Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon SageMaker Canvas
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von Amazon SageMaker Canvas erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker Konsole erstellt wurden.
Themen
- AWS verwaltete Richtlinie: AmazonSageMakerCanvasFullAccess
- AWS verwaltete Richtlinie: AmazonSageMakerCanvasDataPrepFullAccess
- AWS verwaltete Richtlinie: AmazonSageMakerCanvasDirectDeployAccess
- AWS verwaltete Richtlinie: AmazonSageMakerCanvas AIServicesAccess
- AWS verwaltete Richtlinie: AmazonSageMakerCanvasBedrockAccess
- AWS verwaltete Richtlinie: AmazonSageMakerCanvasForecastAccess
- AWS verwaltete Richtlinie: AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
- Amazon SageMaker aktualisiert die verwalteten Richtlinien von Amazon SageMaker Canvas
AWS verwaltete Richtlinie: AmazonSageMakerCanvasFullAccess
Diese Richtlinie gewährt Berechtigungen, die den vollen Zugriff auf Amazon SageMaker Canvas über AWS Management Console und ermöglichenSDK. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste [z. B. Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (AmazonVPC), Amazon Elastic Container Registry (AmazonECR), Amazon CloudWatch Logs, Amazon Redshift, Amazon SageMaker Autopilot AWS Secrets Manager, SageMaker Model Registry und Amazon Forecast].
Diese Richtlinie soll Kunden dabei helfen, mit allen Funktionen von Canvas zu experimentieren und loszulegen. SageMaker Für eine genauere Kontrolle empfehlen wir unseren Kunden, ihre eigenen Versionen mit eingeschränktem Umfang zu erstellen, wenn sie zu Produktions-Workloads übergehen. Weitere Informationen finden Sie unter IAMRichtlinientypen: Wie und wann werden sie verwendet
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
sagemaker— Ermöglicht Prinzipalen das Erstellen und Hosten von SageMaker Modellen auf Ressourcen, die „Canvas“, „Canvas“ oder „Model-Compilation-“ ARN enthalten. Darüber hinaus können Benutzer ihr SageMaker Canvas-Modell über dasselbe Konto bei SageMaker Model Registry registrieren. AWS Außerdem können Schulleiter SageMaker Schulungs-, Transformations- und AutoML-Jobs erstellen und verwalten. -
application-autoscaling— Ermöglicht Prinzipalen die automatische Skalierung eines SageMaker Inferenzendpunkts. -
athena— Ermöglicht Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten von Amazon Athena abzufragen und auf die Tabellen in den Katalogen zuzugreifen. -
cloudwatch— Ermöglicht es Prinzipalen, CloudWatch Amazon-Alarme zu erstellen und zu verwalten. -
ec2— Ermöglicht Prinzipalen das Erstellen von VPC Amazon-Endpunkten. -
ecr– Ermöglicht es Prinzipalen, Informationen über ein Container-Image abzurufen. -
emr-serverless— Ermöglicht Prinzipalen die Erstellung und Verwaltung von Amazon EMR Serverless-Anwendungen und Auftragsausführungen. Ermöglicht es Prinzipalen auch, Canvas-Ressourcen zu taggen SageMaker . -
forecast– Ermöglicht Prinzipalen die Nutzung von Amazon Forecast. -
glue— Ermöglicht Prinzipalen das Abrufen der Tabellen, Datenbanken und Partitionen im AWS Glue Katalog. -
iam— Ermöglicht Principals, eine IAM Rolle an Amazon SageMaker, Amazon Forecast und Amazon EMR Serverless zu übergeben. Ermöglicht es Prinzipalen auch, eine dienstbezogene Rolle zu erstellen. -
kms— Ermöglicht Prinzipalen das Lesen eines AWS KMS Schlüssels, der mit gekennzeichnet ist.Source:SageMakerCanvas -
logs– Ermöglicht Schulleitern die Veröffentlichung von Protokollen von Trainingsaufträgen und Endpunkten. -
quicksight— Ermöglicht Principals, die Namespaces im Amazon-Konto aufzulisten. QuickSight -
rds— Ermöglicht Principals die Rückgabe von Informationen über bereitgestellte RDS Amazon-Instances. -
redshift– Ermöglicht Prinzipalen das Abrufen von Anmeldeinformationen für einen „sagemaker_access*“ -Dbuser auf einem beliebigen Amazon Redshift-Cluster, falls dieser Benutzer existiert. -
redshift-data— Ermöglicht Prinzipalen das Ausführen von Abfragen auf Amazon Redshift mithilfe der Amazon Redshift Redshift-Daten. API Dies ermöglicht nur den Zugriff auf die Redshift-Daten APIs selbst und nicht direkt auf Ihre Amazon Redshift Redshift-Cluster. Weitere Informationen finden Sie unter Verwenden der Amazon Redshift Redshift-Daten API. -
s3– Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker„, „Sagemaker“ oder „Sagemaker“ enthält. Ermöglicht Prinzipalen auch das Abrufen von Objekten aus Amazon S3 S3-Buckets, die in bestimmten Regionen mit „jumpstart-cache-prod-“ ARN beginnen. -
secretsmanager– Ermöglicht Prinzipalen das Speichern von Kundenanmeldedaten, um mithilfe von Secrets Manager eine Verbindung zu einer Snowflake-Datenbank herzustellen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS verwaltete Richtlinie: AmazonSageMakerCanvasDataPrepFullAccess
Diese Richtlinie gewährt Berechtigungen, die den vollen Zugriff auf die Datenaufbereitungsfunktionen von Amazon SageMaker Canvas ermöglichen. Die Richtlinie sieht auch Berechtigungen mit den geringsten Rechten für die Dienste vor, die in die Datenvorbereitungsfunktion integriert sind [z. B. Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), AmazonEMR, Amazon EventBridge, Amazon Redshift, AWS Key Management Service (AWS KMS) und AWS Secrets Manager].
