翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon SageMaker AI の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。このタイプの更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。
さらに、 は、複数のサービスにまたがる職務機能の管理ポリシー AWS をサポートします。例えば、 ReadOnlyAccess
AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースに読み取り専用アクセス許可 AWS を追加します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイドのジョブ機能のAWS 管理ポリシーを参照してください。
重要
ユースケースを実行できる、最も制限されたポリシーを使用することをお勧めします。
アカウントのユーザーにアタッチできる以下の AWS マネージドポリシーは、Amazon SageMaker AI に固有のものです。
-
AmazonSageMakerFullAccess
– Amazon SageMaker AI と SageMaker AI の地理空間リソース、およびサポートされているオペレーションへのフルアクセスを許可します。これは Amazon S3 の無制限アクセスを提供していませんが、特定のsagemaker
のタグ付きのバケット/オブジェクトをサポートしています。このポリシーでは、すべての IAM ロールを Amazon SageMaker AI に渡すことができますが、その中にAmazonSageMaker」を含む IAM ロールのみを AWS Glue、 AWS Step Functions、 AWS RoboMaker サービスに渡すことができます。 -
AmazonSageMakerReadOnly
– Amazon SageMaker AI リソースへの読み取り専用アクセスを許可します。
以下の AWS 管理ポリシーは、 アカウントのユーザーにアタッチできますが、お勧めしません。
-
AdministratorAccess
– アカウントのすべての AWS サービスおよびリソースに対するすべてのアクションを許可します。 -
DataScientist
– データサイエンティストが直面する大多数のユースケース (主に分析やビジネスインテリジェンス) に対応する、幅広いアクセス許可を付与します。
これらのアクセス許可ポリシーについては、IAM コンソールにサインインしてそれらを検索することで確認できます。
独自のカスタム IAM ポリシーを作成して、必要に応じて Amazon SageMaker AI アクションとリソースのアクセス許可を許可することもできます。これらのカスタムポリシーは、それらを必要とする ユーザーにアタッチできます。
トピック
- AWS マネージドポリシー: AmazonSageMakerFullAccess
- AWS マネージドポリシー: AmazonSageMakerReadOnly
- AWS Amazon SageMaker Canvas の マネージドポリシー
- AWS Amazon SageMaker Feature Store の マネージドポリシー
- AWS Amazon SageMaker 地理空間の マネージドポリシー
- AWS Amazon SageMaker Ground Truth の管理ポリシー
- AWS Amazon SageMaker HyperPod の マネージドポリシー
- AWS SageMaker AI モデルガバナンスのマネージドポリシー
- AWS モデルレジストリの管理ポリシー
- AWS SageMaker ノートブックの マネージドポリシー
- AWS Amazon SageMaker パートナー AI アプリの マネージドポリシー
- AWS SageMaker Pipelines の管理ポリシー
- AWS SageMaker トレーニングプランの マネージドポリシー
- AWS SageMaker プロジェクトと JumpStart の管理ポリシー
- AWS 管理ポリシーに対する SageMaker AI の更新
AWS マネージドポリシー: AmazonSageMakerFullAccess
このポリシーは、プリンシパルがすべての Amazon SageMaker AI および SageMaker AI 地理空間リソースとオペレーションへのフルアクセスを許可する管理アクセス許可を付与します。このポリシーは、関連サービスへの限定アクセスも提供します。このポリシーでは、すべての IAM ロールを Amazon SageMaker AI に渡すことができますが、そのロールにAmazonSageMaker」が含まれる IAM ロールのみを AWS Glue、 AWS Step Functions、 AWS RoboMaker サービスに渡すことができます。このポリシーには、Amazon SageMaker AI ドメインを作成するアクセス許可は含まれません。ドメインの作成に必要なポリシーの詳細については、「Amazon SageMaker AI の前提条件を満たす」を参照してください。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
application-autoscaling
– プリンシパルが SageMaker AI リアルタイム推論エンドポイントを自動的にスケーリングできるようにします。 -
athena
– プリンシパルがデータカタログ、データベース、テーブルメタデータのリストをクエリできるようにします Amazon Athena。 -
aws-marketplace
– プリンシパルに AWS AI Marketplace サブスクリプションの表示を許可します。これは、 でサブスクライブされている SageMaker AI ソフトウェアにアクセスする場合に必要です AWS Marketplace。 -
