AWS Amazon SageMaker Canvas の マネージドポリシー - Amazon SageMaker AI
AmazonSageMakerCanvasFullAccessAmazonSageMakerCanvasDataPrepFullAccessAmazonSageMakerCanvasDirectDeployAccessAmazonSageMakerCanvasAIServicesAccessAmazonSageMakerCanvasBedrockAccessAmazonSageMakerCanvasForecastAccessAmazonSageMakerCanvasEMRServerlessExecutionRolePolicyAmazonSageMakerCanvasSMDataScienceAssistantAccessSageMaker Canvas のポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon SageMaker Canvas の マネージドポリシー

これらの AWS 管理ポリシーは、Amazon SageMaker Canvas を使用するために必要なアクセス許可を追加します。ポリシーは AWS アカウントで使用でき、SageMaker AI コンソールから作成された実行ロールによって使用されます。

AWS マネージドポリシー: AmazonSageMakerCanvasFullAccess

このポリシーは、 AWS Management Console と SDK 経由で Amazon SageMaker Canvas にフルアクセスできるようにするアクセス許可を付与します。このポリシーは、関連サービス [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management (IAM)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon Elastic Container Registry (Amazon ECR)、Amazon CloudWatch Logs、Amazon Redshift AWS Secrets Manager、Amazon SageMaker Autopilot、SageMaker Model Registry、Amazon Forecast など] への選択アクセスも提供します。

このポリシーは、お客様が SageMaker Canvas のすべての機能を試して使い始めるのを支援することを目的としています。よりきめ細かい制御を行うには、お客様が本番環境のワークロードに移行する際に、範囲を絞った独自のバージョンを構築することをお勧めします。詳細については、「IAM policy types: How and when to use them」を参照してください。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • sagemaker – プリンシパルが ARN に「Canvas」、「canvas」、または「model-compilation-」が含まれているリソースで SageMaker AI モデルを作成してホストできるようにします。さらに、ユーザーは同じ AWS アカウントの SageMaker Canvas モデルを SageMaker AI Model Registry に登録できます。プリンシパルが SageMaker トレーニング、変換、AutoML ジョブを作成して管理することも許可します。

  • application-autoscaling – プリンシパルが SageMaker AI 推論エンドポイントを自動的にスケーリングできるようにします。

  • athena – プリンシパルが Amazon Athena からデータカタログ、データベース、テーブルメタデータのリストをクエリし、カタログ内のテーブルにアクセスすることを許可します。

  • cloudwatch — プリンシパルが Amazon CloudWatch アラームを作成して管理することを許可します。

  • ec2 — Amazon VPC エンドポイントを作成することをプリンシパルに許可します。

  • ecr — コンテナイメージに関する情報を取得することをプリンシパルに許可します。

  • emr-serverless – プリンシパルが Amazon EMR Serverless アプリケーションとジョブ実行を作成して管理することを許可します。プリンシパルが SageMaker Canvas リソースにタグを付けることも許可します。

  • forecast — Amazon Forecast を使用することをプリンシパルに許可します。

  • glue – プリンシパルが AWS Glue カタログ内のテーブル、データベース、パーティションを取得できるようにします。

  • iam – プリンシパルが Amazon SageMaker AI、Amazon Forecast、Amazon EMR Serverless に IAM ロールを渡すことを許可します。プリンシパルがサービスにリンクされたロールを作成することも許可します。

  • kms – プリンシパルが でタグ付けされた AWS KMS キーを読み取ることを許可しますSource:SageMakerCanvas

  • logs — トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。

  • quicksight – プリンシパルが QuickSight アカウントの名前空間を一覧表示できるようにします。

  • rds - プロビジョニングされた Amazon RDS インスタンスに関する情報を返すことをプリンシパルに許可します。

  • redshift — 任意の Amazon Redshift クラスターで "sagemaker_access*" DBUser の認証情報を取得することをプリンシパルに許可します(そのユーザーが存在する場合)。

  • redshift-data — Amazon Redshift Data API を使って Amazon Redshift でクエリを実行することをプリンシパルに許可します。これにより、Redshift データ API 自体へのアクセスのみが提供され、Amazon Redshift クラスターへの直接アクセスは提供されません。詳細については、「Using the Amazon Redshift Data API」 (Amazon Redshift Data API の使用) を参照してください。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これは、名前に "SageMaker"、"Sagemaker" または "sagemaker" が含まれるオブジェクトに限定されます。また、特定のリージョンの ARN が "jumpstart-cache-prod-" で始まる Amazon S3 バケットからオブジェクトを取得することをプリンシパルに許可します。

