AWS Verwaltete Richtlinien für SageMaker Notebooks - Amazon SageMaker KI
AmazonSageMakerNotebooksServiceRolePolicySageMaker Aktualisierungen der Richtlinien für Notebooks

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Verwaltete Richtlinien für SageMaker Notebooks

Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker Notebooks erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.

AWS verwaltete Richtlinie: AmazonSageMakerNotebooksServiceRolePolicy

Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Notebooks benötigt werden. Die Richtlinie wird zu der Richtlinie hinzugefügtAWSServiceRoleForAmazonSageMakerNotebooks, die beim Onboarding von Amazon SageMaker Studio Classic erstellt wurde. Weitere Informationen zu dienstgebundenen Rollen finden Sie unter Service-verknüpfte Rollen. Weitere Informationen finden Sie unter AmazonSageMakerNotebooksServiceRolePolicy

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • elasticfilesystem— Ermöglicht Prinzipalen das Erstellen und Löschen von Amazon Elastic File System (EFS) -Dateisystemen, Access Points und Mount-Zielen. Diese sind auf diejenigen beschränkt, die mit dem Schlüssel ManagedByAmazonSageMakerResourcegekennzeichnet sind. Ermöglicht es den Prinzipalen, alle EFS Dateisysteme, Zugriffspunkte und Mount-Ziele zu beschreiben. Ermöglicht Prinzipalen, Tags für EFS Access Points und Mount-Ziele zu erstellen oder zu überschreiben.

  • ec2— Ermöglicht Prinzipalen das Erstellen von Netzwerkschnittstellen und Sicherheitsgruppen für Amazon Elastic Compute Cloud (EC2) -Instances. Außerdem können Prinzipale Tags für diese Ressourcen erstellen und überschreiben.

  • sso – Ermöglicht Prinzipalen das Hinzufügen und Löschen von verwalteten Anwendungs-Instances zu AWS IAM Identity Center.

  • sagemaker— Ermöglicht Prinzipalen das Erstellen und Lesen von SageMaker KI-Benutzerprofilen und SageMaker KI-Bereichen, das Löschen von SageMaker KI-Bereichen und SageMaker KI-Apps sowie das Hinzufügen und Auflisten von Tags.

  • fsx— Ermöglicht Prinzipalen, das Amazon FSx for Lustre-Dateisystem zu beschreiben und die Metadaten zu verwenden, um es auf dem Notebook zu mounten.

{
    "Version": "2012-10-17",
    "Statement": [
        {   
            "Sid": "AllowFSxDescribe",
            "Effect": "Allow",
            "Action": [
                "fsx:DescribeFileSystems",
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Notebooks

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.

Richtlinie Version Änderung Datum

AmazonSageMakerNotebooksServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

10

fsx:DescribeFileSystems Berechtigung hinzufügen.

 14. November 2024

AmazonSageMakerNotebooksServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

9

sagemaker:DeleteApp Berechtigung hinzufügen.

 24. Juli 2024

AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie

8

Fügen Sie sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags und sagemaker:AddTags Berechtigungen hinzu.

 22. Mai 2024

AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie

7

elasticfilesystem:TagResource Berechtigung hinzufügen.

 9. März 2023

AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie

6

Fügen Sie elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint und elasticfilesystem:DescribeAccessPoints Berechtigungen hinzu.

 12. Januar 2023

SageMaker AI hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.

 1. Juni 2021