기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 아마존 SageMaker 캔버스의 관리형 정책
다음과 같습니다. AWS 관리형 정책은 Amazon SageMaker Canvas를 사용하는 데 필요한 권한을 추가합니다. 정책은 다음에서 확인할 수 있습니다. AWS 계정과 SageMaker 콘솔에서 생성된 실행 역할에 사용됩니다.
주제
- AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
- AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
- AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
- AWS 관리형 정책: AmazonSageMakerCanvas AIServicesAccess
- AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
- AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
- AWS 관리형 정책: AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
- 아마존, 아마존 SageMaker 캔버스 매니지드 정책 SageMaker 업데이트
AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
이 정책은 다음을 통해 Amazon SageMaker Canvas에 대한 전체 액세스를 허용하는 권한을 부여합니다. AWS Management Console 그리고SDK. 이 정책은 또한 관련 서비스 [예: Amazon Simple Storage Service (Amazon S3))) 에 대한 선택적 액세스를 제공합니다. AWS Identity and Access Management (IAM), 아마존 가상 사설 클라우드 (아마존VPC), 아마존 엘라스틱 컨테이너 레지스트리 (아마존ECR), 아마존 CloudWatch 로그, 아마존 Redshift, AWS Secrets Manager, 아마존 SageMaker 오토파일럿, SageMaker 모델 레지스트리, 아마존 예측].
이 정책은 고객이 SageMaker Canvas의 모든 기능을 실험하고 사용해 볼 수 있도록 돕기 위한 것입니다. 보다 세밀한 제어를 위해 고객이 프로덕션 워크로드로 이동할 때 자체적으로 범위가 축소된 버전을 빌드하는 것이 좋습니다. 자세한 내용은 정책 유형: IAM정책 유형: 사용 방법 및 시기를
권한 세부 정보
이것은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
sagemaker— 주도자가 “캔버스”, “캔버스” 또는 “ SageMaker모델 컴파일-”이 ARN 포함된 리소스에서 모델을 만들고 호스팅할 수 있습니다. 또한 사용자는 SageMaker 캔버스 모델을 동일한 모델 레지스트리에 등록할 수 있습니다. SageMaker AWS 계정. 또한 교장이 SageMaker 교육, 변환 및 AutoML 작업을 생성하고 관리할 수 있습니다. -
application-autoscaling— 주도자가 추론 엔드포인트를 자동으로 확장할 수 있습니다. SageMaker -
athena— 주도자가 Amazon Athena의 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리하고 카탈로그의 테이블에 액세스할 수 있습니다. -
cloudwatch— 보안 주체가 Amazon CloudWatch 경보를 생성하고 관리할 수 있습니다. -
ec2— 보안 주체가 Amazon VPC 엔드포인트를 생성할 수 있습니다. -
ecr- 보안 주체가 컨테이너 이미지에 대한 정보를 가져올 수 있도록 허용합니다. -
emr-serverless— 주도자가 Amazon EMR Serverless 애플리케이션 및 작업 실행을 생성하고 관리할 수 있습니다. 또한 보안 주체가 Canvas 리소스에 태그를 지정할 수 있습니다. SageMaker -
forecast- 보안 주체가 Amazon Forecast를 사용할 수 있도록 허용합니다. -
glue— 주도자가 테이블, 데이터베이스 및 파티션을 검색할 수 있도록 합니다. AWS Glue 카탈로그. -
iam— 보안 주체가 Amazon SageMaker, Amazon Forecast 및 Amazon 서버리스에 IAM 역할을 넘길 수 있습니다. EMR 또한 보안 주체가 서비스 연결 역할을 생성할 수 있습니다. -
kms— 주도자가 문서를 읽을 수 있도록 허용합니다. AWS KMS 태그가 지정된 키.Source:SageMakerCanvas -
logs- 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다. -