  • secretsmanager — Secrets Manager を使用して Snowflake データベースに接続するための顧客認証情報を保存することをプリンシパルに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerUserDetailsAndPackageOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:ListTags",
                "sagemaker:ListModelPackages",
                "sagemaker:ListModelPackageGroups",
                "sagemaker:ListEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SageMakerPackageGroupOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:DescribeModelPackageGroup",
                "sagemaker:DescribeModelPackage"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:model-package/*",
                "arn:aws:sagemaker:*:*:model-package-group/*"
            ]
        },
        {
            "Sid": "SageMakerTrainingOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateCompilationJob",
                "sagemaker:CreateEndpoint",
                "sagemaker:CreateEndpointConfig",
                "sagemaker:CreateModel",
                "sagemaker:CreateProcessingJob",
                "sagemaker:CreateAutoMLJob",
                "sagemaker:CreateAutoMLJobV2",
                "sagemaker:CreateTrainingJob",
                "sagemaker:CreateTransformJob",
                "sagemaker:DeleteEndpoint",
                "sagemaker:DescribeCompilationJob",
                "sagemaker:DescribeEndpoint",
                "sagemaker:DescribeEndpointConfig",
                "sagemaker:DescribeModel",
                "sagemaker:DescribeProcessingJob",
                "sagemaker:DescribeAutoMLJob",
                "sagemaker:DescribeAutoMLJobV2",
                "sagemaker:DescribeTrainingJob",
                "sagemaker:DescribeTransformJob",
                "sagemaker:ListCandidatesForAutoMLJob",
                "sagemaker:StopAutoMLJob",
                "sagemaker:StopTrainingJob",
                "sagemaker:StopTransformJob",
                "sagemaker:AddTags",
                "sagemaker:DeleteApp"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:*Canvas*",
                "arn:aws:sagemaker:*:*:*canvas*",
                "arn:aws:sagemaker:*:*:*model-compilation-*"
            ]
        },
        {
            "Sid": "SageMakerHostingOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteEndpointConfig",
                "sagemaker:DeleteModel",
                "sagemaker:InvokeEndpoint",
                "sagemaker:UpdateEndpointWeightsAndCapacities",
                "sagemaker:InvokeEndpointAsync"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:*Canvas*",
                "arn:aws:sagemaker:*:*:*canvas*"
            ]
        },
        {
            "Sid": "EC2VPCOperation",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcEndpointServices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ECROperations",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMGetOperations",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "IAMPassOperation",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "LoggingOperation",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
        },
        {
            "Sid": "S3Operations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "ReadSageMakerJumpstartArtifacts",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
                "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
                "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
            ]
        },
        {
            "Sid": "S3ListOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GlueOperations",
            "Effect": "Allow",
            "Action": "glue:SearchTables",
            "Resource": [
                "arn:aws:glue:*:*:table/*/*",
                "arn:aws:glue:*:*:database/*",
                "arn:aws:glue:*:*:catalog"
            ]
        },
        {
            "Sid": "SecretsManagerARNBasedOperation",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:CreateSecret",
                "secretsmanager:PutResourcePolicy"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
            ]
        },
        {
            "Sid": "SecretManagerTagBasedOperation",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/SageMaker": "true"
                }
            }
        },
        {
            "Sid": "RedshiftOperations",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListSchemas",
                "redshift-data:ListTables",
                "redshift-data:DescribeTable"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RedshiftGetCredentialsOperation",
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
                "arn:aws:redshift:*:*:dbname:*"
            ]
        },
        {
            "Sid": "ForecastOperations",
            "Effect": "Allow",
            "Action": [
                "forecast:CreateExplainabilityExport",
                "forecast:CreateExplainability",
                "forecast:CreateForecastEndpoint",
                "forecast:CreateAutoPredictor",
                "forecast:CreateDatasetImportJob",
                "forecast:CreateDatasetGroup",
                "forecast:CreateDataset",
                "forecast:CreateForecast",
                "forecast:CreateForecastExportJob",
                "forecast:CreatePredictorBacktestExportJob",
                "forecast:CreatePredictor",
                "forecast:DescribeExplainabilityExport",
                "forecast:DescribeExplainability",
                "forecast:DescribeAutoPredictor",
                "forecast:DescribeForecastEndpoint",
                "forecast:DescribeDatasetImportJob",
                "forecast:DescribeDataset",
                "forecast:DescribeForecast",
                "forecast:DescribeForecastExportJob",
                "forecast:DescribePredictorBacktestExportJob",
                "forecast:GetAccuracyMetrics",
                "forecast:InvokeForecastEndpoint",
                "forecast:GetRecentForecastContext",
                "forecast:DescribePredictor",
                "forecast:TagResource",
                "forecast:DeleteResourceTree"
            ],
            "Resource": [
                "arn:aws:forecast:*:*:*Canvas*"
            ]
        },
        {
            "Sid": "RDSOperation",
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Sid": "IAMPassOperationForForecast",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "forecast.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AutoscalingOperations",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:RegisterScalableTarget"
            ],
            "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
            "Condition": {
                "StringEquals": {
                    "application-autoscaling:service-namespace": "sagemaker",
                    "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
                }
            }
        },
        {
            "Sid": "AsyncEndpointOperations",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms",
                "sagemaker:DescribeEndpointConfig"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeScalingOperations",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingActivities"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "SageMakerCloudWatchUpdate",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DeleteAlarms"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AutoscalingSageMakerEndpointOperation",
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        }
        {
            "Sid": "AthenaOperation",
            "Action": [
                "athena:ListTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            },
        },
        {
            "Sid": "GlueOperation",
            "Action": [
                "glue:GetDatabases",
                "glue:GetPartitions",
                "glue:GetTables"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:glue:*:*:table/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "QuicksightOperation",
            "Action": [
                "quicksight:ListNamespaces"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowUseOfKeyInAccount",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Source": "SageMakerCanvas",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessCreateApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:CreateApplication",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListApplications",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessApplicationOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:UpdateApplication",
                "emr-serverless:StopApplication",
                "emr-serverless:GetApplication",
                "emr-serverless:StartApplication"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessStartJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:StartJobRun",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListJobRuns",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessJobRunOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetJobRun",
                "emr-serverless:CancelJobRun"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessTagResourceOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:TagResource",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "IAMPassOperationForEMRServerless",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
                "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
            ],            
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

