Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Policy gestite per Amazon SageMaker
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio avvia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.
Importante
Ti consigliamo di utilizzare la policy più limitata che consente di eseguire il tuo caso d'uso.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon SageMaker:
-
AmazonSageMakerFullAccess— Garantisce l'accesso completo ad Amazon SageMaker e alle risorse SageMaker geospaziali e alle operazioni supportate. Non fornisce l'accesso Amazon S3 illimitato, ma supporta i bucket e gli oggetti con tagsagemakerspecifici. Questa policy consente di passare tutti i ruoli IAM ad Amazon SageMaker, ma consente di passare solo i ruoli IAM contenenti AmazonSageMaker "" ai AWS RoboMaker servizi AWS Glue AWS Step Functions, and. -
AmazonSageMakerReadOnly— Garantisce l'accesso in sola lettura alle risorse Amazon. SageMaker
Le seguenti politiche AWS gestite possono essere associate agli utenti del tuo account, ma non sono consigliate:
-
AdministratorAccess: concede tutte le operazioni per tutti i servizi AWS e per tutte le risorse nell'account. -
DataScientist: concede un'ampia gamma di autorizzazioni per coprire la maggior parte dei casi d'uso (principalmente per le attività di analisi e business intelligence) incontrati dai data scientist
Puoi esaminare queste policy di autorizzazione, accedendo alla console IAM e cercandole.
Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per le SageMaker azioni e le risorse di Amazon quando ne hai bisogno. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che ne hanno bisogno.
Argomenti
- AWS politica gestita: AmazonSageMakerFullAccess
- AWS politica gestita: AmazonSageMakerReadOnly
- AWS politiche gestite per Amazon SageMaker Canvas
- AWS politiche gestite per Amazon SageMaker Cluster
- AWS politiche gestite per Amazon SageMaker Feature Store
- AWS politiche gestite per Amazon SageMaker geospatial
- AWS Politiche gestite per Amazon SageMaker Ground Truth
- AWS Politiche gestite per la governance dei SageMaker modelli
- AWS Politiche gestite per Model Registry
- AWS Policy gestite per SageMaker notebook
- AWS Politiche gestite per le SageMaker pipeline
- AWS Politiche gestite per SageMaker progetti e JumpStart
- SageMaker Aggiornamenti alle politiche AWS gestite
AWS politica gestita: AmazonSageMakerFullAccess
Questa politica concede autorizzazioni amministrative che consentono un accesso principale completo a tutte le risorse e le operazioni Amazon SageMaker e SageMaker geospaziali. La policy fornisce anche un accesso selezionato ai servizi correlati. Questa policy consente di passare tutti i ruoli IAM ad Amazon SageMaker, ma consente di passare solo i ruoli IAM contenenti AmazonSageMaker "" ai AWS RoboMaker servizi AWS Glue AWS Step Functions, and. Questa politica non include le autorizzazioni per creare un SageMaker dominio Amazon. Per informazioni sulla policy necessaria per creare un dominio, consulta SageMaker Prerequisiti Amazon.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
application-autoscaling— Consente ai principali di scalare automaticamente un endpoint di inferenza SageMaker in tempo reale. -
athena— Consente ai responsabili di interrogare un elenco di cataloghi di dati, database e metadati di tabelle da. Amazon Athena -
aws-marketplace— Consente ai mandanti di visualizzare gli abbonamenti ad AWS AI Marketplace. Ne hai bisogno se desideri accedere al SageMaker software a cui sei abbonato. Marketplace AWS -
cloudformation— Consente ai responsabili di ottenere AWS CloudFormation modelli per l'utilizzo di SageMaker JumpStart soluzioni e pipeline. SageMaker JumpStartcrea le risorse necessarie per eseguire soluzioni di end-to-end machine learning collegate SageMaker ad altri AWS servizi. SageMaker Pipelines crea nuovi progetti supportati da Service Catalog. -
cloudwatch— Consente ai responsabili di pubblicare CloudWatch metriche, interagire con gli allarmi e caricare i log nei registri del tuo account. CloudWatch -
codebuild— Consente ai mandanti di AWS CodeBuild archiviare artefatti per Pipeline e Projects. SageMaker -
codecommit— Necessario per l' AWS CodeCommit integrazione con le istanze dei notebook. SageMaker -
cognito-idp— Necessario per Amazon SageMaker Ground Truth per definire la forza lavoro privata e i team di lavoro. -
ec2— SageMaker Necessario per gestire le risorse e le interfacce di rete di Amazon EC2 quando si specifica un Amazon VPC per SageMaker processi, modelli, endpoint e istanze di notebook. -
ecr— Necessario per estrarre e archiviare artefatti Docker per Amazon SageMaker Studio Classic (immagini personalizzate), formazione, elaborazione, inferenza in batch ed endpoint di inferenza. Ciò è necessario anche per utilizzare il proprio contenitore in. SageMaker Sono necessarie autorizzazioni aggiuntive per le SageMaker JumpStart soluzioni per creare e rimuovere immagini personalizzate per conto degli utenti. -
elastic-inference— Consente ai responsabili di connettersi ad Amazon Elastic Inference per SageMaker utilizzare istanze ed endpoint di notebook. -
elasticfilesystem: consente alle entità principali di accedere ad Amazon Elastic File System. Ciò è necessario per SageMaker utilizzare le fonti di dati in Amazon Elastic File System per addestrare modelli di machine learning. -