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
sagemaker— Ermöglicht Prinzipalen den Zugriff auf Verarbeitungsjobs, Trainingsjobs, Inferenz-Pipelines, AutoML-Jobs und Featuregruppen. -
athena— Ermöglicht Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten von Amazon Athena abzufragen. -
elasticmapreduce— Ermöglicht Prinzipalen das Lesen und Auflisten von EMR Amazon-Clustern. -
emr-serverless— Ermöglicht es Prinzipalen, Amazon EMR Serverless-Anwendungen und Jobausführungen zu erstellen und zu verwalten. Ermöglicht es Prinzipalen auch, Canvas-Ressourcen zu taggen SageMaker . -
events— Ermöglicht Prinzipalen das Erstellen, Lesen, Aktualisieren und Hinzufügen von Zielen zu EventBridge Amazon-Regeln für geplante Jobs. -
glue— Ermöglicht Prinzipalen das Abrufen und Durchsuchen von Tabellen aus Datenbanken im AWS Glue Katalog. -
iam— Ermöglicht Prinzipalen, eine IAM Rolle an Amazon und Amazon SageMaker EMR Serverless zu übergeben. EventBridge Ermöglicht es Prinzipalen auch, eine dienstbezogene Rolle zu erstellen. -
kms— Ermöglicht Prinzipalen das Abrufen von in Jobs und Endpunkten gespeicherten AWS KMS Aliase und den Zugriff auf den zugehörigen Schlüssel. KMS -
logs– Ermöglicht Schulleitern die Veröffentlichung von Protokollen von Trainingsaufträgen und Endpunkten. -
redshift— Ermöglicht Prinzipalen das Abrufen von Anmeldeinformationen für den Zugriff auf eine Amazon Redshift Redshift-Datenbank. -
redshift-data— Ermöglicht Prinzipalen das Ausführen, Stornieren, Beschreiben, Auflisten und Abrufen der Ergebnisse von Amazon Redshift Redshift-Abfragen. Außerdem können Prinzipale Amazon Redshift Redshift-Schemas und -Tabellen auflisten. -
s3– Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker„, „Sagemaker“ oder „Sagemaker“ enthält oder deren Name mit "" gekennzeichnet ist, wobei Groß- und Kleinschreibung nicht berücksichtigt wird. SageMaker -
secretsmanager— Ermöglicht Prinzipalen das Speichern und Abrufen von Kundendatenbankanmeldedaten mithilfe von Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS verwaltete Richtlinie: AmazonSageMakerCanvasDirectDeployAccess
Diese Richtlinie gewährt Berechtigungen, die Amazon SageMaker Canvas benötigt, um SageMaker Amazon-Endgeräte zu erstellen und zu verwalten.
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
sagemaker— Ermöglicht Prinzipalen das Erstellen und Verwalten von SageMaker Endpoints mit einem ARN Ressourcennamen, der mit „Canvas“ oder „Canvas“ beginnt. -
cloudwatch— Ermöglicht Prinzipalen das Abrufen von CloudWatch Amazon-Metrikdaten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS verwaltete Richtlinie: AmazonSageMakerCanvas AIServicesAccess
Diese Richtlinie gewährt Amazon SageMaker Canvas die Erlaubnis, Amazon Textract, Amazon Rekognition, Amazon Comprehend und Amazon Bedrock zu verwenden.