AWS マネージドポリシー: AmazonSageMakerCanvasDataPrepFullAccess

このポリシーは、Amazon SageMaker Canvas データ準備機能へのフルアクセスできるようにするアクセス許可を付与します。このポリシーは、データ準備機能 [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management (IAM)、Amazon EMR、Amazon EventBridge、Amazon Redshift AWS Key Management Service 、(AWS KMS)、] と統合するサービスの最小特権のアクセス許可も提供します AWS Secrets Manager。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • sagemaker – プリンシパルが処理ジョブ、トレーニングジョブ、推論パイプライン、AutoML ジョブ、特徴量グループにアクセスすることを許可します。

  • athena – プリンシパルが Amazon Athena からデータカタログ、データベース、テーブルメタデータのリストをクエリすることを許可します。

  • elasticmapreduce – プリンシパルが Amazon EMR クラスターを読み取って一覧表示することを許可します。

  • emr-serverless – プリンシパルが Amazon EMR Serverless アプリケーションとジョブ実行を作成して管理することを許可します。プリンシパルが SageMaker Canvas リソースにタグを付けることも許可します。

  • events – プリンシパルがスケジュールされたジョブの Amazon EventBridge ルールにターゲットを作成、読み取り、更新、追加することを許可します。

  • glue – プリンシパルが AWS Glue カタログ内のデータベースからテーブルを取得および検索できるようにします。

  • iam – プリンシパルが Amazon SageMaker AI、EventBridge、Amazon EMR Serverless に IAM ロールを渡すことを許可します。プリンシパルがサービスにリンクされたロールを作成することも許可します。

  • kms – プリンシパルがジョブとエンドポイントに保存されている AWS KMS エイリアスを取得し、関連付けられた KMS キーにアクセスできるようにします。

  • logs — トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。

  • redshift - プリンシパルが Amazon Redshift データベースにアクセスするための認証情報を取得することを許可します。

  • redshift-data – プリンシパルが Amazon Redshift クエリを実行、キャンセル、説明、一覧表示、結果の取得を行うことを許可します。プリンシパルが Amazon Redshift スキーマとテーブルを一覧表示することも許可します。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、大文字と小文字を区別せずに、名前に「SageMaker」、「Sagemaker」、または「sagemaker」が含まれるオブジェクト、または「SageMaker」でタグ付けされているオブジェクトに限定されます。

