AWS Amazon용 관리형 정책 SageMaker - Amazon SageMaker

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Amazon용 관리형 정책 SageMaker

사용자, 그룹 및 역할에 권한을 추가하려면 직접 정책을 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 필요한 권한만 팀에 제공하는 IAM 고객 관리형 정책을 생성하는 데는 시간과 전문성이 필요합니다. 빠르게 시작하려면 관리 AWS 형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책의 권한은 변경할 수 없습니다. 서비스는 관리 AWS 형 정책에 새로운 기능을 지원하는 추가 권한을 가끔 추가합니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새 기능이 시작되거나 새 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 중단되지 않습니다.

또한 여러 서비스에 걸쳐 있는 작업 기능에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스에서 새 기능을 시작하면 AWS (이)가 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 작업 함수 정책의 목록 및 설명은 IAM 사용 설명서AWS 작업 함수에 대한 관리형 정책을 참조하세요.

중요

사용 사례를 수행할 수 있는 가장 제한된 정책을 사용하는 것이 좋습니다.

계정의 사용자에게 연결할 수 있는 다음과 같은 AWS 관리형 정책은 Amazon 에만 적용됩니다 SageMaker.

  • AmazonSageMakerFullAccess - Amazon SageMaker 및 SageMaker 지리 공간 리소스와 지원되는 작업에 대한 전체 액세스 권한을 부여합니다. 제한 없는 Amazon S3 액세스를 제공하지만 특정 sagemaker태그가 포함된 버킷 및 객체를 지원합니다. 이 정책은 모든 IAM 역할을 Amazon 에 전달할 수 있지만 SageMaker'AmazonSageMaker'에 있는 IAM 역할만 AWS Glue AWS Step Functions, 및 AWS RoboMaker 서비스에 전달할 수 있습니다.

  • AmazonSageMakerReadOnly – Amazon SageMaker 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.

다음 AWS 관리형 정책은 계정의 사용자에게 연결할 수 있지만 권장되지 않습니다.

  • AdministratorAccess - 모든 AWS 서비스 및 계정 내 모든 리소스에 대한 모든 작업을 허용합니다.

  • DataScientist – 데이터 사이언티스트가 마주하는 대부분의 사용 사례(주로 분석 및 비즈니스 인텔리전스)를 처리하는 폭넓은 권한을 부여합니다.

IAM 콘솔에 로그인하고 검색하여 이러한 권한 정책을 검토할 수 있습니다.

필요에 따라 Amazon SageMaker 작업 및 리소스에 대한 권한을 허용하는 사용자 지정 IAM 정책을 생성할 수도 있습니다. 정책이 필요한 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.

AWS 관리형 정책: AmazonSageMakerFullAccess

이 정책은 보안 주체가 모든 Amazon SageMaker 및 SageMaker 지리 공간 리소스 및 작업에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 또한 이 정책은 관련 서비스에 대한 선택적 액세스를 제공합니다. 이 정책은 모든 IAM 역할을 Amazon 에 전달할 수 있지만 SageMaker'AmazonSageMaker'에 있는 IAM 역할만 AWS Glue AWS Step Functions, 및 AWS RoboMaker 서비스에 전달할 수 있도록 허용합니다. 이 정책에는 Amazon SageMaker 도메인을 생성할 수 있는 권한이 포함되지 않습니다. 도메인을 생성하는 데 필요한 정책에 대한 자세한 내용은 Amazon SageMaker 사전 조건 완료섹션을 참조하세요.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • application-autoscaling - 보안 주체가 SageMaker 실시간 추론 엔드포인트를 자동으로 확장할 수 있습니다.

  • athena – 보안 주체가 에서 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있습니다 Amazon Athena.

  • aws-marketplace – 보안 주체가 AWS AI Marketplace 구독을 볼 수 있도록 허용합니다. 에서 구독한 소프트웨어에 액세스하려면 SageMaker 이 정보가 필요합니다 AWS Marketplace.

  • cloudformation - 보안 주체가 SageMaker JumpStart 솔루션 및 파이프라인을 사용하기 위한 AWS CloudFormation 템플릿을 가져올 SageMaker 수 있습니다. SageMaker JumpStart 는 다른 AWS 서비스와 연결된 기계 학습 솔루션을 실행하는 end-to-end 데 필요한 리소스를 생성합니다. SageMaker 파이프라인은 서비스 카탈로그에서 지원하는 새 프로젝트를 생성합니다.

  • cloudwatch - 보안 주체가 CloudWatch 지표를 게시하고, 경보와 상호 작용하고, 로그를 계정의 CloudWatch 로그에 업로드할 수 있습니다.