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
textract– Ermöglicht es Prinzipalen, Amazon Textract zu verwenden, um Dokumente, Ausgaben und Identitäten in einem Bild zu erkennen. -
rekognition– Ermöglicht es Prinzipalen, Amazon Rekognition zu verwenden, um Beschriftungen und Text in einem Bild zu erkennen. -
comprehend— Ermöglicht es Prinzipalen, Amazon Comprehend zu verwenden, um Stimmungen und dominante Sprache sowie benannte und persönlich identifizierbare Informationseinheiten (PII) in einem Textdokument zu erkennen. -
bedrock– Ermöglicht es Prinzipalen, Amazon Bedrock zu verwenden, um Foundation-Modelle aufzulisten und aufzurufen. -
iam— Ermöglicht Principals, eine IAM Rolle an Amazon Bedrock zu übergeben.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS verwaltete Richtlinie: AmazonSageMakerCanvasBedrockAccess
Diese Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Canvas mit Amazon Bedrock erforderlich sind.
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
s3— Ermöglicht Prinzipalen das Hinzufügen und Abrufen von Objekten aus Amazon S3 S3-Buckets im Verzeichnis „SageMaker-*/canvas“.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS verwaltete Richtlinie: AmazonSageMakerCanvasForecastAccess
Diese Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Canvas mit Amazon Forecast erforderlich sind.
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
s3– Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name mit „sagemaker-“ beginnt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS verwaltete Richtlinie: AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
Diese Richtlinie gewährt Amazon EMR Serverless Berechtigungen für AWS Dienste wie Amazon S3, die von Amazon SageMaker Canvas für die Verarbeitung großer Datenmengen verwendet werden.
Details zu Berechtigungen
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
-
s3– Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker" oder „Sagemaker“ enthält oder deren Name mit "" gekennzeichnet ist, wobei Groß- und Kleinschreibung nicht SageMaker berücksichtigt wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Amazon SageMaker aktualisiert die verwalteten Richtlinien von Amazon SageMaker Canvas
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für SageMaker Canvas an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderung | Datum |
|---|---|---|---|
|
AmazonSageMakerCanvasDataPrepFullAccess – Aktualisierung auf eine bestehende Richtlinie |
4 |
Ressource zur |
16. August 2024 |
|
AmazonSageMakerCanvasFullAccess – Aktualisierung auf eine bestehende Richtlinie |
11 |
Ressource zur |
15. August 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy – Neue Richtlinie |
1 |
Ursprüngliche Politik |
26. Juli 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess – Aktualisierung auf eine bestehende Richtlinie |
3 |
Fügen Sie |
18. Juli 2024 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
10 |
Fügen Sie Fügen Sie Fügen Sie Fügen Sie Fügen Sie |
9. Juli 2024 |
|
AmazonSageMakerCanvasBedrockAccess – Neue Richtlinie |
1 |
Ursprüngliche Politik |
2. Februar 2024 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
9 |
|
24. Januar 2024 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
8 |
Fügen Sie |
8. Dezember 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess – Aktualisierung auf eine bestehende Richtlinie |
2 |
Kleines Update zur Durchsetzung der Absichten der vorherigen Richtlinie, Version 1; es wurden keine Berechtigungen hinzugefügt oder gelöscht. |
07. Dezember 2023 |
|
AmazonSageMakerCanvasAIServicesAccess – Aktualisierung auf eine bestehende Richtlinie |
3 |
Fügen Sie |
29. November 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Neue Richtlinie |
1 |
Ursprüngliche Politik |
26. Oktober 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess – Neue Richtlinie |
1 |
Ursprüngliche Politik |
06. Oktober 2023 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
7 |
Fügen Sie |
29. September 2023 |
|
AmazonSageMakerCanvasAIServicesAccess – Aktualisierung auf eine bestehende Richtlinie |
2 |
Hinzufügen |
29. September 2023 |
AmazonSageMakerCanvasFullAccess — Aktualisierung einer bestehenden Richtlinie |
6 |
|
29. August 2023 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
5 |
Die Berechtigungen |
24. Juli 2023 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
4 |
Fügen Sie |
4. Mai 2023 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
3 |
Fügen Sie |
24. März 2023 |
|
AmazonSageMakerCanvasAIServicesAccess- Neue Richtlinie |
1 |
Ursprüngliche Politik |
23. März 2023 |
AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie |
2 |
|
6. Dezember 2022 |
AmazonSageMakerCanvasFullAccess - Neue Richtlinie |
1 |
Ursprüngliche Politik |
8. September 2022 |
|
AmazonSageMakerCanvasForecastAccess – Neue Richtlinie |
1 |
Ursprüngliche Politik |
24. August 2022 |