  • secretsmanager – プリンシパルが Secrets Manager を使用して顧客データベース認証情報を保存および取得することを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerListFeatureGroupOperation",
            "Effect": "Allow",
            "Action": "sagemaker:ListFeatureGroups",
            "Resource": "*"
        },
        {
            "Sid": "SageMakerFeatureGroupOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateFeatureGroup",
                "sagemaker:DescribeFeatureGroup"
            ],
            "Resource": "arn:aws:sagemaker:*:*:feature-group/*"
        },
        {
            "Sid": "SageMakerProcessingJobOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProcessingJob",
                "sagemaker:DescribeProcessingJob",
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
        },
        {
            "Sid": "SageMakerProcessingJobListOperation",
            "Effect": "Allow",
            "Action": "sagemaker:ListProcessingJobs",
            "Resource": "*"
        },
        {
            "Sid": "SageMakerPipelineOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePipeline",
                "sagemaker:CreatePipeline",
                "sagemaker:UpdatePipeline",
                "sagemaker:DeletePipeline",
                "sagemaker:StartPipelineExecution",
                "sagemaker:ListPipelineExecutionSteps",
                "sagemaker:DescribePipelineExecution"
            ],
            "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
        },
        {
            "Sid": "KMSListOperations",
            "Effect": "Allow",
            "Action": "kms:ListAliases",
            "Resource": "*"
        },
        {
            "Sid": "KMSOperations",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "S3Operations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketCors",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3GetObjectOperation",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3ListOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMListOperations",
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Sid": "IAMGetOperations",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "IAMPassOperation",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "sagemaker.amazonaws.com",
                        "events.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "EventBridgePutOperation",
            "Effect": "Allow",
            "Action": [
                "events:PutRule"
            ],
            "Resource": "arn:aws:events:*:*:rule/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
                }
            }
        },
        {
            "Sid": "EventBridgeOperations",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:PutTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
                }
            }
        },
        {
            "Sid": "EventBridgeTagBasedOperations",
            "Effect": "Allow",
            "Action": [
                "events:TagResource"
            ],
            "Resource": "arn:aws:events:*:*:rule/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
                    "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
                }
            }
        },
        {
            "Sid": "EventBridgeListTagOperation",
            "Effect": "Allow",
            "Action": "events:ListTagsForResource",
            "Resource": "*"
        },
        {
            "Sid": "GlueOperations",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Sid": "EMROperations",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups"
            ],
            "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
        },
        {
            "Sid": "EMRListOperation",
            "Effect": "Allow",
            "Action": "elasticmapreduce:ListClusters",
            "Resource": "*"
        },
        {
            "Sid": "AthenaListDataCatalogOperation",
            "Effect": "Allow",
            "Action": "athena:ListDataCatalogs",
            "Resource": "*"
        },
        {
            "Sid": "AthenaQueryExecutionOperations",
            "Effect": "Allow",
            "Action": [
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution"
            ],
            "Resource": "arn:aws:athena:*:*:workgroup/*"
        },
        {
            "Sid": "AthenaDataCatalogOperations",
            "Effect": "Allow",
            "Action": [
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "arn:aws:athena:*:*:datacatalog/*"
        },
        {
            "Sid": "RedshiftOperations",
            "Effect": "Allow",
            "Action": [
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement",
                "redshift-data:GetStatementResult"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RedshiftArnBasedOperations",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement",
                "redshift-data:ListSchemas",
                "redshift-data:ListTables"
            ],
            "Resource": "arn:aws:redshift:*:*:cluster:*"
        },
        {
            "Sid": "RedshiftGetCredentialsOperation",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentials",
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
                "arn:aws:redshift:*:*:dbname:*"
            ]
        },
        {
            "Sid": "SecretsManagerARNBasedOperation",
            "Effect": "Allow",
            "Action": "secretsmanager:CreateSecret",
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
        },
        {
            "Sid": "SecretManagerTagBasedOperation",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SageMaker": "true",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "RDSOperation",
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Sid": "LoggingOperation",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
        },
        {
            "Sid": "EMRServerlessCreateApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:CreateApplication",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListApplications",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessApplicationOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:UpdateApplication",
                "emr-serverless:GetApplication"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessStartJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:StartJobRun",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListJobRuns",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessJobRunOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetJobRun",
                "emr-serverless:CancelJobRun"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessTagResourceOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:TagResource",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "IAMPassOperationForEMRServerless",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
                "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
            ],            
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

