As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Políticas gerenciadas para a Amazon SageMaker
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço executa um novo recurso, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
Importante
Recomendamos que você use a política mais restrita que permita executar seu caso de uso.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários em sua conta, são específicas da Amazon SageMaker:
-
AmazonSageMakerFullAccess— Concede acesso total à Amazon SageMaker e aos recursos SageMaker geoespaciais e às operações apoiadas. Isso não fornece acesso irrestrito ao Amazon S3, mas é compatível com os buckets e objetos com tagssagemakerespecíficas. Essa política permite que todas as funções do IAM sejam passadas para a Amazon SageMaker, mas só permite que as funções do IAM com “AmazonSageMaker” sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e. -
AmazonSageMakerReadOnly— Concede acesso somente para leitura aos recursos da Amazon SageMaker .
As seguintes políticas AWS gerenciadas podem ser anexadas aos usuários da sua conta, mas não são recomendadas:
-
AdministratorAccess: concede todas as ações para todos os serviços da AWS e para todos os recursos na conta. -
DataScientist: concede uma grande variedade de permissões para cobrir a maioria dos casos de uso (principalmente para análise e inteligência de negócios) encontrados pelos cientistas de dados.
Você pode revisar essas políticas de permissões fazendo login no console do IAM e procurando por elas.
Você também pode criar suas próprias políticas personalizadas do IAM para permitir permissões para SageMaker ações e recursos da Amazon conforme necessário. É possível anexar essas políticas personalizadas aos usuários ou grupos que necessitam delas.
Tópicos
- AWS política gerenciada: AmazonSageMakerFullAccess
- AWS política gerenciada: AmazonSageMakerReadOnly
- AWS políticas gerenciadas para o Amazon SageMaker Canvas
- AWS políticas gerenciadas para o Amazon SageMaker Cluster
- AWS políticas gerenciadas para a Amazon SageMaker Feature Store
- AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon
- AWS Políticas gerenciadas para Amazon SageMaker Ground Truth
- AWS Políticas gerenciadas para governança de SageMaker modelos
- AWS Políticas gerenciadas para registro de modelos
- AWS Políticas gerenciadas para SageMaker notebooks
- AWS Políticas gerenciadas para SageMaker oleodutos
- AWS Políticas gerenciadas para SageMaker projetos e JumpStart
- SageMaker Atualizações nas políticas AWS gerenciadas
AWS política gerenciada: AmazonSageMakerFullAccess
Essa política concede permissões administrativas que permitem ao principal acesso total a todos os recursos SageMaker e operações SageMaker geoespaciais e da Amazon. A política também fornece acesso seleto aos serviços relacionados. Essa política permite que todas as funções do IAM sejam passadas para a Amazon SageMaker, mas só permite que as funções do IAM com “AmazonSageMaker” sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e. Essa política não inclui permissões para criar um SageMaker domínio da Amazon. Para obter informações sobre a política necessária para criar um domínio, consulte SageMaker Pré-requisitos da Amazon.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
application-autoscaling— Permite que os diretores escalem automaticamente um endpoint de inferência SageMaker em tempo real. -
athena— Permite que os diretores consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas a partir de. Amazon Athena -
aws-marketplace— Permite que os diretores visualizem as assinaturas do AWS AI Marketplace. Você precisa disso se quiser acessar o SageMaker software inscrito. AWS Marketplace -
cloudformation— Permite que os diretores obtenham AWS CloudFormation modelos para usar SageMaker JumpStart soluções e pipelines. SageMaker JumpStartcria os recursos necessários para executar soluções end-to-end de aprendizado de máquina vinculadas SageMaker a outros AWS serviços. SageMaker O Pipelines cria novos projetos que são apoiados pelo Service Catalog. -
cloudwatch— Permite que os diretores publiquem CloudWatch métricas, interajam com alarmes e enviem registros para o CloudWatch Logs em sua conta. -
codebuild— Permite que os diretores armazenem AWS CodeBuild artefatos para SageMaker Pipelines e Projetos. -
codecommit— Necessário para AWS CodeCommit integração com instâncias de SageMaker notebooks. -
cognito-idp— Necessário para que o Amazon SageMaker Ground Truth defina força de trabalho e equipes de trabalho privadas. -
ec2— Necessário SageMaker para gerenciar recursos e interfaces de rede do Amazon EC2 quando você especifica uma Amazon VPC para suas SageMaker tarefas, modelos, endpoints e instâncias de notebook. -
ecr— Necessário para extrair e armazenar artefatos do Docker para Amazon SageMaker Studio Classic (imagens personalizadas), treinamento, processamento, inferência em lote e endpoints de inferência. Isso também é necessário para usar seu próprio contêiner SageMaker. Permissões adicionais para SageMaker JumpStart soluções são necessárias para criar e remover imagens personalizadas em nome dos usuários. -
elastic-inference— Permite que os diretores se conectem ao Amazon Elastic Inference para SageMaker usar instâncias de notebook e endpoints. -
elasticfilesystem: permite que as entidades principais acessem o Amazon Elastic File System. Isso é necessário SageMaker para usar fontes de dados no Amazon Elastic File System para treinar modelos de aprendizado de máquina. -
