. Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker, tetapi hanya mengizinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan. Kebijakan ini tidak menyertakan izin untuk membuat SageMaker domain Amazon. Untuk informasi tentang kebijakan yang diperlukan untuk membuat domain, lihat SageMaker Prasyarat Amazon.
Detail izin
Kebijakan ini mencakup izin berikut.
-
application-autoscaling— Memungkinkan prinsipal untuk secara otomatis menskalakan titik akhir inferensi waktu SageMaker nyata. -
athena— Memungkinkan prinsipal untuk menanyakan daftar katalog data, database, dan metadata tabel dari. Amazon Athena -
aws-marketplace— Memungkinkan kepala sekolah untuk melihat langganan AI AWS Marketplace. Anda memerlukan ini jika Anda ingin mengakses SageMaker perangkat lunak berlangganan. AWS Marketplace -
cloudformation— Memungkinkan prinsipal untuk mendapatkan AWS CloudFormation template untuk menggunakan SageMaker JumpStart solusi dan Pipelines. SageMaker JumpStartmenciptakan sumber daya yang diperlukan untuk menjalankan solusi pembelajaran end-to-end mesin yang SageMaker terkait dengan AWS layanan lain. SageMaker Pipelines membuat proyek baru yang didukung oleh Service Catalog. -
cloudwatch— Memungkinkan kepala sekolah untuk memposting CloudWatch metrik, berinteraksi dengan alarm, dan mengunggah log ke CloudWatch Log di akun Anda. -
codebuild— Memungkinkan kepala sekolah untuk menyimpan AWS CodeBuild artefak untuk Pipeline dan Proyek. SageMaker -
codecommit— Diperlukan untuk AWS CodeCommit integrasi dengan instance SageMaker notebook. -
cognito-idp— Diperlukan untuk Amazon SageMaker Ground Truth untuk mendefinisikan tenaga kerja pribadi dan tim kerja. -
ec2— Diperlukan SageMaker untuk mengelola sumber daya Amazon EC2 dan antarmuka jaringan saat Anda menentukan VPC Amazon untuk SageMaker pekerjaan, model, titik akhir, dan instans notebook Anda. -
ecr— Diperlukan untuk menarik dan menyimpan artefak Docker untuk Amazon SageMaker Studio Classic (gambar khusus), pelatihan, pemrosesan, inferensi batch, dan titik akhir inferensi. Ini juga diperlukan untuk menggunakan wadah Anda sendiri SageMaker. Izin tambahan untuk SageMaker JumpStart solusi diperlukan untuk membuat dan menghapus gambar khusus atas nama pengguna. -
elastic-inference— Memungkinkan prinsipal terhubung ke Amazon Elastic Inference untuk SageMaker menggunakan instans dan titik akhir notebook. -
elasticfilesystem— Memungkinkan kepala sekolah mengakses Amazon Elastic File System. Ini diperlukan SageMaker untuk menggunakan sumber data di Amazon Elastic File System untuk melatih model pembelajaran mesin. -
fsx— Memungkinkan kepala sekolah untuk mengakses Amazon FSx. Ini diperlukan SageMaker untuk menggunakan sumber data di Amazon FSx untuk melatih model pembelajaran mesin. -
glue— Diperlukan untuk pra-pemrosesan pipa inferensi dari dalam instance SageMaker notebook. -
groundtruthlabeling— Diperlukan untuk pekerjaan pelabelan Ground Truth.groundtruthlabelingTitik akhir diakses oleh konsol Ground Truth. -
iam— Diperlukan untuk memberikan akses SageMaker konsol ke peran IAM yang tersedia dan membuat peran terkait layanan. -
kms— Diperlukan untuk memberikan akses SageMaker konsol ke AWS KMS kunci yang tersedia dan mengambilnya untuk AWS KMS alias tertentu dalam pekerjaan dan titik akhir. -
lambda— Memungkinkan kepala sekolah untuk memanggil dan mendapatkan daftar fungsi. AWS Lambda -
logs— Diperlukan untuk memungkinkan SageMaker pekerjaan dan titik akhir untuk mempublikasikan aliran log. -
redshift— Memungkinkan kepala sekolah mengakses kredensyal cluster Amazon Redshift. -
redshift-data— Memungkinkan prinsipal menggunakan data dari Amazon Redshift untuk menjalankan, mendeskripsikan, dan membatalkan pernyataan; mendapatkan hasil pernyataan; dan daftar skema dan tabel. -
robomaker— Memungkinkan kepala sekolah memiliki akses penuh untuk membuat, mendapatkan deskripsi, dan menghapus aplikasi dan pekerjaan AWS RoboMaker simulasi. Ini juga diperlukan untuk menjalankan contoh pembelajaran penguatan pada instance notebook. -