AWS マネージドポリシー: AmazonSageMakerCanvasDirectDeployAccess

このポリシーは、Amazon SageMaker Canvas が Amazon SageMaker AI エンドポイントを作成および管理するために必要なアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • sagemaker – プリンシパルが「Canvas」または「canvas」で始まる ARN リソース名を使用して SageMaker AI エンドポイントを作成および管理できるようにします。

  • cloudwatch – プリンシパルが Amazon CloudWatch メトリクスデータを取得することを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerEndpointPerms",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateEndpoint",
                "sagemaker:CreateEndpointConfig",
                "sagemaker:DeleteEndpoint",
                "sagemaker:DescribeEndpoint",
                "sagemaker:DescribeEndpointConfig",
                "sagemaker:InvokeEndpoint",
                "sagemaker:UpdateEndpoint"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:Canvas*",
                "arn:aws:sagemaker:*:*:canvas*"
            ]
        },
        {
            "Sid": "ReadCWInvocationMetrics",
            "Effect": "Allow",
            "Action": "cloudwatch:GetMetricData",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonSageMakerCanvasAIServicesAccess

このポリシーは、Amazon SageMaker Canvas が Amazon Textract、Amazon Rekognition、Amazon Comprehend、Amazon Bedrock を使用するアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • textract— Amazon Textract を使用して、画像内の文書、経費、ID を検出することをプリンシパルに許可します。

  • rekognition — Amazon Rekognition を使用して画像内のラベルとテキストを検出することをプリンシパルに許可します。

  • comprehend — Amazon Comprehend を使用して、テキストドキュメント内の感情や主要言語、名前付きエンティティと個人を特定できる情報 (PII) エンティティを検出することをプリンシパルに許可します。

  • bedrock — Amazon Bedrock を使用して基盤モデルを一覧表示したり呼び出したりすることをプリンシパルに許可します。

  • iam – プリンシパルが IAM ロールを Amazon Bedrock に渡すことを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Textract",
            "Effect": "Allow",
            "Action": [
                "textract:AnalyzeDocument",
                "textract:AnalyzeExpense",
                "textract:AnalyzeID",
                "textract:StartDocumentAnalysis",
                "textract:StartExpenseAnalysis",
                "textract:GetDocumentAnalysis",
                "textract:GetExpenseAnalysis"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Rekognition",
            "Effect": "Allow",
            "Action": [
                "rekognition:DetectLabels",
                "rekognition:DetectText"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Comprehend",
            "Effect": "Allow",
            "Action": [
                "comprehend:BatchDetectDominantLanguage",
                "comprehend:BatchDetectEntities",
                "comprehend:BatchDetectSentiment",
                "comprehend:DetectPiiEntities",
                "comprehend:DetectEntities",
                "comprehend:DetectSentiment",
                "comprehend:DetectDominantLanguage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Bedrock",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:ListFoundationModels",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateBedrockResourcesPermission",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelCustomizationJob",
                "bedrock:CreateProvisionedModelThroughput",
                "bedrock:TagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:model-customization-job/*",
                "arn:aws:bedrock:*:*:custom-model/*",
                "arn:aws:bedrock:*:*:provisioned-model/*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "SageMaker",
                        "Canvas"
                    ]
                },
                "StringEquals": {
                    "aws:RequestTag/SageMaker": "true",
                    "aws:RequestTag/Canvas": "true",
                    "aws:ResourceTag/SageMaker": "true",
                    "aws:ResourceTag/Canvas": "true"
                }
            }
        },
        {
            "Sid": "GetStopAndDeleteBedrockResourcesPermission",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetModelCustomizationJob",
                "bedrock:GetCustomModel",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:StopModelCustomizationJob",
                "bedrock:DeleteProvisionedModelThroughput"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:model-customization-job/*",
                "arn:aws:bedrock:*:*:custom-model/*",
                "arn:aws:bedrock:*:*:provisioned-model/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SageMaker": "true",
                    "aws:ResourceTag/Canvas": "true"
                }
            }
        },
        {
            "Sid": "FoundationModelPermission",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*"
            ]
        },
        {
            "Sid": "BedrockFineTuningPassRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "bedrock.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

