AWSAmazon SageMaker の管理ポリシー - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAmazon SageMaker の管理ポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。チームに必要なアクセス許可のみを提供する IAM カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS 管理ポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS管理ポリシーの詳細については、IAM ユーザーガイドAWS管理ポリシーを参照してください。

AWS サービスは、AWS 管理ポリシーを維持および更新します。AWS 管理ポリシーのアクセス許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS 管理ポリシーにアクセス許可が追加されることがあります。この種類の更新プログラムは、ポリシーがアタッチされているすべての ID (ユーザー、グループ、ロール) に影響します。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS 管理ポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破棄されることはありません。

加えて AWS では、複数のサービスにまたがる職務機能のための管理ポリシーもサポートしています。たとえば、ReadOnlyAccess AWS管理ポリシーは、すべてのAWSのサービスとリソースを使用します。あるサービスで新しい機能を立ち上げる場合、AWS は、追加されたオペレーションとリソースに対し、読み取り専用のアクセス許可を設定します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイドのジョブ機能の「AWS 管理ポリシー」を参照してください。

重要

ユースケースを実行できる最も制限されたポリシーを使用することをお勧めします。

以下のようになりますAWSマネージドポリシーは、アカウントのユーザーにアタッチできます。これらは Amazon SageMaker に固有のマネージドポリシーです。

  • AmazonSageMakerFullAccess— Amazon SageMaker リソースおよびサポートされているすべての操作にフルアクセスできます これにより、Amazon S3 の無制限アクセスを提供することはできませんが、特定のsagemakerタグ。このポリシーは、すべての IAM ロールを Amazon SageMaker に渡すことを許可しますが、「AmazonSageMaker」を含む IAM ロールのみをAWS Glue,AWS Step Functions, およびAWSRoboMaker サービス.

  • AmazonSageMakerReadOnly— Amazon SageMaker リソースへの読み取り専用アクセスを許可します。

以下のようになりますAWS管理ポリシーは、アカウントのユーザーにアタッチできますが、お勧めできません。

  • AdministratorAccess— すべてのAWSサービス、およびアカウント内のすべてのリソースに適用されます。

  • DataScientist— データサイエンティストが直面する大多数のユースケース (主に分析やビジネスインテリジェンス) に対応する、幅広いアクセス許可を付与します。

IAM コンソールにサインインしてそれらを検索することで、これらのアクセス許可ポリシーを確認できます。

独自のカスタム IAM ポリシーを作成し、必要に応じて Amazon SageMaker アクションとリソースのためのアクセスを許可することもできます。これらのカスタムポリシーは、それらを必要とする IAM ユーザーまたはグループにアタッチできます。

AmazonSageMakerFullAccess

このポリシーにより、プリンシパルに Amazon SageMaker リソースとオペレーションへのフルアクセスを許可する管理者権限が付与されます。このポリシーは、関連サービスへの選択アクセスも提供します。このポリシーは、すべての IAM ロールを Amazon SageMaker に渡すことを許可しますが、「AmazonSageMaker」を含む IAM ロールのみをAWS Glue,AWS Step Functions, およびAWSRoboMaker サービス.

アクセス権限の詳細

このポリシーには以下のアクセス許可が含まれています。

  • application-autoscaling— プリンシパルで SageMaker リアルタイム推論エンドポイントを自動的にスケーリングできるようにします。

  • athena— プリンシパルが、データカタログ、データベース、テーブルメタデータのリストをAmazon Athena。

  • aws-marketplace— プリンシパルの表示を許可するAWSAI Marketplace の あなたがで購読しているSageMaker ソフトウェアにアクセスしたい場合は、これが必要ですAWS Marketplace。

  • cloudformation— プリンシパルの取得を許可するAWS CloudFormationテンプレートは、SageMaker JumpStart ソリューションとパイプラインを使用するためのものです。SageMaker JumpStart は、SageMaker 他のAWSのサービス。SageMaker パイプラインは、AWS Service Catalog。

  • cloudwatch— プリンシパルが CloudWatch メトリクスの投稿、アラームとのやり取り、およびアカウントの CloudWatch Logs へのログのアップロードを許可します。

  • codebuild— プリンシパルが保存することを許可するAWS CodeBuildSageMaker です。

  • codecommit— に必要なものAWS CodeCommitSageMaker ノートブックインスタンスとの統合。

  • cognito-idp— Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームを定義するために必要です。

  • ec2— SageMaker ジョブ、モデル、エンドポイント、ノートブックインスタンスに Amazon VPC を指定するときに、SageMaker が Amazon EC2 リソースとネットワークインターフェイスを管理するために必要です。

  • ecr— Amazon SageMaker Studio(カスタムイメージ)、トレーニング、処理、バッチ推定、および推論エンドポイントの Docker アーティファクトを取得して保存するために必要です。SageMaker で独自のコンテナを使用する場合にも必要です。ユーザーに代わってカスタム画像を作成および削除するには、SageMaker JumpStart ソリューションの追加権限が必要です。