cloudformation
– プリンシパルが SageMaker AI JumpStart ソリューションと Pipelines を使用するための AWS CloudFormation テンプレートを取得できるようにします。SageMaker AI JumpStart は、SageMaker AI を他の AWS サービスに結び付けるend-to-endの機械学習ソリューションを実行するために必要なリソースを作成します。SageMaker AI Pipelines は、Service Catalog によってバックアップされる新しいプロジェクトを作成します。 -
cloudwatch
- CloudWatch メトリクスの投稿、アラームの操作、アカウントの CloudWatch Logs へのログのアップロードをプリンシパルに許可します。 -
codebuild
– プリンシパルが SageMaker AI パイプラインとプロジェクトの AWS CodeBuild アーティファクトを保存できるようにします。 -
codecommit
– SageMaker AI ノートブックインスタンスと AWS CodeCommit の統合に必要です。 -
cognito-idp
- Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームを定義するために必要です。 -
ec2
– SageMaker AI ジョブ、モデル、エンドポイント、ノートブックインスタンスに Amazon VPC を指定するときに、SageMaker AI が Amazon EC2 リソースとネットワークインターフェイスを管理するために必要です。 -
ecr
- Amazon SageMaker Studio Classic (カスタムイメージ)、トレーニング、処理、バッチ推論、推論エンドポイントの Docker アーティファクトをプルして保存するために必要です。これは、SageMaker AI で独自のコンテナを使用するためにも必要です。ユーザーに代わってカスタムイメージを作成および削除するには、SageMaker AI JumpStart ソリューションに対する追加のアクセス許可が必要です。 -
elasticfilesystem
- Amazon Elastic File System へのアクセスをプリンシパルに許可します。これは、SageMaker AI が Amazon Elastic File System のデータソースを使用して機械学習モデルをトレーニングするために必要です。 -
fsx
- Amazon FSx へのアクセスをプリンシパルに許可します。これは、SageMaker AI が Amazon FSx のデータソースを使用して機械学習モデルをトレーニングするために必要です。 -
glue
– SageMaker AI ノートブックインスタンス内からの推論パイプラインの事前処理に必要です。 -
groundtruthlabeling
- Ground Truth のラベリングジョブに必要です。groundtruthlabeling
エンドポイントは Ground Truth コンソールでアクセスします。 -
iam
– SageMaker AI コンソールに使用可能な IAM ロールへのアクセス権を付与し、サービスにリンクされたロールを作成するために必要です。 -
kms
– SageMaker AI コンソールに使用可能な AWS KMS キーへのアクセスを許可し、ジョブとエンドポイントで指定された AWS KMS エイリアスに対してキーを取得するために必要です。 -
lambda
- AWS Lambda 関数の呼び出しとリストの取得をプリンシパルに許可します。 -
logs
– SageMaker AI ジョブとエンドポイントがログストリームを発行できるようにするために必要です。 -
redshift
- Amazon Redshift クラスター認証情報へのアクセスをプリンシパルに許可します。 -
redshift-data
- ステートメントの実行、説明、キャンセル、ステートメント結果の取得、スキーマとテーブルの一覧表示を実行するための Amazon Redshift のデータの使用をプリンシパルに許可します。 -
robomaker
– プリンシパルが AWS RoboMaker シミュレーションアプリケーションとジョブを作成、説明の取得、および削除するためのフルアクセスを許可。これは、ノートブックインスタンスで強化学習のサンプルを実行する場合にも必要です。 -
s3, s3express
– プリンシパルが SageMaker AI に関連する Amazon S3 および Amazon S3 Express リソースへのフルアクセスを許可できますが、Amazon S3 または Amazon S3 Express の一部にはアクセスできません。 -
sagemaker
– プリンシパルが SageMaker AI ユーザープロファイルにタグを一覧表示し、SageMaker AI アプリとスペースにタグを追加できるようにします。sagemaker:WorkteamType の「private-crowd」または「vendor-crowd」の SageMaker AI フロー定義にのみアクセスを許可します。 WorkteamType トレーニングプラン機能にアクセスできるすべての AWS リージョンで、SageMaker トレーニングジョブと SageMaker HyperPod クラスターで SageMaker AI トレーニングプランとリザーブドキャパシティーの使用と説明を許可します。 -
sagemaker
およびsagemaker-geospatial
– プリンシパルに SageMaker AI ドメインとユーザープロファイルへの読み取り専用アクセスを許可します。 -
secretsmanager