AWS マネージドポリシー: AmazonSageMakerCanvasBedrockAccess

このポリシーは、Amazon Bedrock で Amazon SageMaker Canvas を使用するために一般的に必要となるアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • s3 — プリンシパルが「sagemaker-*/Canvas」ディレクトリの Amazon S3 バケットにオブジェクトを追加したり取得したりすることを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3CanvasAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*/Canvas",
                "arn:aws:s3:::sagemaker-*/Canvas/*"
            ]
        },
        {
            "Sid": "S3BucketAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*"
            ]
        }
    ]
}

AWS マネージドポリシー: AmazonSageMakerCanvasForecastAccess

このポリシーは、Amazon Forecast で Amazon SageMaker Canvas を使用するために一般的に必要となるアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前が「sagemaker-」で始まるものに限定されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*/Canvas",
                "arn:aws:s3:::sagemaker-*/canvas"
            ]
        }
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*"
            ]
        }
    ]
}

AWS マネージドポリシー: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy

このポリシーは、Amazon SageMaker Canvas が大規模なデータ処理に使用する Amazon S3 などの AWS サービスに対するアクセス許可を Amazon EMR Serverless に付与します。 Amazon SageMaker

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、大文字と小文字を区別せずに、名前に「SageMaker」または「sagemaker」が含まれるもの、または「SageMaker」でタグ付けされたものに限定されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Operations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketCors",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3GetObjectOperation",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3ListOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWS マネージドポリシー: AmazonSageMakerCanvasSMDataScienceAssistantAccess

このポリシーは、Amazon SageMaker Canvas のユーザーが Amazon Q Developer との会話を開始するためのアクセス許可を付与します。この機能には、Amazon Q Developer と SageMaker AI データサイエンスアシスタントサービスの両方に対するアクセス許可が必要です。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれます。

  • q – プリンシパルが Amazon Q Developer にプロンプトを送信できるようにします。

  • sagemaker-data-science-assistant – プリンシパルが SageMaker Canvas Data Science Assistant サービスにプロンプトを送信できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerDataScienceAssistantAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-data-science-assistant:SendConversation"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AmazonQDeveloperAccess",
            "Effect": "Allow",
            "Action": [
                "q:SendMessage",
                "q:StartConversation"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Amazon SageMaker Canvas 管理ポリシーへの Amazon SageMaker AI の更新

このサービスがこれらの変更の追跡を開始してからの SageMaker Canvas の AWS マネージドポリシーの更新に関する詳細を表示します。

ポリシー バージョン 変更 日付

AmazonSageMakerCanvasSMDataScienceAssistantAccess – 既存ポリシーへの更新

2

q:StartConversation アクセス許可を追加します。

 2025年1月14日

AmazonSageMakerCanvasSMDataScienceAssistantAccess – 新しいポリシー

1

初期ポリシー

 2024 年 12 月 4 日

AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新

4

IAMPassOperationForEMRServerless アクセス許可にリソースを追加します。

 2024年8月16日

AmazonSageMakerCanvasFullAccess – 既存ポリシーへの更新

11

IAMPassOperationForEMRServerless アクセス許可にリソースを追加します。

 2024 年 8 月 15 日

AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy – 新しいポリシー

1

初期ポリシー

 2024 年 7 月 26 日

AmazonSageMakerCanvasDataPrepFullAccess - 既存のポリシーの更新

3

emr-serverless:CreateApplicationemr-serverless:ListApplicationsemr-serverless:UpdateApplicationemr-serverless:GetApplicationemr-serverless:StartJobRunemr-serverless:ListJobRunsemr-serverless:GetJobRunemr-serverless:CancelJobRunemr-serverless:TagResource のアクセス許可を追加します。