s3, s3express- Memungkinkan kepala sekolah memiliki akses penuh ke sumber daya Amazon S3 dan Amazon S3 Express yang berkaitan dengan, SageMaker tetapi tidak semua Amazon S3 atau Amazon S3 Express. -
sagemaker— Memungkinkan prinsipal untuk mencantumkan tag pada profil SageMaker pengguna, dan menambahkan tag ke SageMaker aplikasi dan spasi. Mengizinkan akses hanya ke SageMaker definisi aliran sagemaker: WorkteamType “private-crowd” atau “vendor-crowd”. -
sagemakerdansagemaker-geospatial— Memungkinkan kepala sekolah akses hanya-baca ke SageMaker domain dan profil pengguna. -
secretsmanager— Memungkinkan kepala sekolah untuk memiliki akses penuh ke. AWS Secrets Manager Prinsipal dapat dengan aman mengenkripsi, menyimpan, dan mengambil kredensyal untuk database dan layanan lainnya. Ini juga diperlukan untuk instance SageMaker notebook dengan repositori SageMaker kode yang digunakan. GitHub -
servicecatalog— Memungkinkan kepala sekolah untuk menggunakan Service Catalog. Prinsipal dapat membuat, mendapatkan daftar, memperbarui, atau menghentikan produk yang disediakan, seperti server, database, situs web, atau aplikasi yang digunakan menggunakan sumber daya. AWS Ini diperlukan untuk SageMaker JumpStart dan Proyek untuk menemukan dan membaca produk katalog layanan dan meluncurkan AWS sumber daya pada pengguna. -
sns— Memungkinkan kepala sekolah untuk mendapatkan daftar topik Amazon SNS. Ini diperlukan untuk titik akhir dengan Inferensi Async diaktifkan untuk memberi tahu pengguna bahwa inferensi mereka telah selesai. -
states— Diperlukan untuk SageMaker JumpStart dan Pipelines untuk menggunakan katalog layanan untuk membuat sumber daya fungsi langkah. -
tag- Diperlukan untuk SageMaker Pipelines untuk dirender di Studio Classic. Studio Classic membutuhkan sumber daya yang ditandai dengan kuncisagemaker:project-idtag tertentu. Ini membutuhkantag:GetResourcesizin.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS kebijakan terkelola: AmazonSageMakerReadOnly
Kebijakan ini memberikan akses hanya-baca ke Amazon SageMaker melalui dan SDK AWS Management Console .
Detail izin
Kebijakan ini mencakup izin berikut.
-
application-autoscaling— Memungkinkan pengguna untuk menelusuri deskripsi titik akhir inferensi SageMaker real-time yang dapat diskalakan. -
aws-marketplace— Memungkinkan pengguna untuk melihat langganan AWS AI Marketplace. -
cloudwatch— Memungkinkan pengguna untuk menerima CloudWatch alarm. -
cognito-idp— Diperlukan untuk Amazon SageMaker Ground Truth untuk menelusuri deskripsi dan daftar tenaga kerja pribadi dan tim kerja. -
ecr— Diperlukan untuk membaca artefak Docker untuk pelatihan dan inferensi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Pembaruan Kebijakan AWS Terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola SageMaker sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Perubahan | Tanggal |
|---|---|---|---|
AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia |
26 |
Tambahkan |
Maret 29, 2024 |
AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada |
25 |
Tambahkan |
30 November 2023 |
AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada |
24 |
Tambahkan |
30 November 2022 |
AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada |
23 |
Tambahkan |
Juni 29, 2022 |
AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada |
22 |
Tambahkan |
1 Mei 2022 |
AmazonSageMakerReadOnly - Pembaruan ke kebijakan yang tersedia |
11 |
Tambahkan |
1 Desember 2021 |
AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada |
21 |
Tambahkan |
8 September 2021 |
AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada |
20 |
Perbarui |
15 Juli 2021 |
AmazonSageMakerReadOnly - Perbarui ke kebijakan yang ada |
10 |
API baru |
10 Juni 2021 |
|
SageMaker mulai melacak perubahan untuk kebijakan AWS terkelolanya. |
1 Juni 2021 |