  • elastic-inference— プリンシパルが SageMaker ノートブックインスタンスおよびエンドポイントを使用するために Amazon Elastic 推論に接続できるようにします。

  • elasticfilesystem— プリンシパルが Amazon Elastic File System へのアクセスを許可します。これは、SageMaker が Amazon Elastic ファイルシステムのデータソースを機械学習モデルのトレーニングに使用するために必要です。

  • fsx— プリンシパルが Amazon FSx へのアクセスを許可します。これは、SageMaker が機械学習モデルのトレーニングに Amazon FSX のデータソースを使用するために必要です。

  • glue— SageMaker ノートブックインスタンス内から推論パイプラインの前処理を行うために必要です。

  • groundtruthlabeling— Ground Truth ラベルジョブのために必要です。-groundtruthlabelingエンドポイントは、Ground Truth コンソールによってアクセスされます。

  • iam— SageMaker コンソールに利用可能な IAM ロールへのアクセス権を付与し、サービスリンクされたロールを作成するために必要です。

  • kms— SageMaker コンソールに利用可能なへのアクセス権を与えるために必要ですAWS KMSキーを取得し、指定したAWS KMSエイリアスをジョブとエンドポイントで使用します。

  • lambda— プリンシパルがAWS Lambda関数。

  • logs— SageMaker ジョブとエンドポイントでログストリームを発行するために必要です。

  • redshift— プリンシパルが Amazon Redshift クラスターの認証情報にアクセスできるようにします。

  • redshift-data— プリンシパルが Amazon Redshift からのデータを使用して、ステートメントの実行、説明、キャンセル、ステートメントの結果の取得、スキーマとテーブルのリストを作成できるようにします。

  • robomaker— プリンシパルに作成、説明の取得、削除のフルアクセスを許可するAWSRobomakerシミュレーションアプリケーションとジョブ. これは、ノートブックのインスタンスで強化学習の例を実行するためにも必要です。

  • s3— プリンシパルは SageMaker に関連する Amazon S3 リソースへのフルアクセスを許可しますが、すべての Amazon S3 にはアクセスできません。

  • secretsmanager— プリンシパルにへのフルアクセスを許可するAWS Secrets Manager。プリンシパルは、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。これは、GitHub を使用する SageMaker コードリポジトリを持つ SageMaker ノートブックインスタンスにも必要です。

  • servicecatalog— プリンシパルの使用を許可するAWS Service Catalog。プリンシパルは、プロビジョニングされた製品 (サーバー、データベース、Web サイト、またはAWSリソースの使用料金を見積もることができます。これは、SageMaker JumpStart とプロジェクトがサービスカタログ製品を見つけて読み取り、AWSユーザーアカウント内のリソース。

  • sns— プリンシパルが Amazon SNS トピックのリストを取得できるようにします。これは、推論が完了したことをユーザーに通知するために非同期推論が有効になっているエンドポイントで必要です。

  • states— SageMaker JumpStart および Pipelines がサービスカタログを使用してステップ関数リソースを作成するために必要です。

  • tag— SageMaker パイプラインが Studio でレンダリングされるために必要です。Studioには、特定のタグが付いたリソースが必要ですsagemaker:project-idtag-key。これには、tag:GetResourcesアクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:*App", "sagemaker:ListApps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] } ] }

AmazonSageMakerReadOnly

このポリシーは、SageMaker への読み取り専用アクセスを付与します。AWS Management Consoleおよび SDK を使用します。

アクセス権限の詳細

このポリシーには以下のアクセス許可が含まれています。

  • application-autoscaling— スケーラブルな SageMaker リアルタイム推論エンドポイントの説明を参照できます。

  • aws-marketplace— ユーザーが表示できるようにするAWSAI Marketplace の

  • cloudwatch— CloudWatch アラームの受信をユーザーに許可します。

  • cognito-idp— Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームの説明やリストを閲覧するのに必要です。

  • ecr-トレーニングと推論用に Docker アーティファクトを読むために必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:BatchGetRecord", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:GetRecord", "sagemaker:Search" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }

SageMaker の更新AWS管理ポリシー

の更新の詳細を表示します。AWS管理ポリシーは、SageMaker サービスがこれらの変更の追跡を開始した以降の分について発生します。このページの変更に関する自動通知については、[] の RSS フィードを購読してください。SageMaker ドキュメント履歴ページで.

変更 説明 日付

AmazonSageMakerFullAccessupdats — 既存のポリシーへの更新。

を追加します。sns:Publish非同期推論が有効なエンドポイントに対するアクセス許可です。

2021 年 8 月 2 日

AmazonSageMakerReadOnlyupdates — 既存のポリシーへの更新

新しい APIBatchGetRecordSageMaker Feature Store に追加されました。

2021 年 6 月 10 日

SageMaker が変更の追跡を開始しました

SageMaker では、SageMaker のAWS管理ポリシーの場合。

2021 年 6 月 1 日