 2024 年 7 月 18 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

10

application-autoscaling:DescribeScalingActivitiesiam:PassRolekms:DescribeKeyquicksight:ListNamespaces のアクセス許可を追加します。

sagemaker:CreateTrainingJobsagemaker:CreateTransformJobsagemaker:DescribeTrainingJobsagemaker:DescribeTransformJobsagemaker:StopAutoMLJobsagemaker:StopTrainingJobsagemaker:StopTransformJob のアクセス許可を追加します。

athena:ListTableMetadataathena:ListDataCatalogs、および athena:ListDatabases アクセス許可を追加します。

glue:GetDatabasesglue:GetPartitions、および glue:GetTables アクセス許可を追加します。

emr-serverless:CreateApplicationemr-serverless:ListApplicationsemr-serverless:UpdateApplicationemr-serverless:StopApplicationemr-serverless:GetApplicationemr-serverless:StartApplicationemr-serverless:StartJobRunemr-serverless:ListJobRunsemr-serverless:GetJobRunemr-serverless:CancelJobRunemr-serverless:TagResource のアクセス許可を追加します。

 2024 年 7 月 9 日

AmazonSageMakerCanvasBedrockAccess – 新しいポリシー

1

初期ポリシー

 2024 年 2 月 2 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

9

sagemaker:ListEndpoints アクセス許可を追加します。

 2024 年 1 月 24 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

8

sagemaker:UpdateEndpointWeightsAndCapacitiessagemaker:DescribeEndpointConfigsagemaker:InvokeEndpointAsyncathena:ListDataCatalogsathena:GetQueryExecutionathena:GetQueryResultsathena:StartQueryExecutionathena:StopQueryExecutionathena:ListDatabasescloudwatch:DescribeAlarmscloudwatch:PutMetricAlarmcloudwatch:DeleteAlarmsiam:CreateServiceLinkedRole のアクセス許可を追加します。

 2023 年 12 月 8 日

AmazonSageMakerCanvasDataPrepFullAccess - 既存のポリシーの更新

2

以前のポリシーバージョン 1 の意図を強化するための小規模な更新です。アクセス許可の追加や削除はありません。

 2023 年 12 月 7 日

AmazonSageMakerCanvasAIServicesAccess – 既存ポリシーへの更新

3

bedrock:InvokeModelWithResponseStreambedrock:GetModelCustomizationJobbedrock:StopModelCustomizationJobbedrock:GetCustomModelbedrock:GetProvisionedModelThroughputbedrock:DeleteProvisionedModelThroughputbedrock:TagResourcebedrock:CreateModelCustomizationJobbedrock:CreateProvisionedModelThroughputiam:PassRole のアクセス許可を追加します。

 2023 年 11 月 29 日

AmazonSageMakerCanvasDataPrepFullAccess - 新しいポリシー

1

初期ポリシー

 2023 年 10 月 26 日

AmazonSageMakerCanvasDirectDeployAccess – 新しいポリシー

1

初期ポリシー

 2023 年 10 月 6 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

7

sagemaker:DeleteEndpointConfigsagemaker:DeleteModel、および sagemaker:InvokeEndpoint アクセス許可を追加します。また、特定のリージョンの JumpStart リソースに対する s3:GetObject アクセス許可も追加します。

 2023 年 9 月 29 日

AmazonSageMakerCanvasAIServicesAccess - 既存のポリシーの更新

2

bedrock:InvokeModelbedrock:ListFoundationModels のアクセス許可を追加します。

 2023 年 9 月 29 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

6

rds:DescribeDBInstances アクセス許可を追加します。

 2023 年 8 月 29 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

5

application-autoscaling:PutScalingPolicyapplication-autoscaling:RegisterScalableTarget のアクセス許可を追加します。

 2023 年 7 月 24 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

4

sagemaker:CreateModelPackagesagemaker:CreateModelPackageGroupsagemaker:DescribeModelPackagesagemaker:DescribeModelPackageGroupsagemaker:ListModelPackagessagemaker:ListModelPackageGroups のアクセス許可を追加します。

 2023 年 5 月 4 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

3

sagemaker:CreateAutoMLJobV2sagemaker:DescribeAutoMLJobV2、および glue:SearchTables アクセス許可を追加します。

 2023 年 3 月 24 日

AmazonSageMakerCanvasAIServicesAccess - 新規ポリシー

1

初期ポリシー

 2023 年 3 月 23 日

AmazonSageMakerCanvasFullAccess - 既存ポリシーの更新

2

forecast:DeleteResourceTree アクセス許可を追加します。

 2022 年 12 月 6 日

AmazonSageMakerCanvasFullAccess - 新規ポリシー

1

初期ポリシー

 2022 年 9 月 8 日

AmazonSageMakerCanvasForecastAccess – 新しいポリシー

1

初期ポリシー

 2022 年 8 月 24 日