quicksight— 보안 주체가 Amazon 계정의 네임스페이스를 나열할 수 있습니다. QuickSight -
rds— 보안 주체가 프로비저닝된 Amazon 인스턴스에 대한 정보를 반환할 수 있습니다. RDS -
redshift- 보안 주체가 모든 Amazon Redshift 클러스터의 “sagemaker_access*” dbuser에 대한 자격 증명을 얻을 수 있도록 허용합니다(해당 사용자가 있는 경우). -
redshift-data— 보안 주체가 Amazon Redshift 데이터를 사용하여 Amazon Redshift에서 쿼리를 실행할 수 있습니다. API 이렇게 하면 Redshift 데이터 APIs 자체에만 액세스할 수 있으며 Amazon Redshift 클러스터에 직접 액세스할 수는 없습니다. 자세한 내용은 Amazon Redshift 데이터 사용을 참조하십시오. API -
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 "SageMaker“, “세이지메이커” 또는 “세이지메이커”가 포함된 객체로 제한됩니다. 또한 보안 주체는 특정 지역에서 “jumpstart-cache-prod-”로 ARN 시작하는 Amazon S3 버킷에서 객체를 검색할 수 있습니다. -
secretsmanager- 보안 주체가 Secrets Manager를 사용하여 고객 자격 증명을 저장하여 Snowflake 데이터베이스에 연결할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
이 정책은 Amazon SageMaker Canvas의 데이터 준비 기능에 대한 전체 액세스를 허용하는 권한을 부여합니다. 또한 이 정책은 데이터 준비 기능과 통합되는 서비스에 대해 최소 권한 권한을 제공합니다 [예: Amazon Simple Storage Service (Amazon S3)), AWS Identity and Access Management (IAM), 아마존EMR, 아마존 EventBridge, 아마존 Redshift, AWS Key Management Service (AWS KMS) 및 AWS Secrets Manager].
권한 세부 정보
이것은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
sagemaker— 주도자가 처리 작업, 교육 작업, 추론 파이프라인, AutoML 작업 및 기능 그룹에 액세스할 수 있습니다. -
athena— 보안 주체가 Amazon Athena의 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있습니다. -
elasticmapreduce— 보안 주체가 Amazon EMR 클러스터를 읽고 나열할 수 있습니다. -
emr-serverless— 주도자가 Amazon EMR Serverless 애플리케이션 및 작업 실행을 생성하고 관리할 수 있습니다. 또한 보안 주체가 Canvas 리소스에 태그를 지정할 수 있습니다. SageMaker -
events— 주도자가 예약된 작업에 대한 Amazon EventBridge 규칙을 만들고, 읽고, 업데이트하고, 대상을 추가할 수 있습니다. -
glue— 주체가 데이터베이스의 테이블을 가져오고 검색할 수 있습니다. AWS Glue 카탈로그. -
iam— 보안 주체가 Amazon 및 Amazon SageMaker 서버리스에 IAM 역할을 넘길 수 있습니다. EventBridge EMR 또한 보안 주체가 서비스 연결 역할을 생성할 수 있습니다. -
kms— 주도자가 검색할 수 있습니다. AWS KMS 작업 및 엔드포인트에 저장된 별칭 및 관련 키에 액세스할 수 있습니다. KMS -
logs- 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다. -
redshift— 보안 주체가 Amazon Redshift 데이터베이스에 액세스하기 위한 자격 증명을 얻을 수 있습니다. -
redshift-data— 보안 주체가 Amazon Redshift 쿼리를 실행, 취소, 설명, 나열 및 가져올 수 있습니다. 또한 보안 주체가 Amazon Redshift 스키마와 테이블을 나열할 수 있도록 허용합니다. -
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 "SageMaker“, “Sagemaker” 또는 “sagemaker”가 포함되거나 대소문자를 구분하지 않고 "“태그가 지정된 객체로 제한됩니다. SageMaker -
secretsmanager— 보안 주체가 Secrets Manager를 사용하여 고객 데이터베이스 자격 증명을 저장하고 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
이 정책은 Amazon SageMaker Canvas가 Amazon SageMaker 엔드포인트를 생성하고 관리하는 데 필요한 권한을 부여합니다.
