Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon SageMaker Canvas
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Canvas. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla SageMaker console.
Argomenti
- AWS politica gestita: AmazonSageMakerCanvasFullAccess
- AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess
- AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess
- AWS politica gestita: AI AmazonSageMakerCanvas ServicesAccess
- AWS politica gestita: AmazonSageMakerCanvasBedrockAccess
- AWS politica gestita: AmazonSageMakerCanvasForecastAccess
- SageMaker Aggiornamenti di Amazon alle politiche gestite di Amazon SageMaker Canvas
AWS politica gestita: AmazonSageMakerCanvasFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Canvas tramite l'SDK AWS Management Console and. La policy fornisce anche l'accesso selezionato ai servizi correlati [ad esempio, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, CloudWatch Amazon Redshift, Amazon Autopilot, Model Registry, e AWS Secrets Manager Amazon Forecast SageMaker ]. SageMaker
Questa politica ha lo scopo di aiutare i clienti a sperimentare e iniziare a utilizzare tutte le funzionalità di Canvas. SageMaker Per un controllo più preciso, suggeriamo ai clienti di creare le proprie versioni con ambito ridotto man mano che passano ai carichi di lavoro di produzione. Per ulteriori informazioni, consulta IAM policy types: How and when to use them
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai principali di creare e ospitare SageMaker modelli su risorse il cui ARN contiene «Canvas», «canvas» o «model-compilation-». Inoltre, gli utenti possono registrare il proprio modello SageMaker Canvas su Model Registry nello SageMaker stesso account. AWS -
ec2: consente alle entità principali di creare endpoint VPC Amazon. -
ecr: consente alle entità principali di ottenere informazioni sull'immagine di un container. -
glue: consente alle entità principali di recuperare le tabelle nel catalogo. -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker e Amazon Forecast. Consente inoltre ai responsabili di creare un ruolo collegato ai servizi. -
logs: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento. -
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker». Consente inoltre alle entità principali di recuperare oggetti dai bucket Amazon S3 il cui ARN inizia con "jumpstart-cache-prod-" in regioni specifiche. -
secretsmanager: consente alle entità principali di memorizzare le credenziali dei clienti per connettersi a un database Snowflake utilizzando il Gestore dei segreti. -
redshift: consente alle entità principali di ottenere le credenziali per un dbuser "sagemaker_access*" su qualsiasi cluster Amazon Redshift, se tale utente esiste. -
redshift-data: consente alle entità principali di eseguire query su Amazon Redshift utilizzando l'API di dati di Amazon Redshift. Fornisce solo l'accesso alle stesse API di dati di Redshift e non fornisce l'accesso diretto ai cluster Amazon Redshift. Per ulteriori informazioni, consulta Uso dell'API dati di Amazon Redshift. -
forecast: consente alle entità principali di utilizzare Amazon Forecast. -
application-autoscaling— Consente ai principali di scalare automaticamente un endpoint di inferenza. SageMaker -
rds: consente alle entità principali di restituire informazioni sulle istanze Amazon RDS per cui è stato effettuato il provisioning. -
cloudwatch— Consente ai responsabili di creare e gestire CloudWatch allarmi Amazon. -
athena— Consente ai responsabili di creare, leggere e gestire query, cataloghi ed esecuzioni su Amazon Athena.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } ] }
AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo alla funzionalità di preparazione dei dati di Amazon SageMaker Canvas. La policy fornisce anche le autorizzazioni con privilegi minimi per i servizi che si integrano con la funzionalità di preparazione dei dati [ad esempio, Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon EMR, Amazon, Amazon Redshift, () e]. EventBridge AWS Key Management Service AWS KMS AWS Secrets Manager
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di accedere ai processi di elaborazione, ai lavori di formazione, alle pipeline di inferenza, ai lavori AutoML e ai gruppi di funzionalità. -
athena— Consente ai responsabili di interrogare un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena. -
elasticmapreduce— Consente ai responsabili di leggere ed elencare i cluster Amazon EMR. -
events— Consente ai responsabili di creare, leggere, aggiornare e aggiungere obiettivi alle EventBridge regole di Amazon per i lavori pianificati. -
glue— Consente ai responsabili di ottenere e cercare tabelle dai database del AWS Glue catalogo. -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker e EventBridge. -
kms— Consente ai responsabili di recuperare gli AWS KMS alias archiviati nei job e negli endpoint e di accedere alla chiave KMS associata. -
