AWS Amazon SageMaker Ground Truth에 대한 관리형 정책

이러한 AWS 관리형 정책은 SageMaker AI Ground Truth를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.

AWS 관리형 정책: AmazonSageMakerGroundTruthExecution

이 AWS 관리형 정책은 SageMaker AI Ground Truth를 사용하는 데 일반적으로 필요한 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• lambda - 보안 주체가 이름에 "sagemaker" (case-insensitive), "GtRecipe" 또는 "LabelingFunction"이 포함된 Lambda 함수를 간접 호출할 수 있도록 허용합니다.

• s3 - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 대소문자를 구분하지 않고 이름에 "groundtruth" 또는 "sagemaker"가 포함되거나 “SageMaker” 태그가 지정된 객체로 제한됩니다.

• cloudwatch - 보안 주체가 CloudWatch 지표를 게시할 수 있도록 허용합니다.

• logs - 보안 주체가 로그 스트림을 생성 및 액세스하고 로그 이벤트를 게시할 수 있도록 허용합니다.

• sqs - 보안 주체가 Amazon SQS 대기열을 생성하고 Amazon SQS 메시지를 보내고 받을 수 있도록 허용합니다. 이러한 권한은 이름에 “GroundTruth”가 포함된 대기열로 제한됩니다.

• sns - 보안 주체가 대소문자를 구분하지 않고 이름에 "groundtruth" 또는 "sagemaker"가 포함된 Amazon SNS 주제를 구독하고 메시지를 게시할 수 있도록 허용합니다.

• ec2 - 보안 주체가 VPC 엔드포인트 서비스 이름에 “sagemaker-task-resources” 또는 “labeling”이 포함된 Amazon VPC 엔드포인트를 생성, 설명 및 삭제할 수 있도록 허용합니다.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomLabelingJobs",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*GtRecipe*",
                "arn:aws:lambda:*:*:function:*LabelingFunction*",
                "arn:aws:lambda:*:*:function:*SageMaker*",
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*Sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*GroundTruth*",
                "arn:aws:s3:::*Groundtruth*",
                "arn:aws:s3:::*groundtruth*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:*:*:*GroundTruth*",
                "arn:aws:sns:*:*:*Groundtruth*",
                "arn:aws:sns:*:*:*groundTruth*",
                "arn:aws:sns:*:*:*groundtruth*",
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sageMaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:*:*:*GroundTruth*",
                "arn:aws:sns:*:*:*Groundtruth*",
                "arn:aws:sns:*:*:*groundTruth*",
                "arn:aws:sns:*:*:*groundtruth*",
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sageMaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WorkforceVPC",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeVpcEndpoints",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ec2:VpceServiceName": [
                        "*sagemaker-task-resources*",
                        "aws.sagemaker*labeling*"
                    ]
                }
            }
        }
    ]
}

Amazon SageMaker SageMaker AI 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI Ground Truth의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.

정책	버전	변경 사항	날짜
AmazonSageMakerGroundTruthExecution - 기존 정책에 대한 업데이트	3	ec2:CreateVpcEndpoint, ec2:DescribeVpcEndpoints및 ec2:DeleteVpcEndpoints권한 추가.	2022년 4월 29일
AmazonSageMakerGroundTruthExecution - 기존 정책에 대한 업데이트	2	sqs:SendMessageBatch 권한을 제거합니다.	2022년 4월 11일
AmazonSageMakerGroundTruthExecution - 새 정책	1	초기 정책	2020년 7월 20일