  • codebuild - 보안 주체가 SageMaker 파이프라인 및 프로젝트에 대한 아티팩트를 저장할 AWS CodeBuild 수 있도록 허용합니다.

  • codecommit - 노트북 인스턴스와 AWS CodeCommit SageMaker 통합하는 데 필요합니다.

  • cognito-idp - Amazon SageMaker Ground Truth가 프라이빗 인력 및 작업 팀을 정의하는 데 필요합니다.

  • ec2 - SageMaker 작업, 모델, 엔드포인트 및 노트북 인스턴스 SageMaker 에 VPC Amazon을 지정할 때 가 Amazon EC2 리소스 및 네트워크 인터페이스를 관리하는 데 필요합니다.

  • ecr - Amazon SageMaker Studio Classic(사용자 지정 이미지), 훈련, 처리, 배치 추론 및 추론 엔드포인트에 대한 Docker 아티팩트를 가져오고 저장하는 데 필요합니다. 이는 에서 자체 컨테이너를 사용하는 데도 필요합니다 SageMaker. 사용자를 대신하여 사용자 지정 이미지를 생성하고 제거하려면 SageMaker JumpStart 솔루션에 대한 추가 권한이 필요합니다.

  • elasticfilesystem - 보안 주체가 Amazon Elastic File System에 액세스할 수 있도록 허용합니다. 이는 기계 학습 모델을 훈련 SageMaker 하기 위해 Amazon Elastic File System의 데이터 소스를 사용하는 데 필요합니다.

  • fsx - 보안 주체가 Amazon 에 액세스할 수 있도록 허용합니다FSx. 이는 가 기계 학습 모델을 훈련 SageMaker 하기 위해 Amazon의 데이터 소스를 사용하는 FSx 데 필요합니다.

  • glue - SageMaker 노트북 인스턴스 내에서 추론 파이프라인 전처리에 필요합니다.

  • groundtruthlabeling - Ground Truth 레이블 지정 작업에 필요합니다. groundtruthlabeling 엔드포인트는 Ground Truth 콘솔을 통해 액세스할 수 있습니다.

  • iam - SageMaker 콘솔에 사용 가능한 IAM 역할에 대한 액세스 권한을 부여하고 서비스 연결 역할을 생성해야 합니다.

  • kms - SageMaker 콘솔에 사용 가능한 AWS KMS 키에 대한 액세스 권한을 부여하고 작업 및 엔드포인트에서 지정된 AWS KMS 별칭에 대해 해당 키를 검색해야 합니다.

  • lambda - 보안 주체가 AWS Lambda 함수 목록을 간접 호출하고 가져올 수 있습니다.

  • logs - SageMaker 작업 및 엔드포인트가 로그 스트림을 게시하도록 허용해야 합니다.

  • redshift - 보안 주체가 Amazon Redshift 클러스터 자격 증명에 액세스할 수 있도록 허용합니다.

  • redshift-data - 보안 주체가 Amazon Redshift의 데이터를 사용하여 명령문을 실행, 설명 및 취소하고, 명령문 결과를 가져오고, 스키마와 테이블을 나열할 수 있도록 허용합니다.

  • robomaker - 보안 주체가 AWS RoboMaker 시뮬레이션 애플리케이션 및 작업을 생성, 설명 가져오기 및 삭제할 수 있는 전체 액세스 권한을 갖도록 허용합니다. 이는 노트북 인스턴스에서 보강 학습 예제를 실행하는 데도 필요합니다.

  • s3, s3express - 보안 주체가 와 관련된 Amazon S3 및 Amazon S3 Express 리소스에 대한 전체 액세스 권한을 가지도록 허용 SageMaker하지만 모든 Amazon S3 또는 Amazon S3 Express에 대한 액세스 권한은 갖지 않습니다.

  • sagemaker - 보안 주체가 SageMaker 사용자 프로필에 태그를 나열하고 SageMaker 앱 및 공간에 태그를 추가할 수 있습니다. “private-crowdWorkteamType ” 또는 “vendor-crowd”의 sagemaker의 SageMaker 흐름 정의에만 액세스할 수 있습니다.

  • sagemakersagemaker-geospatial - 보안 주체가 SageMaker 도메인 및 사용자 프로필에 대한 읽기 전용 액세스를 허용합니다.