fsx: concede às entidades principais acesso total ao Amazon FSx. Isso é necessário SageMaker para usar fontes de dados no Amazon FSx para treinar modelos de aprendizado de máquina. -
glue— Necessário para o pré-processamento do pipeline de inferência a partir de instâncias do SageMaker notebook. -
groundtruthlabeling: necessário para trabalhos de rotulagem do Ground Truth. O endpointgroundtruthlabelingé acessado pelo console do Ground Truth. -
iam— Necessário dar ao SageMaker console acesso às funções do IAM disponíveis e criar funções vinculadas ao serviço. -
kms— Necessário dar ao SageMaker console acesso às AWS KMS chaves disponíveis e recuperá-las para qualquer AWS KMS alias especificado em trabalhos e endpoints. -
lambda: permite que as entidades principais invoquem e obtenham uma lista de funções do AWS Lambda . -
logs— Necessário para permitir que SageMaker trabalhos e endpoints publiquem fluxos de registros. -
redshift: permite que as entidades principais acessem as credenciais do cluster Amazon Redshift. -
redshift-data: permite que as entidades principais usem dados do Amazon Redshift para executar, descrever e cancelar declarações; obter resultados de declarações; e listar esquemas e tabelas. -
robomaker— Permite que os diretores tenham acesso total para criar, obter descrições e excluir aplicativos e trabalhos de AWS RoboMaker simulação. Isso também é necessário para executar exemplos de aprendizado por reforço em instâncias de cadernos. -
s3, s3express— Permite que os diretores tenham acesso total aos recursos do Amazon S3 e do Amazon S3 Express relacionados, mas não a todos, SageMaker ao Amazon S3 ou ao Amazon S3 Express. -
sagemaker— Permite que os diretores listem tags nos perfis de SageMaker usuário e adicionem tags a SageMaker aplicativos e espaços. Permite acesso somente às SageMaker definições de fluxo do sagemaker: WorkteamType “multidão privada” ou “multidão de fornecedores”. -
sagemakeresagemaker-geospatial— Permite que os diretores tenham acesso somente de leitura a SageMaker domínios e perfis de usuário. -
secretsmanager: concede às entidades principais acesso total ao AWS Secrets Manager. As entidades principais podem criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. Isso também é necessário para instâncias de SageMaker notebook com repositórios de SageMaker código que usam GitHub. -
servicecatalog: permite que as entidades principais usem o Service Catalog. Os diretores podem criar, obter uma lista, atualizar ou encerrar produtos provisionados, como servidores, bancos de dados, sites ou aplicativos implantados usando recursos. AWS Isso é necessário para que a SageMaker JumpStart And Projects encontre e leia os produtos do catálogo de serviços e lance AWS recursos nos usuários. -
sns: permite que as entidades principais visualizem uma lista de tópicos do Amazon SNS. Isso é necessário para endpoints com inferência assíncrona habilitada para notificar os usuários de que sua inferência foi concluída. -
states— Necessário para SageMaker JumpStart que os Pipelines usem um catálogo de serviços para criar recursos de função de etapas. -
tag— Necessário para que SageMaker os pipelines sejam renderizados no Studio Classic. O Studio Classic precisa de recursos marcados com uma chavesagemaker:project-idde tag específica. Isso requer a permissãotag:GetResources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS política gerenciada: AmazonSageMakerReadOnly
Essa política concede acesso somente de leitura à Amazon SageMaker por meio do SDK AWS Management Console .
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
application-autoscaling— Permite que os usuários procurem descrições de endpoints de inferência escaláveis SageMaker em tempo real. -
aws-marketplace— Permite que os usuários visualizem as assinaturas do AWS AI Marketplace. -
cloudwatch— Permite que os usuários recebam CloudWatch alarmes. -
cognito-idp— Necessário para que o Amazon SageMaker Ground Truth busque descrições e listas de funcionários e equipes de trabalho privadas. -
ecr: necessário para extrair e armazenar artefatos do Docker para treinamento e inferência.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas SageMaker desde que esse serviço começou a rastrear essas alterações.
| Política | Version (Versão) | Alteração | Data |
|---|---|---|---|
AmazonSageMakerFullAcesso - Atualização em uma política existente |
26 |
Adicione a permissão |
29 de março de 2024 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
25 |
Adicione |
30 de novembro de 2023 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
24 |
Adicione permissões |
30 de novembro de 2022 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
23 |
Adicionar |
29 de junho de 2022 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
22 |
Adicionar |
1.º de maio de 2022 |
AmazonSageMakerReadSomente - Atualização em uma política existente |
11 |
Adicione permissões |
1º de dezembro de 2021 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
21 |
Adicione |
8 de setembro de 2021 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
20 |
Atualize recursos e permissões de |
15 de julho de 2021 |
AmazonSageMakerReadOnly - Atualização de uma política existente |
10 |
Nova API |
10 de junho de 2021 |
|
SageMaker começou a rastrear as mudanças em suas políticas AWS gerenciadas. |
1º de junho de 2021 |