logs: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento. -
redshift— Consente ai mandanti di ottenere le credenziali per accedere a un database Amazon Redshift. -
redshift-data— Consente ai responsabili di eseguire, annullare, descrivere, elencare e ottenere i risultati delle query su Amazon Redshift. Consente inoltre ai responsabili di elencare schemi e tabelle di Amazon Redshift. -
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker»; oppure sono etichettati con "«, senza distinzione tra maiuscole e minuscole. SageMaker -
secretsmanager— Consente ai responsabili di archiviare e recuperare le credenziali del database dei clienti utilizzando Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" } ] }
AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess
Questa politica concede le autorizzazioni necessarie ad Amazon SageMaker Canvas per creare e gestire gli endpoint Amazon SageMaker.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di creare e gestire gli SageMaker endpoint con un nome di risorsa ARN che inizia con «Canvas» o «canvas». -
cloudwatch— Consente ai mandanti di recuperare i dati CloudWatch metrici di Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS politica gestita: AI AmazonSageMakerCanvas ServicesAccess
Questa politica concede ad Amazon SageMaker Canvas le autorizzazioni per utilizzare Amazon Textract, Amazon Rekognition, Amazon Comprehend e Amazon Bedrock.
Dettagli dell'autorizzazione
Questa politica gestita include le seguenti autorizzazioni. AWS
-
textract: consente alle entità principali di utilizzare Amazon Textract per rilevare documenti, spese e identità all'interno di un'immagine. -
rekognition: consente alle entità principali di utilizzare Amazon Rekognition per rilevare etichette e testo all'interno di un'immagine. -
comprehend: consente alle entità principali di utilizzare Amazon Comprehend per rilevare la valutazione, la lingua principale e infine le entità con nome e informazioni di identificazione personale (PII) all'interno di un documento di testo. -
bedrock: consente alle entità principali di utilizzare Amazon Bedrock per elencare e richiamare modelli di fondazione. -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS politica gestita: AmazonSageMakerCanvasBedrockAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Bedrock.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3— Consente ai mandanti di aggiungere e recuperare oggetti dai bucket Amazon S3 nella directory «SageMaker-*/Canvas».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politica gestita: AmazonSageMakerCanvasForecastAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Forecast.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome inizia con "sagemaker-".
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
SageMaker Aggiornamenti di Amazon alle politiche gestite di Amazon SageMaker Canvas
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker Canvas da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
|---|---|---|---|
|
AmazonSageMakerCanvasBedrockAccess: nuova policy |
1 |
Policy iniziale |
2 febbraio 2024 |
|
AmazonSageMakerCanvasFullAccess - Aggiornamento a una policy esistente |
9 |
Aggiunta l'autorizzazione |
24 gennaio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
8 |
Aggiungi |
8 dicembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
2 |
Piccolo aggiornamento per far rispettare gli intenti della politica precedente, versione 1; nessuna autorizzazione aggiunta o eliminata. |
7 dicembre 2023 |
|
AmazonSageMakerCanvasAI ServicesAccess - Aggiornamento a una policy esistente |
3 |
Aggiungi |
29 novembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nuova politica |
1 |
Policy iniziale |
26 ottobre 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess: nuova policy |
1 |
Policy iniziale |
6 ottobre 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
7 |
Aggiunte le autorizzazioni |
29 settembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccess : aggiornamento a una politica esistente |
2 |
Aggiunte le autorizzazioni |
29 settembre 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
6 |
Aggiunta l'autorizzazione |
29 agosto 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
5 |
Aggiunte le autorizzazioni |
24 luglio 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
4 |
Aggiunte le autorizzazioni |
4 maggio 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
3 |
Aggiunte le autorizzazioni |
24 marzo 2023 |
|
AmazonSageMakerCanvasAI ServicesAccess - Nuova politica |
1 |
Policy iniziale |
23 marzo 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
2 |
Aggiunta l'autorizzazione |
6 dicembre 2022 |
AmazonSageMakerCanvasFullAccess - Nuova politica |
1 |
Policy iniziale |
8 settembre 2022 |
|
AmazonSageMakerCanvasForecastAccess: nuova policy |
1 |
Policy iniziale |
24 agosto 2022 |