권한 세부 정보
이것은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
sagemaker— 보안 주체가 “Canvas” 또는 “canvas”로 시작하는 ARN 리소스 이름을 사용하여 SageMaker 엔드포인트를 생성하고 관리할 수 있습니다. -
cloudwatch— 보안 주체가 Amazon CloudWatch 메트릭 데이터를 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS 관리형 정책: AmazonSageMakerCanvas AIServicesAccess
이 정책은 아마존 SageMaker 캔버스에 아마존 텍스트랙트, 아마존 Rekognition, 아마존 Comprehend 및 아마존 베드록을 사용할 수 있는 권한을 부여합니다.
권한 세부 정보
이 내용은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
textract- 보안 주체가 Amazon Textract를 사용하여 이미지 내에서 문서, 비용 및 보안 인증을 탐지할 수 있도록 허용합니다. -
rekognition- 보안 주체가 Amazon Rekognition을 사용하여 이미지 내의 레이블과 텍스트를 감지할 수 있도록 허용합니다. -
comprehend— 주체가 Amazon Comprehend를 사용하여 텍스트 문서 내에서 감정과 주요 언어, 이름이 지정되고 개인 식별이 가능한 정보 PII () 항목을 탐지할 수 있습니다. -
bedrock- 보안 주체가 Amazon Bedrock을 사용하여 파운데이션 모델을 나열하고 호출할 수 있도록 허용합니다. -
iam— 보안 주체가 Amazon Bedrock에 IAM 역할을 넘길 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
이 정책은 Amazon Bedrock과 함께 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
권한 세부 정보
이것은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
s3— 보안 주체가 “Sagemaker-*/Canvas” 디렉터리의 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
이 정책은 Amazon Forecast와 함께 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
권한 세부 정보
이것은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름이 “sagemaker-”로 시작하는 객체로 제한됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS 관리형 정책: AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
이 정책은 Amazon EMR 서버리스에 다음과 같은 권한을 부여합니다. AWS Amazon SageMaker Canvas에서 대용량 데이터 처리를 위해 사용하는 Amazon S3와 같은 서비스
권한 세부 정보
이것은 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 개체는 이름에 "SageMaker" 또는 “sagemaker”가 포함되거나 대소문자를 구분하지 않고 "SageMaker“태그가 지정된 개체로 제한됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
아마존, 아마존 SageMaker 캔버스 매니지드 정책 SageMaker 업데이트
업데이트에 대한 세부 정보 보기 AWS 이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 SageMaker Canvas에 대한 관리형 정책.
| 정책 | 버전 | 변경 사항 | 날짜 |
|---|---|---|---|
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
4 |
|
2024년 8월 16일 |
|
AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 |
11 |
|
2024년 8월 15일 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy - 새 정책 |
1 |
초기 정책 |
2024년 7월 26일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
3 |
|
2024년 7월 18일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
10 |
|
2024년 7월 9일 |
1 |
초기 정책 |
2024년 2월 2일 | |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
9 |
|
2024년 1월 24일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
8 |
|
2023년 12월 8일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
2 |
이전 정책인 버전 1의 의도를 적용하기 위한 소규모 업데이트. 권한이 추가되거나 삭제되지 않았습니다. |
2023년 12월 7일 |
|
AmazonSageMakerCanvasAIServicesAccess - 기존 정책에 대한 업데이트 |
3 |
|
2023년 11월 29일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 새 정책 |
1 |
초기 정책 |
2023년 10월 26일 |
1 |
초기 정책 |
2023년 10월 6일 | |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
7 |
|
2023년 9월 29일 |
|
AmazonSageMakerCanvasAIServicesAccess - 기존 정책에 대한 업데이트 |
2 |
|
2023년 9월 29일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
6 |
|
2023년 8월 29일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
5 |
|
2023년 7월 24일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
4 |
|
2023년 5월 4일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
3 |
|
2023년 3월 24일 |
|
AmazonSageMakerCanvasAIServicesAccess- 새 정책 |
1 |
초기 정책 |
2023년 3월 23일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
2 |
|
2022년 12월 6일 |
AmazonSageMakerCanvasFullAccess - 새 정책 |
1 |
초기 정책 |
2022년 9월 8일 |
1 |
초기 정책 |
2022년 8월 24일 |
