AWS SageMaker ノートブックの マネージドポリシー - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS SageMaker ノートブックの マネージドポリシー

これら AWS 管理ポリシーは、 SageMaker ノートブックを使用するために必要なアクセス許可を追加します。ポリシーは で利用できます。 AWS アカウント および は、 SageMaker コンソールから作成された実行ロールによって使用されます。

AWS 管理ポリシー: AmazonSageMakerNotebooksServiceRolePolicy

この AWS 管理ポリシーは、Amazon SageMaker Notebooks を使用するために一般的に必要なアクセス許可を付与します。ポリシーは、Amazon SageMaker Studio Classic にオンボードするときに作成される に追加AWSServiceRoleForAmazonSageMakerNotebooksされます。サービスにリンクしたロールの詳細については、「サービスリンクロール」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • elasticfilesystem — プリンシパルが Amazon Elastic File System (EFS) ファイルシステム、アクセスポイント、マウントターゲットを作成および削除できるようにします。これらは、キー でタグ付けされたものに限定されますManagedByAmazonSageMakerResource。プリンシパルがすべてのEFSファイルシステム、アクセスポイント、マウントターゲットを記述できるようにします。プリンシパルがEFSアクセスポイントとマウントターゲットのタグを作成または上書きできるようにします。

  • ec2 — プリンシパルが Amazon Elastic Compute Cloud (EC2) インスタンスのネットワークインターフェイスとセキュリティグループを作成できるようにします。また、これらのリソースのタグを作成したり上書きしたりすることもプリンシパルに許可します。

  • sso – プリンシパルがマネージドアプリケーションインスタンスを に追加および削除できるようにします AWS IAM Identity Center.

  • sagemaker – プリンシパルがユーザープロファイルと SageMaker スペースを作成および読み取り SageMaker、 SageMaker スペースと SageMaker アプリケーションを削除できるようにします。また、プリンシパルがタグを追加および一覧表示することを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerDeleteApp", "Effect": "Allow", "Action": [ "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*" }, { "Sid": "AllowEFSAccessPointCreation", "Effect": "Allow", "Action": "elasticfilesystem:CreateAccessPoint", "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*", "aws:RequestTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSAccessPointDeletion", "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteAccessPoint" ], "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSCreation", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSMountWithDeletion", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DeleteFileSystem", "elasticfilesystem:DeleteMountTarget" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSDescribe", "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" }, { "Sid": "AllowEFSTagging", "Effect": "Allow", "Action": "elasticfilesystem:TagResource", "Resource": [ "arn:aws:elasticfilesystem:*:*:access-point/*", "arn:aws:elasticfilesystem:*:*:file-system/*" ], "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEC2Tagging", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Sid": "AllowEC2Operations", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" }, { "Sid": "AllowEC2AuthZ", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowIdcOperations", "Effect": "Allow", "Action": [ "sso:CreateManagedApplicationInstance", "sso:DeleteManagedApplicationInstance", "sso:GetManagedApplicationInstance" ], "Resource": "*" }, { "Sid": "AllowSagemakerProfileCreation", "Effect": "Allow", "Action": [ "sagemaker:CreateUserProfile", "sagemaker:DescribeUserProfile" ], "Resource": "*" }, { "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:DescribeSpace", "sagemaker:DeleteSpace", "sagemaker:ListTags" ], "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*" }, { "Sid": "AllowSagemakerAddTagsForAppManagedSpaces", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*", "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } } ] }

Amazon による SageMaker Notebooks 管理ポリシー SageMaker の更新

の更新に関する詳細を表示する AWS Amazon の マネージドポリシーは、このサービスがこれらの変更の追跡を開始 SageMaker してからです。

ポリシー Version 変更 日付

AmazonSageMakerNotebooksServiceRolePolicy – 既存ポリシーへの更新

9

sagemaker:DeleteApp アクセス許可を追加します。

2024 年 7 月 24 日

AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新

8

sagemaker:CreateSpacesagemaker:DescribeSpacesagemaker:DeleteSpacesagemaker:ListTagssagemaker:AddTags アクセス許可を追加します。

2024 年 5 月 22 日

AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新

7

elasticfilesystem:TagResource アクセス許可を追加します。

2023 年 3 月 9 日

AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新

6

elasticfilesystem:CreateAccessPointelasticfilesystem:DeleteAccessPoint、および elasticfilesystem:DescribeAccessPoints アクセス許可を追加します。

2023 年 1 月 12 日

SageMaker が の変更の追跡を開始しました AWS マネージドポリシー。

2021 年 6 月 1 日