fsx: consente alle entità principali l'accesso ad Amazon FSx. Ciò è necessario per SageMaker utilizzare le fonti di dati in Amazon FSx per addestrare modelli di machine learning. -
glue— Necessario per la preelaborazione della pipeline di inferenza dall'interno delle istanze dei notebook. SageMaker -
groundtruthlabeling: necessaria per i processi di etichettatura Ground Truth. L'endpoint ègroundtruthlabelingaccessibile dalla console Ground Truth. -
iam— Necessario per consentire alla SageMaker console di accedere ai ruoli IAM disponibili e creare ruoli collegati ai servizi. -
kms— Necessario per consentire alla SageMaker console di accedere alle AWS KMS chiavi disponibili e recuperarle per qualsiasi AWS KMS alias specificato nei job e negli endpoint. -
lambda: consente alle entità principali di richiamare e ottenere un elenco di funzioni AWS Lambda . -
logs— Necessario per consentire ai SageMaker job e agli endpoint di pubblicare flussi di log. -
redshift: consente alle entità principali di accedere alle credenziali del cluster Amazon Redshift. -
redshift-data: consente alle entità principali di utilizzare i dati di Amazon Redshift per eseguire, descrivere e annullare le istruzioni, ottenere i risultati delle istruzioni ed elencare schemi e tabelle. -
robomaker— Consente ai responsabili di avere pieno accesso per creare, ottenere descrizioni ed eliminare applicazioni e lavori di AWS RoboMaker simulazione. È necessaria anche per eseguire esempi di apprendimento per rinforzo su istanze del notebook. -
s3, s3express— Consente ai mandanti di avere pieno accesso alle risorse di Amazon S3 e Amazon S3 Express relative SageMaker ad Amazon S3 o Amazon S3 Express, ma non a tutte. -
sagemaker— Consente ai responsabili di elencare i tag sui profili SageMaker utente e di aggiungere tag ad app e spazi. SageMaker Consente l'accesso solo alle SageMaker definizioni di flusso di sagemaker: WorkteamType «private-crowd» o «vendor-crowd». -
sagemakeresagemaker-geospatial— Consente ai principali l'accesso in sola lettura a domini e profili utente. SageMaker -
secretsmanager: consente alle entità principali l'accesso completo a AWS Secrets Manager. Le entità principali possono crittografare, archiviare e recuperare le credenziali per i database e altri servizi in modo sicuro. Ciò è necessario anche per le istanze di SageMaker notebook con SageMaker repository di codice che utilizzano. GitHub -
servicecatalog: consente alle entità principali di utilizzare il Catalogo servizi. I responsabili possono creare, ottenere un elenco, aggiornare o terminare i prodotti forniti, come server, database, siti Web o applicazioni distribuite utilizzando risorse. AWS Ciò è necessario affinché SageMaker JumpStart e Projects possa trovare e leggere i prodotti del catalogo dei servizi e lanciare AWS risorse agli utenti. -
sns: consente alle entità principali di ottenere un elenco di argomenti di Amazon SNS. È necessaria per gli endpoint con inferenza asincrona abilitata per avvisare gli utenti che l'inferenza è stata completata. -
states— Necessario per SageMaker JumpStart consentire a Pipelines di utilizzare un catalogo di servizi per creare risorse Step Function. -
tag— Necessario per il rendering di SageMaker Pipelines in Studio Classic. Studio Classic necessita di risorse contrassegnate con una particolaresagemaker:project-idchiave di tag. Richiede l'autorizzazionetag:GetResources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS politica gestita: AmazonSageMakerReadOnly
Questa politica garantisce l'accesso in sola lettura ad Amazon SageMaker tramite l' AWS Management Console SDK and.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
application-autoscaling— Consente agli utenti di sfogliare le descrizioni degli endpoint di inferenza scalabili SageMaker in tempo reale. -
aws-marketplace— Consente agli utenti di visualizzare gli abbonamenti ad AWS AI Marketplace. -
cloudwatch— Consente agli utenti di ricevere CloudWatch allarmi. -
cognito-idp— Necessario per consentire ad Amazon SageMaker Ground Truth di consultare le descrizioni e gli elenchi della forza lavoro privata e dei team di lavoro. -
ecr: necessaria per recuperare e memorizzare artefatti Docker per l'addestramento e l'inferenza.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite da SageMaker quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
|---|---|---|---|
AmazonSageMakerFullAccess - Aggiornamento a una policy esistente |
26 |
Aggiunta l'autorizzazione |
29 marzo 2024 |
AmazonSageMakerFullAccess - Aggiornamento a una politica esistente |
25 |
Aggiungi |
30 novembre 2023 |
AmazonSageMakerFullAccess - Aggiornamento a una politica esistente |
24 |
Aggiunte le autorizzazioni |
30 novembre 2022 |
AmazonSageMakerFullAccess - Aggiornamento a una politica esistente |
23 |
Add |
29 giugno 2022 |
AmazonSageMakerFullAccess - Aggiornamento a una politica esistente |
22 |
Add |
1 maggio 2022 |
AmazonSageMakerReadOnly - Aggiornamento a una policy esistente |
11 |
Aggiunte le autorizzazioni |
1° dicembre 2021 |
AmazonSageMakerFullAccess - Aggiornamento a una politica esistente |
21 |
Aggiunte le autorizzazioni |
8 settembre 2021 |
AmazonSageMakerFullAccess - Aggiornamento a una politica esistente |
20 |
Aggiornamento di autorizzazioni e risorse |
15 luglio 2021 |
AmazonSageMakerReadOnly - Aggiornamento a una politica esistente |
10 |
Nuova API |
10 giugno 2021 |
|
SageMaker ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
1 giugno 2021 |