- AWS Secrets Managerへのフルアクセス権の取得をプリンシパルに許可します。プリンシパルは、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。これは、GitHub を使用する SageMaker AI コードリポジトリを持つ SageMaker AI ノートブックインスタンスにも必要です。 -
servicecatalog
— プリンシパルは、Service Catalog を使用できます。プリンシパルは、 AWS リソースを使用してデプロイされたサーバー、データベース、ウェブサイト、アプリケーションなど、プロビジョニングされた製品を作成、リストの取得、更新、終了できます。これは、SageMaker AI JumpStart と Projects がユーザーでサービスカタログ製品を検索して読み取り、 AWS リソースを起動するために必要です。 -
sns
- Amazon SNS トピックのリストの取得をプリンシパルに許可します。これは、非同期推論が有効になっているエンドポイントで、推論が完了したことをユーザーに通知するために必要です。 -
states
– SageMaker AI JumpStart と Pipelines がサービスカタログを使用してステップ関数リソースを作成するために必要です。 -
tag
– SageMaker AI Pipelines が Studio Classic でレンダリングするために必要です。Studio Classic には特定のsagemaker:project-id
tag-key でタグ付けされたリソースが必要です。これには、tag:GetResources
アクセス許可が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:partner-app/*", "arn:aws:sagemaker:*:*:flow-definition/*", "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowUseOfTrainingPlanResources", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateCluster", "sagemaker:UpdateCluster", "sagemaker:DescribeTrainingPlan" ], "Resource": [ "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS マネージドポリシー: AmazonSageMakerReadOnly
このポリシーは、 AWS Management Console および SDK を通じて Amazon SageMaker AI への読み取り専用アクセスを許可します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
application-autoscaling
– スケーラブルな SageMaker AI リアルタイム推論エンドポイントの説明を参照することをユーザーに許可します。 -
aws-marketplace
– AWS AI Marketplace サブスクリプションの表示をユーザーに許可します。 -
cloudwatch
- CloudWatch アラームの受信をユーザーに許可します。 -
cognito-idp
- Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームの説明とリストを参照するために必要です。 -
ecr
- トレーニングと推論用に Docker アーティファクトを読み取るために必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
AWS 管理ポリシーに対する SageMaker AI の更新
SageMaker AI の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
ポリシー | バージョン | 変更 | 日付 |
---|---|---|---|
AmazonSageMakerFullAccess – 既存ポリシーへの更新 |
27 |
|
2024 年 12 月 4 日 |
AmazonSageMakerFullAccess – 既存ポリシーへの更新 |
26 |
|
2024 年 3 月 29 日 |
AmazonSageMakerFullAccess - 既存ポリシーの更新 |
25 |
|
2023 年 11 月 30 日 |
AmazonSageMakerFullAccess - 既存ポリシーの更新 |
24 |
|
2022 年 11 月 30 日 |
AmazonSageMakerFullAccess - 既存ポリシーの更新 |
23 |
|
2022 年 1 月 29 日 |
AmazonSageMakerFullAccess - 既存ポリシーの更新 |
22 |
|
2022 年 5 月 1 日 |
AmazonSageMakerReadOnly – 既存ポリシーへの更新 |
11 |
|
2021 年 12 月 1 日 |
AmazonSageMakerFullAccess - 既存ポリシーの更新 |
21 |
非同期推論が有効になっているエンドポイントの |
2021 年 9 月 8 日 |
AmazonSageMakerFullAccess - 既存ポリシーの更新 |
20 |
|
2021 年 7 月 15 日 |
AmazonSageMakerReadOnly - 既存ポリシーの更新 |
10 |
SageMaker AI Feature Store に新しい API |
2021 年 6 月 10 日 |
SageMaker AI が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 6 月 1 日 |