  • secretsmanager – 보안 주체에게 AWS Secrets Manager에 대한 전체 액세스 권한을 허용합니다. 보안 주체는 데이터베이스와 다른 서비스의 자격 증명을 안전하게 암호화, 저장 및 검색할 수 있습니다. 이는 를 사용하는 SageMaker 코드 리포지토리가 있는 SageMaker 노트북 인스턴스에도 필요합니다 GitHub.

  • servicecatalog - 보안 주체가 Service Catalog를 사용할 수 있도록 허용합니다. 보안 주체는 AWS 리소스를 사용하여 배포된 서버, 데이터베이스, 웹 사이트 또는 애플리케이션과 같은 프로비저닝된 제품을 생성, 목록 가져오기, 업데이트 또는 종료할 수 있습니다. 이는 SageMaker JumpStart 및 프로젝트가 서비스 카탈로그 제품을 찾아서 읽고 사용자에서 AWS 리소스를 시작하는 데 필요합니다.

  • sns - 보안 주체가 Amazon SNS 주제 목록을 가져올 수 있도록 허용합니다. 이는 사용자에게 추론이 완료되었음을 알리기 위해 비동기 추론이 활성화된 엔드포인트에 필요합니다.

  • states - SageMaker JumpStart 및 파이프라인이 서비스 카탈로그를 사용하여 단계 함수 리소스를 생성하는 데 필요합니다.

  • tag - SageMaker 파이프라인이 Studio Classic에서 렌더링하는 데 필요합니다. Studio Classic에는 특정 sagemaker:project-id 태그 키로 태그가 지정된 리소스가 필요합니다. 이를 위해서는 tag:GetResources권한이 필요합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }

AWS 관리형 정책: AmazonSageMakerReadOnly

이 정책은 AWS Management Console 및 를 SageMaker 통해 Amazon에 대한 읽기 전용 액세스 권한을 부여합니다SDK.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • application-autoscaling - 사용자가 확장 가능한 SageMaker 실시간 추론 엔드포인트에 대한 설명을 찾아볼 수 있습니다.

  • aws-marketplace - 사용자가 AWS AI Marketplace 구독을 볼 수 있도록 허용합니다.

  • cloudwatch - 사용자가 CloudWatch 경보를 수신할 수 있도록 허용합니다.

  • cognito-idp - Amazon SageMaker Ground Truth가 프라이빗 워크포스 및 작업 팀의 설명과 목록을 검색하는 데 필요합니다.

  • ecr - 훈련 및 추론을 위한 도커 아티팩트를 가져오고 저장하는 데 필요합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }

SageMaker AWS 관리형 정책 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 SageMaker 이후 에 대한 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.

정책 버전 변경 사항 날짜

AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트

26

sagemaker:AddTags 권한을 추가합니다.

2024년 3월 29일

AmazonSageMakerFullAccess - 기존 정책 업데이트

25

sagemaker:CreateApp, sagemaker:DescribeApp, , sagemaker:DeleteApp, sagemaker:CreateSpace, sagemaker:UpdateSpacesagemaker:DeleteSpace, s3express:CreateSessions3express:CreateBucket, 및 s3express:ListAllMyDirectoryBuckets 권한을 추가합니다.

2023년 11월 30일

AmazonSageMakerFullAccess - 기존 정책 업데이트

24

sagemaker-geospatial:*, sagemaker:AddTags, sagemaker-ListTags, sagemaker-DescribeSpacesagemaker:ListSpaces권한을 추가합니다.

2022년 11월 30일

AmazonSageMakerFullAccess - 기존 정책 업데이트

23

glue:UpdateTable를 추가합니다.

2022년 6월 29일

AmazonSageMakerFullAccess - 기존 정책 업데이트

22

cloudformation:ListStackResources를 추가합니다.

2022년 5월 1일

AmazonSageMakerReadOnly - 기존 정책에 대한 업데이트

11

sagemaker:QueryLineage, sagemaker:GetLineageGroupPolicy, sagemaker:BatchDescribeModelPackagesagemaker:GetModelPackageGroupPolicy권한을 추가합니다.

2021년 12월 1일

AmazonSageMakerFullAccess - 기존 정책 업데이트

21

비동기 추론이 활성화된 엔드포인트에 대한 sns:Publish권한을 추가합니다.

2021년 9월 8일

AmazonSageMakerFullAccess - 기존 정책 업데이트

20

iam:PassRole 리소스 및 권한을 업데이트합니다.

2021년 7월 15일

AmazonSageMakerReadOnly - 기존 정책 업데이트

10

SageMaker 특성 저장소에 대한 새 가 API BatchGetRecord 추가되었습니다.

2021년 6월 10일

SageMaker 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

2021년 6월 1일